Mittwoch, Mai 14, 2008

Ungebremst sicher - Antiviren-Software auf älteren Systemen


Gründliches Scannen nach Viren kostet Zeit und damit Performance. Trotzdem sollte das System keine regelmäßigen Gedenkpausen beim Öffnen eines Verzeichnisses einlegen oder unerwartet einfrieren, wenn wichtige Arbeit ansteht.

Viele Antiviren-Lösungen kommen mittlerweile mit mehreren Scan-Engines und Voreinstellungen, die auf maximale Sicherheit optimiert sind. Insbesondere auf älteren Systemen bremst das den Rechner gewaltig und führt dazu, dass er richtiggehend einfriert. Oft schalten Anwender dann den Virenschutz "mal eben" ab, weil man Arbeit zu erledigen hat, die nicht warten kann, bis es dem Virenwächter genehm ist. Dann ein kurzer in Blick in die E-Mail, "Was ist denn das?" und schon ist das Unheil passiert.
Besser ist es, den Kompromiss zwischen konsequentem Schutz und maximaler Effizienz der Situation anzupassen und die Sicherheitsanforderungen zu reduzieren. Denn auch wenn Experten das oft aus dem Blick verlieren: Oberste Priorität hat nicht die Sicherheit sondern die Funktion, die ein System zu erfüllen hat. Da muss die richtige Einstellung eben auch mal der pragmatischen Option weichen, die für den konkreten Fall "gut genug" ist.
Wer weiß, dass er nicht ganz taufrische Hardware einsetzt, sollte aus dem Testfeld eine der schnelleren Antivirenlösungen wählen. Die Wächter von F-Secure, Gdata und Bitdefender fangen nicht nur viele Schädlinge, sie lassen sich bei der Begutachtung von Dateien auch reichlich Zeit: Bestimmte Dateioperationen dauern damit nicht selten zwei- bis viermal so lange wie mit einem der flotteren Konkurrenten. Im letzten Test in c't 1/08 erwiesen sich insbesondere die Produkte Antivir, OneCare, NOD32 und Trend Micro Antivirus als recht flott.
Darüber hinaus vollbringt eine gute Anpassung der verwendeten Schutzsoftware an das konkrete System manchmal wahre Wunder, ohne die Sicherheit dramatisch zu reduzieren. Erste Anlaufstelle ist der regelmäßige Komplettscan. Viele Antiviren-Programme führen den in der Standardinstallation wöchentlich durch. Und wenn er auf einem älteren System unvermittelt losläuft, steht erstmal alles; der Anwender darf eine ungeplante Kaffeepause einlegen, die sich durchaus über Stunden hinziehen kann.
Dabei ist der Sicherheitsgewinn nicht sonderlich hoch, denn eigentlich sollte der Wächter ankommende Gefahren bereits abwehren. Gelingt ihm das nicht und ein Schädling kann sich im System breit machen, ist das Kind ohnehin in den Brunnen gefallen, und ob ein Komplettscan diesen Befall dann aufdecken kann, steht auf einem anderen Blatt.
Das heißt nicht, dass man darauf komplett verzichten sollte. Aber auf älteren Systemen sollte man alles tun, ihn auf einen Zeitpunkt zu legen, zu dem der Rechner ohnehin nicht benötigt wird. Also kann man beispielsweise statt des vollautomatischen Scans die Erinnerungsfunktion nutzen, die manche Produkte anbieten. Oder man richtet sich selbst in den „Geplanten Tasks“ beziehungsweise in Vistas Aufgabenplanung eine solche ein. Und wenn dann doch mal ein Scan-Termin ausfällt, ist das sicher kein Weltuntergang.


