VirusTotal wirft Schmarotzer raus – weniger Schutz für Nutzer?

SicherheitVirus

Google bietet sozusagen im Open-Source-Modell eine Plattform über die sich Antiviren-Firmen über Schädlinge austauschen können. Was bedeutet es für die Sicherheitslage, wenn bestimmte Unternehmen an diesem Projekt nicht mehr teilnehmen dürfen?

Auf VirusTotal gehen täglich etwa 400.000 Meldungen über digitale Schädlinge ein, davon sind 300.000 im Schnitt einzigartig. Wer als Hersteller an dieser Plattform teilnimmt, kann also auf einen großen Informationspool zugreifen, muss aber auch eigene Erkenntnisse an den Pool zurückspielen. Im Grunde eine feine Sache. Wenn Google nun einige, vor allem junge und hochbewertete IT-Sicherheitsanbieter aussperrt, steigt in den Augen von einigen Experten die allgemeine Bedrohungslage, weil es so mehr potenzielle Einfallstore für Angreifer geben wird.

VirusTotal (Grafik: VirusTotal)

Etablierten Herstellern, die mit hohem personellen und finanziellen Aufwand eigene Forschung betreiben, sind natürlich diejenigen, die selbst nichts zu diesem gigantischen Informationspool beisteuern, ein Dorn im Auge. Schließlich profitieren sie von den Investitionen der anderen Anbieter und vermarkten und verwerten diese Informationen in den eigenen Produkten – unter Umständen mit höherem Profit.

Dauerhaft kann aber ein derartiges Projekt, bei dem im Übrigen keine Gelder von Google an Hersteller oder anderes herum fließen, nur funktionieren, wenn jeder Teilnehmer einen Beitrag leistet. Das Konzept ist durchaus vergleichbar mit Open Source Software. Daher haben Hersteller, darunter laut eigenen Angaben Trend Micro und Avast, Google mehrfach gedrängt, auf strengere Richtlinien zu pochen.

Unter Berufung auf informierte Quellen berichtet die Nachrichtenagentur Reuters, dass Cylance, Palo Alto Networks und CrowdStrike sowie weitere kleinere Anbieter von so genannten NexGen-Sicherheiterheitslösungen zu denjenigen gehören, die nicht mehr an dem Austauschprogramm teilnehmen dürfen, weil sie angeblich selbst keinen Beitrag zu dieser Datenbank leisten.

Nun wird von verschiedenen Seiten befürchtet, dass die Lösungen dieser Unternehmen durchlässiger für Schädlinge werden oder auch die Rate von Fehlalarmen zunehmen wird. So erklärt etwa Andreas Marx, Leiter des deutschen Testlabors AV-Test, gegenüber Reuters, dass Produkte von Firmen ohne Zugriff auf VirusTotal eine geringere Erkennungsrate aufweisen würden.

Für Unternehmen, die sich ausschließlich auf diese Datenbank verlassen, ist ein Ausschluss natürlich eine denkbar schlechte Nachricht. Tatsächlich soll es aber am Markt solche Anbieter geben.

Cylance erklärt, VirusTotal bereits seit einigen Wochen nicht mehr zu nutzen. Palo Alto Networks erklärt gegenüber silicon.de schriftlich: “Wir nutzen nicht die Resultate von VirusTotal um zu bestimmen, ob eine Datei bösartig oder harmlos ist. Die Änderung der Grundsätze von VirusTotal wird sich deshalb nicht auf das Level an Schutz vor Cyberbedrohungen auswirken, das wir unseren Kunden bieten.”

Jiri Sejtko, Director of Viruslab Operations bei Avast (Bild: Avast)
Jiri Sejtko, Director of Viruslab Operations bei Avast (Bild: Avast)

Wer bei VirusTotal mitmacht – und wer nicht

Offiziell gibt es keine Informationen darüber, welche Unternehmen nun vom Rauswurf betroffen sind. Es lässt sich aber andererseits nachvollziehen, welche Anbieter noch an dem Programm teilnehmen. So stellen die folgenden 58 Unternehmen nach wie vor ihre Scan-Engines in dem Pool zur Verfügung: ALYac, AVG, AVware, Ad-Aware, AegisLab, AhnLab-V3, Alibaba, Antiy-AVL, Arcabit, Avast, Avira, Baidu, Baidu International, BitDefender, Bkav, CAT-QuickHeal, CMC, ClamAV, Comodo, Cyren, DrWeb, ESET-NOD32, Emsisoft, F-Prot, F-Secure, Fortinet, GData, Ikarus, Jiangmin, K7AntiVirus, K7GW, Kaspersky, Kingsoft, Malwarebytes, McAfee, McAfee-GW-Edition, eScan, Microsoft, NANO-Antivirus, Panda, Qihoo-360, Rising, SUPERAntiSpyware, Sophos, Symantec, Tencent, TheHacker, TrendMicro, TrendMicro-HouseCall, VBA32, VIPRE, ViRobot, Yandex, Zillya, Zoner, nProtect.

“Wir teilen unsere Scanning-Engine mit Virus Total und wir nutzen diese Datenbank, um unsere Fähigkeiten, Schädlinge zu entdecken, zu komplettieren”, erklärt Jiri Sejtko, Director of Viruslab Operations bei Avast, gegenüber silicon.de. “Wir glauben, das ist ein faires Modell, solange jeder nimmt und gibt.”

