Neue IT-Bedrohungen, neue Abwehrmaßnahmen: Die Entwicklungsgeschichte von Viren und Antivirus-Programmen

David Emm, Senior Technology Consultant bei Kaspersky Lab, zeigt in einem aktuellen Aufsatz die Geschichte der Malware und die parallele Entwicklung von Antivirus-Lösungen auf. Der Bericht liefert einen Überblick über die Veränderungen der IT-Bedrohungen, vom Erscheinen des ersten Virus in den späten 1980er Jahren bis hin zur Entwicklung mobiler Bedrohungen in der ersten Dekade des 21. Jahrhunderts. Auch die andere Seite kommt nicht zu kurz: Emm beschreibt anschaulich, wie Antivirus-Lösungen mit Hilfe immer neuer Technologien mit der rasanten Entwicklung von Schadcode Schritt halten müssen.

Die ersten PC-Schädlinge waren Bootsektor-Viren und DOS-Dateiviren. Ende der 80er Jahre kamen einige Würmer und erste Trojaner hinzu. Die Virenautoren nutzen eine Vielzahl von Tarnkappentechniken, um die Antivirus-Scanner zu umgehen und so den Lebenszyklus der Schädlinge zu verlängern. Einige dieser Technologien, wie etwa unterdrückte Fehlermeldungen und Polymorphismus, werden bis heute von Virenschreibern eingesetzt.

Antivirus-Lösungen waren ursprünglich individuelle Tools zum Erkennen und Entfernen einzelner Viren. Als die Zahl der Viren zunahm, entwickelte man erste Antivirus-Toolkits. Als die Zahl der Viren Ende der 1980er Jahre auf fast 300 angestiegen war, führten die Antivirus-Hersteller einen Echtzeit-Schutz ein und ergänzten die Signatur-basierte Analyse um heuristische Verhaltensanalysen, Emulation und andere Technologien.

Mit dem Erscheinen des ersten Makrovirus 1995 schlug die Entwicklung der Schadprogramme eine völlig neue Richtung ein. Virenmakros lassen sich problemlos modifizieren, daher war jetzt eine weitaus größere Personengruppe in der Lage, neue Schädlinge zu entwickeln. Die Folge: eine Zunahme der Viren von 6.000 im Juni 1995 auf mehr als 25.000 im Dezember 1998.

Da sich sowohl die IT-Bedrohungen als auch die Geschäftsgepflogenheiten veränderten, mussten auch die Anbieter von Antivirus-Produkten neue Lösungen entwickeln. Um Netzwerke umfassend zu schützen, wurden neben Fileservern und Workstations nun auch Mail-Server und Internet-Gateways auf Viren gescannt.

Das Erscheinen des Virus Melissa war 1999 ein weiterer Quantensprung in der Entwicklung der Schadprogramme. Melissas Fähigkeit, sich unabhängig zu verbreiten, leitete die Ära der E-Mail-Würmer ein. Internet-Würmer, die zur Steigerung der Effektivität oft in Kombination mit anderen Techniken häufig Sicherheitslücken ausnutzen, um sich auszubreiten, hatten im Jahr 2001 ein Comeback und beherrschten auch in den darauf folgenden Jahren die Malware-Szene.

Als Reaktion auf die neuen Bedrohungen boten Antivirus-Hersteller nun weitaus umfassendere Lösungen an. Sie integrierten neue Technologien in ihre Produkte, darunter Personal Firewalls, host- und netzwerkbasierte Intrusion-Protection-Systeme (IPS), Technologien zur Überwachung der Aktivität von Applikationen und mehr.

Der Rückgang globaler Epidemien seit dem Jahr 2003 zeigt, dass sich die Motivation der Virenautoren gewandelt hat: Betrieben sie bis dahin eine Art von „Cyber-Vandalismus“, so liegt der Fokus nun auf finanzieller Gewinnmaximierung. Das Ergebnis sind maßgeschneiderte Trojaner, die ein bestimmtes System attackieren sowie schädliche Programme, die auf den Diebstahl von Anwenderdaten spezialisiert sind: Logins, Passwörter für Online-Banking und Online-Games. Trojaner werden zum Aufbau von Botnetzen eingesetzt, die Spam-E-Mails versenden und ihrerseits Schadprogramme enthalten können.

Vor diesem Hintergrund begannen Cyberkriminelle, auch mobile Geräte anzugreifen. Der erste Wurm für Smartphones erschien im Jahr 2004.. Innerhalb nur weniger Jahre haben die Bedrohungen für mobile Geräte eine Entwicklung durchgemacht, für die PC-Schädlinge 20 Jahre benötigten.

David Emm schließt mit dem Fazit, dass sich die IT-Bedrohungen radikal verändert haben und ein effektiver Schutz für Anwender heute wichtiger ist denn je. Sicherheitslösungen müssen mit derzeit täglich rund 15.000 neuen Bedrohungen fertig werden und zudem neue und unbekannte Malware auch ohne Signaturen effektiv blockieren können.