Viel bremst viel

Außerdem sollte man sich gerade bei leistungsschwächeren Systemen davor hüten, alles doppelt und dreifach zu verriegeln. Moderne Antiviren-Software hat auch Ad- und Spyware im Blick. Ein zweiter Wächter für eine spezielle Schädlingskategorie bremst das System überproportional aus.
Vista-Nutzer beispielsweise können ihrem System deutlich auf die Sprünge helfen, indem sie den Windows Defender deaktivieren. Defender erkennt nur circa 77 Prozent der Ad- und Spyware-Exemplare des Schädlings-Zoos, liefert also ohnehin nur einen rudimentären Grundschutz, den außer CA und Norton alle AV-Programme im Test deutlich übertrafen. Die durch ihn verursachten Wartezeiten sind allerdings durchaus vollwertig.
So dauerte auf einem Testsystem das Auspacken eines 80 MByte großen Zip-Archivs ohne Defender circa 40 Sekunden, mit Defender im Hintergrund aber fast 80 – also rund doppelt so lang. Das entspricht im Übrigen auch in etwa der Verzögerung durch das eher langsame Antiviren-Paket von Gdata, das im Test allerdings neben den klassischen Schädlingen auch gleich 99 Prozent der Ad- und Spyware wegfischte.
Noch schlimmer ist, dass die durch den Defender verursachte Wartezeit unter Umständen weiter steigt, wenn er parallel zu Antiviren-Software läuft. So dauerte es über eine Minute länger, wenn neben dem Gdata-Wächter auch der Defender das Auspacken der Zip-Datei überwachen wollte. Insgesamt musste man dann statt 40 Sekunden mehr als 2 Minuten 30 auf die dekomprimierten Dateien warten – also fast viermal so lange.
Ein heißer Tipp für Firefox- und Opera-Fans: Nach dem Abschalten der Echtzeitschutz-Option „Internet-Explorer-Downloads“ im Defender ging aus unerfindlichen Gründen das Auspacken von lokal auf der Festplatte liegenden Zip-Dateien mit normaler Geschwindigkeit vonstatten. Da anzunehmen ist, dass auch andere lokale Aktivitäten ähnlich betroffen sind, können diejenigen, die den Windows-Browser ohnehin meiden, da ohne Risiko optimieren.
Prinzipiell gilt das oben Gesagte auch für den Einsatz von anderen, auf Ad- und Spyware spezialisierten Schutzprogrammen, die einen Wächter installieren. Zwei Instanzen, die in jede geöffnete Datei reinschauen und eventuell auch noch den Arbeitsspeicher und diverse andere Systemressourcen überwachen wollen, bremsen nicht nur doppelt – man muss auch mit Problemen rechnen, die sich aus der Konkurrenz ergeben können.
Wer Performance beziehungsweise Zeit über hat, bekommt durch den Parallelbetrieb zum AV-Wächter vielleicht etwas Extra-Sicherheit. Grundsätzlich sollte aber die Antiviren-Software diesen Job gleich mit erledigen. Und wie unser Test zeigte, tun das zumindest die meisten kommerziellen Produkte auch ganz ordentlich.


