Der unbekannte Feind im Computer

MalwareDef

Das Institut für IT-Sicherheitsforschung entwickelt neue Methoden zum Erkennen von Schadprogrammen.

Klassische Anti-Virenprogramme stoßen immer häufiger an ihre Grenzen. Damit ein Virenschutz ein Schadprogramm erkennt, muss dieses bereits bekannt sein. Doch es tauchen immer neue, schädliche Programme auf, die sich außerdem ständig verändern. Das erschwert das Aktualisieren der Schutzdatenbanken sehr – wertvolle Zeit vergeht, in der Schaden entsteht. Die Fachhochschule St. Pölten arbeitet im Projekt „MalwareDef“ an Methoden, um neue, noch unbekannte Gefahren zu erkennen.

Derzeit sammeln IT-Sicherheitsfirmen 50.000 bis 100.000 Verdachtsfälle pro Tag. Vieles davon scheidet bei genauerer Prüfung wieder aus, doch das Überprüfen durch Schutzprogramme und deren Aktualisierung werden immer aufwendiger – die Rechner werden dadurch langsamer.

Verbrecherdatenbank für Viren

Von den gängigen Virenschutzprogrammen werden Gefahren derzeit nach dem Aussehen der Bedrohung beurteilt. Sogenannte Signaturen, Teile des Codes des schädlichen Programms, werden gesucht und verraten Eindringlinge. Doch dafür muss die Gefahr bereits bekannt sein.

„Das ist so, wie wenn man einen Verbrecher oder eine Verbrecherin in der Datenbank der Polizei sucht: Dort enthalten sind nur jene Menschen, die schon Straftaten begangen haben. Die Suche nach neuen Straftätigen ist im Vergleich dazu deutlich schwieriger“, sagt Paul Tavolato, FH-Professor am Institut für IT-Sicherheitsforschung der Fachhochschule St. Pölten und Leiter des Projekts „MalwareDef“.

Viren mit ihrem Verhalten überführen

Das Institut für IT-Sicherheitsforschung der FH St. Pölten arbeitet im Projekt „MalwareDef“ an einer Methode, durch die schädliche Programme abgewehrt werden können, auch wenn sie in den Datenbanken der Schutzprogramme noch nicht verzeichnet sind.

Grundlage dafür ist das Verhalten der Schadprogramme: Da und dort wird eine Datei angelegt, etwas umformuliert, ein Programm gestartet, Verbindung nach außen aufgebaut oder werden bestimmte Daten genutzt – Aktionen, die jede für sich auch von harmlosen Programmen ausgeführt werden. „Es geht um einige Tausend Befehle, die im Einzelfall neutral, im Zusammenspiel aber verdächtig sind“, sagt Tavolato.

Aufbau von Fachwissen

Im Rahmen des Projekts wird unter anderem ein Prototyp eines Schutzprogramms entwickelt und getestet. „Die gängigsten IT-Sicherheitsprogramme kommen heute aus Ländern wie den USA oder Russland. Doch für einen Krisenfall ist es wichtig, dass das Know-How im Bereich IT-Sicherheit auch hierzulande vorhanden ist“, sagt Ernst Piller, der Leiter des Instituts für IT Sicherheitsforschung an der FH St. Pölten. Dieses Know-How baut die FH St. Pölten gemeinsam mit der Firma Ikarus Sicherheitssoftware GmbH auf, die Kooperationspartner im Projekt „MalwareDef“ ist.

Das Projekt „MalwareDef“ wird von der Österreichischen Forschungsförderungsgesellschaft FFG im Zuge des Sicherheitsforschungsprogramms KIRAS aus Mitteln des BMVIT gefördert.

Jetzt teilen: