Weshalb können herkömmliche AV-Filter diese Bedrohungen nur schlecht abwehren?

Weil sie in erster Linie auf die Erkennung von Viren in Dateianhängen oder auf Festplatten ausgelegt sind. Da aber die Mashup-Angriffe selbst keine Malware enthalten, werden sie von herkömmlichen AV-Filtern übersehen. Diese verlassen sich darauf, dass die Bedrohungen von Antispamlösungen gefiltert werden. Leider sind jedoch die meisten Spam-Filter ebenso wenig in der Lage, solche Gefahren zu blockieren, da die Angriffe nicht den bei Spam üblichen Verbreitungstaktiken per Serien-E-Mail entsprechen. Sie sind eher kurzlebiger Natur, verändern sich stark und erfolgen zielgerichtet. Und genau diese Lücke zwischen den verschiedenen Lösungen öffnet den Computerkriminellen Haus und Hof.

Doch damit nicht genug, ein weiterer Punkt gibt Grund zu den Bedenken gegenüber herkömmlichen Lösungen: der Faktor Reaktionszeit. Üblicherweise kommen bei diesen Lösungen heuristische Methoden zum Einsatz, um die Viren und deren Mutationen ins Visier zu nehmen. Diese Heuristiken müssen manuell geschrieben und nach Erkennen und Identifizieren eines Virus getestet werden. Bis dahin besteht die Notwendigkeit, für die Virendefinitionen individuelle Signaturen zu schreiben, welche die einzelnen Varianten abdecken. Das wiederum setzt eine manuelle Analyse voraus. Letztlich beansprucht dieser Vorgang beträchtliche Ressourcen und vor allem Zeit – Zeit, die in diesem Fall für die Angreifer arbeitet, denn je länger eine Reaktion dauert, desto weiter kann der Virus verbreitet werden. In dieser Zeitspanne ist der Endanwender der Infizierungsgefahr am stärksten ausgesetzt. Hinzu kommt, dass die Kriminellen weder Feierabend, Wochenende oder Feiertage kennen. Nicht umsonst erfolgen Angriffe zu diesen Zeiten besonders verstärkt in der Hoffnung, dass die Analyseteams nur spärlich besetzt sind.

Zuletzt konnte Cloudmark dies während Thanksgiving-Feiertage in den USA verfolgen. Viele Firmen arbeiten während dieser Zeit nur mit Notbesetzung und prompt stieg die Anzahl der Anfragen an das kostenlose „Razor“-Netzwerk um ein Vielfaches – ein Beleg für genau diesen Effekt.