Warum Malware-Erkennung nicht einfach ist – Mythen rund um Erkennungsraten

18.07.2022
G DATA Blog

Erkennungsraten sind eine beliebte Metrik für die Bewertung von Sicherheitslösungen. Aber diese Zahl alleine ist nicht alles, was für die Bewertung entscheidend ist, wie Karsten Hahn ausführlich erläutert.

Mit schöner Regelmäßigkeit wird Antivirensoftware totgeschrieben. Die Diskussionen darum wiederholen sich immer wieder und werden teilweise sehr dogmatisch geführt. Zugleich werden Testergebnisse zum Zünglein an der Waage bei einer Entscheidung für die eine oder die andere Lösung, bei der es um Nachkommastellen bei Erkennungsraten geht. Die Hintergründe sind teilweise hochkomplex – und die Erkennungsraten geben auch nicht das gesamte Bild wieder.  

Alte Mythen

Wer behauptet, Antivirensoftware sei „tot“, muss sich auch die Frage vorlegen, was genau mit Antivirensoftware gemeint ist und wie sich der Zustand „tot“ definiert. Oft verweisen die Verfechter dieser Denkweise auf Onlinescanner wie Virustotal (auch „Multiscanner“ genannt). Derlei Scanner geben zwar einen Anhaltspunkt – doch dass eine bestimmte Schaddatei von einer Lösung „nicht erkannt“ wird, muss nicht unbedingt der Wahrheit entsprechen. Denn viele Hersteller, die ihre Engine für Online-Scanner zur Verfügung stellen, nutzen auch andere Erkennungsverfahren. Und deren Ergebnis weicht oft von einem „Schnellscan“ auf Virustotal ab. Der Grund dafür ist einfach: Zusatztechnologien, die etwa auf Machine-Learning oder KI setzen, sind nicht Teil der Online-Scanner. Das ist so, weil viele „Next Generation“-Technologien auch Faktoren mit einbeziehen, die sich in einem Multiscanner nicht ohne weiteres abbilden lassen.  

Doch da nur die Scan-Engines abgefragt werden – die traditionell eben signaturbasiert und damit rein reaktiver Natur sind – entsteht schnell der Eindruck, dass Virenscanner als Ganzes eine „veraltete“ Technologie darstellen. Nichts ist von der Wahrheit weiter entfernt.  

Übers Ziel hinaus

Eine der größten Herausforderungen für Menschen, die Malware analysieren ist die Vermeidung von Falscherkennungen (false positives). In einer idealen Welt liegt dieser Wert konstant bei Null, denn niemand kann falschpositive Erkennungen gebrauchen. Selbst eine Falscherkennungsrate von einem Prozent hätte katastrophale Auswirkungen. Für ein Verzeichnis mit 500.000 Dateien darin hieße das: Potenziell werden 5000 Dateien falsch erkannt. Und diese Ordnergröße ist nicht unrealistisch – allein das Windows-Systemverzeichnis enthält in etwa diese Anzahl von Dateien. Einfach 5000 davon zufällig auszuwählen und zu löschen erscheint nicht sonderlich erstrebenswert. In der Praxis gilt eine Rate von deutlich unter 0.001 Prozent als akzeptabel. Das entspricht weniger als einer Falscherkennung in 100.000 Dateien.  

Logischer Ausweg

Wer also Falscherkennungen so weit wie möglich reduzieren will, kommt nicht umhin, auf mehrere Schutzschichten zu setzen. Dabei spielt es nicht unbedingt eine Rolle, die Erkennungsrate jeder einzelnen Schutztechnologie so hoch wie möglich zu halten – sondern darum, unerwünschte Erkennungen zu eliminieren wo immer es geht.  

Wer genau wissen will, warum Malware-Erkennung alles andere als trivial ist und warum gängige Metriken nicht unbedingt die ganze Wahrheit erzählen, dem sei der TechBlog-Artikel von Malware-Analyst Karsten Hahn ans Herz gelegt (in englischer Sprache). 

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein