Virenscanner arbeiten mit einem grundlegenden Nachteil: Sie können nur erkennen, was sie bereits kennen. Neue Malware – sogenannte Zero-Day-Bedrohungen – bleibt oft stunden-, tage- oder sogar wochenlang unsichtbar, bis die Hersteller ihre Datenbanken aktualisiert haben. In dieser kritischen Zeitspanne bist Du völlig ungeschützt.
Warum ist das so?
Virenscanner basieren zu einem großen Teil auf sogenannten Signaturen. Das sind digitale Fingerabdrücke bekannter Schadsoftware. Wenn eine Datei mit einem bekannten Fingerabdruck übereinstimmt, schlägt der Scanner Alarm. Das funktioniert zuverlässig – aber nur für Malware, die bereits entdeckt, analysiert und in die Datenbank aufgenommen wurde.
Das Problem: Jeden Tag tauchen hunderttausende neue Malware-Varianten auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt über 250.000 neue Schadprogramm-Varianten pro Tag. Selbst wenn Antivirenhersteller rund um die Uhr arbeiten, entsteht immer eine Lücke zwischen dem ersten Auftreten einer neuen Bedrohung und der Verfügbarkeit einer passenden Signatur.
Moderne Malware nutzt diese Lücke gezielt aus. Angreifer verwenden verschiedene Techniken, um ihre Schadsoftware für Virenscanner unsichtbar zu machen:
- Polymorphe Malware verändert bei jeder Kopie ihren eigenen Code. Stell Dir vor, ein Einbrecher würde bei jedem Einbruch sein Aussehen komplett verändern – die Polizei hätte es schwer, ihn anhand eines Fotos zu identifizieren. Genau so funktioniert polymorphe Malware. Der Schadcode bleibt gleich, aber die äußere Hülle sieht jedes Mal anders aus.
- Metamorphe Malware geht noch weiter: Sie schreibt sich selbst komplett um, während sie dieselbe Schadfunktion behält. Das ist, als würde jemand denselben Brief jedes Mal in einer anderen Sprache verfassen.
- Obfuskation (Verschleierung) macht den Code absichtlich unlesbar. Der Schadcode wird so verpackt, dass automatische Analysewerkzeuge ihn nicht als gefährlich einstufen.
- Packer und Crypter komprimieren und verschlüsseln den Schadcode, sodass er erst im Arbeitsspeicher entpackt wird – zu spät für einen Signatur-Scan der Datei.
Auch die sogenannte heuristische Erkennung und verhaltensbasierte Analyse, die moderne Scanner zusätzlich einsetzen, sind kein Allheilmittel. Sie produzieren entweder zu viele Fehlalarme (die Nutzer ignorieren dann echte Warnungen) oder sie erkennen ausgeklügelte Malware nicht, die sich absichtlich unauffällig verhält.
Unabhängige Tests zeigen immer wieder: Selbst die besten Virenscanner erreichen keine 100-prozentige Erkennungsrate. Bei brandneuer Malware in den ersten Stunden nach dem Auftauchen liegt die Erkennung oft bei erschreckend niedrigen Werten – teilweise unter 10 Prozent.
Beispiele aus der Praxis
Der RedLine Stealer ist ein besonders eindrückliches Beispiel. Als Malware-as-a-Service für wenig Geld verfügbar, wird RedLine ständig von verschiedenen Kriminellen angepasst und verändert. Jede neue Version hat eine leicht andere Signatur. Das Ergebnis: RedLine konnte über Jahre hinweg Passwörter, Session-Cookies und Krypto-Wallets stehlen, obwohl Virenscanner ihn theoretisch kannten. Die ständig neuen Varianten schlüpften immer wieder durch.
Emotet war ein Meister der Verwandlung. Das BKA nannte ihn die "gefährlichste Malware der Welt" – nicht weil er besonders raffiniert programmiert war, sondern weil er sich permanent veränderte. Emotet aktualisierte sich mehrfach täglich selbst und lieferte bei jeder Infektion leicht veränderten Code aus. Virenscanner-Hersteller spielten buchstäblich Katz und Maus, und die Maus war oft schneller.
Auch der Emotet-Comeback über OneNote zeigt das Muster: Als Microsoft Office-Makros blockierte, wichen die Angreifer einfach auf OneNote-Anhänge aus. Die Virenscanner waren auf den alten Angriffsweg trainiert – der neue blieb zunächst unerkannt.
Wie schützt Deep Freeze davor?
Deep Freeze verfolgt einen fundamental anderen Ansatz: Es muss Malware gar nicht erkennen. Statt zu versuchen, jede einzelne Bedrohung zu identifizieren – ein Wettrennen, das nicht zu gewinnen ist –, stellt Deep Freeze bei jedem Neustart den ursprünglichen, sauberen Zustand Deiner Systempartition wieder her. Egal ob eine brandneue, noch völlig unbekannte Malware-Variante auf Deinen Rechner gelangt: Ein Neustart löscht sie restlos. Keine Signaturen nötig, keine Aktualisierung, keine Erkennungslücke.
Virenscanner spielen ein Spiel, das sie nicht gewinnen können – sie müssen jede einzelne Bedrohung kennen. Deep Freeze muss keine einzige kennen, weil es einfach alles zurücksetzt. Das ist der entscheidende Unterschied.