Kraft der vier Herzen


Die Hoffnung, dass Vielfach-Kerne dieses Problem entschärfen, zerschellte an konkreten Testergebnissen. Aktivitäten wie das Kopieren von Dateien oder das Auspacken von Zip-Archiven profitierten von den zusätzlichen CPUs in Dual- oder gar Quad-Core-Systemen so gut wie gar nicht. Das ist auch durchaus einsichtig, denn die Überprüfung auf Schädlinge läuft ja nicht parallel sondern unterbricht den jeweiligen Vorgang, bis das Ergebnis vorliegt. Und die Wächter selbst arbeiten nach unseren Ergebnissen ebenfalls nicht parallelisiert, selbst wenn sie wie GData und F-Secure mit mehreren Scan-Engines zu Werke gehen.
Die CPU-Last sank natürlich von vorher fast 100 Prozent auf etwa 50 beim Dual-Core und circa 30 Prozent beim Quad-Core. Das heißt, dass genug Leistung übrig ist, noch etwas anderes zu machen, während der Virenscanner aktiv ist. So kann man auf einem Dual-Core-System beispielsweise den Komplettscan meist ohne große Beeinträchtigung im Hintergrund laufen lassen. Allerdings blockiert das Einlesen der Dateien natürlich I/O-Kapazitäten, was sich in bestimmten Bereichen dann doch wieder nachteilig bemerkbar macht.
Sehr effizient sind oft auch Tuning-Maßnahmen, die zwar das System entlasten, die Sicherheit aber nur indirekt betreffen. An erster Stelle stehen die Optionen des Hintergrundwächters, oft auch als Echtzeitschutz bezeichnet, denn er bremst das System bei der alltäglichen Arbeit. Bei einem Komplettscan hingegen ist es vergleichsweise egal, ob er zwei oder drei Stunden benötigt.
m Idealfall überprüft man alle Dateien, unabhängig von ihrem Typ; manche Hersteller haben das mittlerweile auch so voreingestellt. Denn Listen mit potenziell gefährlichen Dateien sind nie vollständig. Vor zwei Jahren hätte beispielsweise kaum jemand WMF-Dateien auf dem Schirm gehabt. Bis dann plötzlich E-Mails mit WMF-Dateien durchs Netz schwirrten, die eine Schwachstelle in Windows ausnutzten, um Spionage-Software zu installieren.
Wenn das System aber in der sicheren Einstellung ungebührlich hakelt, hilft es oft, sich auf die vom Hersteller vorgegeben Auswahl zu verlassen und dabei zu hoffen, dass er diese beim Auftauchen neuer Gefahren ausreichend schnell aktualisiert. Denn das kann den Unterschied zwischen ein paar wenigen und hunderten zu untersuchenden Dateien in einem Verzeichnis ausmachen – und damit den zwischen einem sich flott öffnenden Explorer-Fenster und minutenlangem Warten. Als Kompromiss kann man den Wächter auf ausgewählte Dateitypen beschränken und beim Komplettscan alles überprüfen.
Archive aller Art können zwar Schädlinge enthalten. Bevor sie auf dem eigenen System aktiv werden können, muss man sie jedoch erstmal auspacken, was dem Wächter noch die Gelegenheit gibt, dazwischenzuhauen. Wer Archive nicht automatisch überprüfen lässt, riskiert zwar keine direkte Infektion, aber dass er zum Beispiel unbemerkt ein infiziertes Archiv weiterleitet, das er selbst nicht ausgepackt hatte. Ähnliches gilt auch für das Überprüfen von Schreiboperationen; auf den Test von Netzwerkzugriffen kann man unter Umständen verzichten, wenn den Server bekanntermaßen ein zuverlässiger Virenschutz überwacht.
Die beispielsweise bei Gdata angebotene Möglichkeit, nur eine der beiden Scan-Engines zu verwenden, brachte ebenfalls einen deutlichen Performancegewinn, erhöht aber die Gefahr, dass etwas durchrutscht. Von Optionen, den Test laufzeitgepackter Archive oder gar die komplette Heuristik abzuschalten, sollte man hingegen Abstand nehmen. Sie erhöhen das Risiko, sich einen neuen Schädling einzufangen, beträchtlich.

Mit den vorgestellten Optimierungen gelang es, auf unserem Vista-Testsystem das Extrahieren des 80-MByte-Archivs trotz Gdata Antivirus mit beiden Engines von unerträglichen 2:30 Minuten auf circa 1:10 reduzieren; im Vergleich zu den circa 40 Sekunden ohne Virenschutz schon ganz ordentlich. Auf einem Pentium 4 mit 3 GHz, 1 GByte RAM und Windows XP war selbst mit beiden Engines noch flüssiges Arbeiten möglich. Wer deutlich ältere Hardware hat, sollte entweder einen anderen Virenschutz verwenden oder die Anschaffung eines anderen Rechners in Erwägung ziehen. Schließlich kostet mancher Gebraucht-PC nicht so viel mehr als ein Antiviren-Paket. (Quelle:Heise.de)

Siehe dazu auch:

  • Der Virendoktor, Tipps für den Umgang mit (vielleicht) infizierten Systemen auf heise Security

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite