Frage:

Wie funktioniert ein Virenscanner?

Antwort:

Ein Virenscanner ist nichts anderes als eine Schutzimpfung für den Computer. Wie ein Antikörper in einem Serum ist ein Virenscanner in der Lage, Computerviren zu erkennen und so zu verhindern, dass sie sich unkontrolliert auf dem Rechner ausbreiten. Doch das ist gar nicht so einfach. Denn mittlerweile gibt es unzählige verschiedene Computerviren, die alle großen Schaden auf einem Rechner anrichten können. Dabei ist ein Computervirus eigentlich nur ein Computerprogramm – wenn auch ein bösartiges. Durch das Herunterladen infizierter Dateien aus dem Internet, durch E-Mails oder durch Schwachstellen in Programmen gelangt das Virus auf den eigenen Computer. Dort hängt es sich zunächst unbemerkt an vorhandene Software an. Erst wenn der ahnungslose Benutzer das infizierte Programm startet, bricht das Virus aus und verbreitet sich – wie sein biologisches Vorbild – rasant: Das Virus befällt immer mehr Dateien und Programme, beschädigt diese und kann sie im schlimmsten Fall sogar löschen.

Aufgabe des Virenscanners ist es, Viren aufzuspüren, bevor dies geschieht. Dabei nutzt die Anti-Viren-Software aus, dass jedes Virus eine einzigartige Signatur besitzt. Dieser „Fingerabdruck“ unterscheidet das Virus von „gesunden“ Programmen. Der Virenscanner sucht deshalb jede Datei, jede E-Mail und jedes Netzwerkpaket nach diesen Signaturen ab. Findet der Scanner etwas Auffälliges, schlägt er Alarm.

Dieses Prinzip funktioniert zwar gut, hat aber denselben Nachteil wie eine Grippe-Impfung: Es schützt nur vor bekannten Viren, die schon irgendwo einmal Schaden angerichtet haben und deshalb den Herstellern der Anti-Viren-Software vorliegen. Wie beim Impfcocktail der Grippeschutzimpfung, der jedes Jahr wieder auf die aktuellen Erreger abgestimmt werden muss, ist es auch mit der Anti-Virus-Software: Sie muss immer wieder auf den neuesten Stand gebracht werden. Nur so bietet sie einen wirksamen Schutz. Gegen brandneue Viren ist diese Art der Software machtlos.

Leider sind Virenscanner, die auch vor unbekannten Viren schützen, bisher unzuverlässig. Eine Strategie ist das Überwachen von Systemdateien. Wird beispielsweise eine Datei vom Betriebssystem geändert, können die Alarmglocken klingeln. Allerdings kann dabei bereits ein üblicher Update Fehlalarm auslösen. Weitaus erfolgversprechender ist das sogenannte Sandkasten-Prinzip. Bei dieser Methode wird jedes Programm erst in einer geschützten Umgebung, dem Sandkasten, ausgeführt und beobachtet. Erst wenn dabei nichts Ungewöhnliches auffällt, darf das Programm richtig gestartet werden. Ungewöhnlich wäre zum Beispiel, wenn das Programm sich selbst umschreibt, wie es viele Viren tun. Doch unglücklicherweise hilft auch diese Vorgehensweise nicht vollständig, da man das typische Verhalten aller auszuführenden Programme kennen müsste. Das ist aber nur in Hochsicherheitsumgebungen möglich.

Sehr verbreitet sind heute zudem sogenannte Würmer. Auch sie gehören zu der großen Familie der Computerviren, sind jedoch besonders gefährlich. Denn Würmer warten nicht darauf, dass ein Nutzer sie herunterlädt. Sie gelangen aus eigener Kraft aus dem Internet auf den Computer und verbreiten sich dann sofort weiter.

Zur Redakteursansicht