Für Avast ist das Google-Portal durchaus wichtig, wie Sejtko erklärt. Neben weiteren Informationen zu Schädlingen biete VirusTotal auch für die Avast-Nutzer wichtige Funktionen, weil diese darüber Dateien oder URLs hochladen können um zu prüfen, ob diese einen Schädling enthalten oder nicht. Dieser Service ist für alle Nutzer kostenlos. Auch als Quelle von Meta-Daten über Schädlinge biete die Datenbank klare Vorteile, so Sejtko.

Das inzwischen 12 Jahre alte Google-Tool VirusTotal ist nicht nur für die Sicherheitsindustrie eine wertvolle Ressource, sondern auch für Nutzer, die darüber verdächtige Dateien oder Web-Adressen auf Unbedenklichkeit überprüfen können (Screenshot: silion.de).
Das inzwischen 12 Jahre alte Google-Tool VirusTotal ist nicht nur für die Sicherheitsindustrie eine wertvolle Ressource, sondern auch für Nutzer, die darüber verdächtige Dateien oder Web-Adressen auf Unbedenklichkeit überprüfen können (Screenshot: silion.de).

Ähnlich sieht das auch Bitdefender. Das Unternehmen teilt mit: “Die Zusammenarbeit mit VirusTotal ist extrem wichtig in dieser Branche, da wir somit qualitativ hochwertige Musterbeispiele sowie Informationen zu Bedrohungen kostenfrei teilen können.”

Raimund Genes, Chief Technology Officer bei Trend Micro, nennt einen weiteren wichtigen Aspekt des gemeinsamen Info-Pools: “Antivieren-Anbieter finden zwar möglicherweise den gleichen Schädling, doch bei jedem Hersteller bekommt die Malware einen neuen Namen. Daher nutzen wir VirusTotal auch als Cross-Mapping, so dass alle AV-Produkte und Hersteller die Schädlinge benennen können.” Laut Genes habe es in der Branche bereits Bemühungen gegeben, eine einheitliche Namensgebung zu etablieren, aber angesichts der schieren Menge von Malware, die täglich in neuen Varianten auftritt, sei das nicht praktikabel. VirusTotal diene daher auch als eine Art DNS-Server für die Sicherheitsindustrie.

Mehr Gefahr durch weniger Teilnehmer bei VirusTotal?

Aber ziehen die strengeren Teilnahmebedingungen bei VirusTotal eine höhere Bedrohungslage im Internet nach sich? Die Antwort von Avast ist ein klares “Nein”. “Ich glaube, das Gegenteil ist der Fall”, kommentiert Sejtko. Jedes Sicherheits-Produkt, das sich alleine auf VirusTotal verlässt, das hauptsächlich Offline-Multiengine-Scanner nutzt, basiert ohnehin auf einem fragwürdigem Konzept.” Sejtko begründet das damit, dass somit die Wahrscheinlichkeit von False Positives steige.

Auch sei ein derartiges Sicherheitskonzept besonders bei frischer Malware sehr schwach, weil die AV-Scanner, die von VirusTotal genutzt werden, einer gewissen Verzögerung unterliegen oder die Signaturen würden nicht angezeigt, weil sie entweder alt oder verhaltensbasiert sind. “Der Scanner, den wir für VirusTotal zur Verfügung stellen ist statisch, das bedeutet, dass er auch nicht sämtliche Schutz-Layer bietet, die wir unseren Kunden zur Verfügung stellen.” Laut Sejtko würden so oder ähnlich auch andere Hersteller verfahren.

Raimund Genes, Chief Technology Officer bei Trend Micro (Bild: Trend Micro)
Raimund Genes, Chief Technology Officer bei Trend Micro (Bild: Trend Micro)

Trend-Micro-CTO Genes kommentiert das Ganze etwas süffisant: “Unternehmen, die angeblich Pattern-less – also nicht Signatur-basiert – arbeiten und das als Unique Selling Point anpreisen, sollten ja auch keine Auswirkungen zu spüren bekommen.” Wenn diese Lösungen, die in der Kritik stehen, die VirusTotal-Lösungen ohne Gegenleistung zu nutzen, dennoch mit diesen Signaturen arbeiten, könne auch Genes nicht abstreiten, dass die Erkennungsrate dieser Lösungen vermutlich nach unten gehen wird. Allerdings, so der Trend-Micr- Manager weiter, müssten diese Unternehmen eben auch in die Erkennung von Schädlingen investieren. Somit würde langfristig das Sicherheitsniveau sogar davon profitieren.

Genes stellt aber auch klar, dass es nicht darum gehe, irgendjemanden auszusperren. “Wichtig für eine echte Partnerschaft ist, dass jeder, der mitmacht, sowohl nimmt als auch gibt”, kommentiert Genes in einem Blog.

Auch bei Bitdefender fürchtet man keine deutliche Verschlechterung der Sicherheitslage: “Dieser Dienst hatte schon immer Nutzungsbedingungen– und richtlinien. Sinn und Zweck war es stets, Unternehmen zu helfen, Erkennungsalgorithmen und Erkennungsraten zu verbessern, und nicht als Erkennungstool für verschiedenen Unternehmen eingesetzt zu werden.”

“Jeder Antiviren-Hersteller kann sich VirusTotal anschließen und Zugriff auf VirusTotal-Informationen bekommen. Wer Zugriff auf die API haben will, muss lediglich seine Scanning-Engine an VirusTotal und den Testern bereitstellen, um einen gewissen Qualitätsgrad zu garantieren”, ergänzt Sejtko von Avast. “Und das ist genau ein Schritt in die richtige Richtung.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen