Wenn die Heuristik versagt

Welche Folgen dies haben kann, erläutert der Manager am Beispiel eines deutschen Unternehmens, das Software für eingebettete Systeme entwickelt. In einigen Fällen mussten die Programmierer dort extrem ökonomisch vorgehen und mit wenig Speicherplatz auskommen. Daher ließen sie alle nicht wirklich wichtigen Informationen, beispielsweise die Versionsnummer oder den Namen des Entwicklers, einfach weg. Die Heuristik der Kaspersky-Lösung sah aber unter anderem das als ein Indiz für möglichen Schadcode und blockte die Software folglich ab. "Gott sei Dank wurde das schnell bemerkt. Das Problem ließ sich beheben, indem wir die Programme über eine White List als unbedenklich markierten", erinnert sich Lamm.

Welchen Schaden zu scharfe Heuristiken anrichten können, zeigte sich unlängst auch am Beispiel von McAfee: Nach einem Update stufte der Viren-Scanner des Anbieters bei manuellen Virenuntersuchungen plötzlich "Excel"-Dokumente als Schädlinge ein. Je nach Konfiguration wurden die Dateien gelöscht oder in Quarantäne verschoben.

Signaturtests sind Pflicht

Vorfälle wie diese zeigen, dass es mit dem reinen Einspielen von Signatur-Updates nicht getan ist. Anwender müssen die Aktualisierungen unbedingt testen, bevor sie im Unternehmen installiert werden. Wie Avira-Manager Hacker erzählt, "testet jedes größere Unternehmen zunächst einmal die Qualität der Signaturen und kontrolliert, dass keine Konflikte mit installierten Anwendungen auftreten". Getreu dem Motto: Vertrauen ist gut, Kontrolle ist besser. Eine solche Qualitätssicherung ist vor allem dann wichtig, wenn im Unternehmen selbst entwickelte Anwendungen im Einsatz sind. Hier ist die Gefahr, dass ein Virenscanner diese ihm zwangsläufig unbekannten Programme als potenziell schädlich einstuft, besonders hoch.