VirusTotal sperrt mehreren Security-Firmen den Zugriff

Peter Marwan,
VirusTotal (Grafik: VirusTotal)

Betroffen sind offenbar vor allem solche, die selbst nichts zu der Datenbank mit Malware-Samples beitragen. Einem Bericht von Reuters zufolge kommt der Betreiber damit dem Drängen etablierter Firmen nach. Die scheinen sich über Taschenspielertricks von Start-ups mit ihren Daten zu ärgern.

Die von der Google-Muttergesellschaft Alphabet betriebene Datenbank VirusTotal hat einigen Security-Firmen den Zugriff gesperrt. Wie Reuters berichtet, sind vor allem junge, hoch bewertete Firmen von dem Schritt betroffen, die sich die in der Datenbank vorgehaltene, umfassenden Informationen zwar zunutze machen, selbst aber nichts oder so gut wie nichts dazu beitragen. Bei VirusTotal können Sicherheitsexperten unter Malware-Verdacht stehende Software hochladen und sich dann mit anderen über die möglichen Gefahren austauschen, die von dieser Software ausgehen.

VirusTotal (Grafik: VirusTotal)

Update 11. Mai 20 Uhr 45: Inzwischen hat silicon.de Stellungnahmen von relevanten Security-Firmen zu dem Vorgang eingeholt und die Auswirkungen des Schritts unter die Lupe genommen. Alles dazu finden Sie im umfassenden Hintergrundbericht VirusTotal wirft Schmarotzer raus – weniger Schutz für Nutzer?

Hinter der Datenbank, die auch für Privatanwender automatisch und gratis Dateien und URLs analysiert, und der Arbeit daran steht der Gedanke, dass die teilnehmenden Firmen alle von den Erkenntnissen und Entdeckungen der jeweils anderen profitieren und sich so die Gefahren im Internet insgesamt besser in den Griff bekommen lassen. Allerdings setzte die vor 12 Jahren ins Leben gerufene Plattform eben auch voraus, dass alle beteiligten mehr oder wenige rumfassende Forschungsabteilungen unterhalten, die durch ihre Arbeit zu ihr beitragen.

Gerade neue, kleinere Start-ups aus dem Umfeld des Silicon Valley haben darauf aber wohl verzichtet. Sie machen sich dem Bericht von Reuters zufolge zwar die bei VirusTotal gesammelten und bewerteten Informationen zunutze, tragen aber nicht dazu bei, das Wissen zu vermehren. Alteingesessene Firmen, die bislang quasi zuschauen mussten wie Neugründungen, ihnen indirekt mit den Früchten der Arbeit ihrer Forschungsabteilungen Kunden abjagten, mit ihren als “Next-Generation” beworbenen Ansätzen den Markt aufmischten und damit teilweise eine Bewertung erreichten, die ihren Firmenwert übersteigt, wollten das nun offenbar nicht mehr hinnehmen.

Welche Firmen nun als “Schnorrer” identifiziert und vom Zugriff auf die Datenbank ausgesperrt wurden, ist offiziell nicht bekannt. Von mit dem Sachverhalt vertrauten Quellen will Reuters jedoch erfahren haben, dass zumindest Cylance, Palo Alto Networks und CrowdStrike sowie “einige kleinere Firmen” dazugehören. Analysten und Führungskräfte mehrerer Firmen sollen Reuters gegenüber erklärt haben, dass die Erkennungsrate der Produkte dieser Firmen nun deutlich zurückgehen respektive die Rate der fälschlicherweise als gefährlich erkannten, legitimen Software (False-Positive-Rate) nun deutlich zunehmen wird.

Palo Alto Networks (Bild: Palo Alto Networks)
Unter anderem soll Palo Alto Networks von dem Schritt betroffen sein. Der Hersteller bestreitet aber, die Datenbank überhaupt zu nutzen (Bild: Palo Alto Networks).

Gegenüber Reuters zitiert allerdings lediglich Andreas Marx, Leiter des deutschen Testlabors AV-Test. Er ist davon überzeugt, dass Produkte von Firmen ohne Zugriff auf VirusTotal eine geringere Erkennungsrate aufweisen und niedrigere Erkennungsraten es Angreifern leichter machen werden, einen Weg zu finden, die Sicherheitsprodukte zu umgehen. Einige Marktteilnehmer, die aber nicht zitiert werden wollten, sagten Reuters, dass sich diverse Firmen sogar vollständig auf VirusTotal verlassen. Für sie würde ein dauerhaft gesperrter Zugriff damit in kurzer Zeit das Ende der Konkurrenzfähigkeit bedeuten.

Der Schritt von VirusTotal kommt für die Beteiligten anscheinend aber nicht ganz unerwartet. Jon Miller, Forschungsleiter bei Cylance, erklärte gegenüber Reuters, man habe sich vor zwei Wochen entschlossen, die Daten von VirusTotal nicht mehr zu nutzen, da man das mit der eigenen Technologie verknüpfte Know-how nicht anderen zugänglich machen wolle. Offenbar waren die Firmen also dazu aufgefordert worden. “Einige Next-Generation-Produkte funktionieren derzeit einfach nicht”, sagte Miller gegenüber Reuters. Welche das sind, wollte er aber nicht verraten.

Ein Sprecher von Palo Alto Networks sagte gegenüber Reuters, man habe nicht auf die bei VirusTotal vorliegenden Bewertungen zurückgegriffen und erwarte daher auch keine Auswirkungen für die Kunden. Lediglich CrowdStrike räumte ein, dass es mit VirusTotal verhandle und ihm am Samstag der Zugriff gesperrt wurde. Man spreche nun gerade darüber, wie man künftig “zum Wohle der gesamten Security-Community auf anderen Wegen zusammenarbeiten” könne.