Forscher an der University of Michigan glauben nun, eine bessere Methode gefunden zu haben, Rechner vor Malware zu bewaren: Sie wollen die Schutzsoftware vom heimischen PC in die "Cloud" verlagern, in die Datenwolke namens Internet, wo sich die Leistung zahlreicher Server bündeln lässt. Mit dem Ansatz war es im Versuch möglich, deutlich mehr neue Viren zu erkennen als Stand-alone-Schutzprogramme (83 Prozent zu 73 Prozent), berichtet das Technologiemagazin Technology Review in seiner Online-Ausgabe. Hinzu kam, dass die Gesamtleistung verbessert wurde: Die von den Forschern entwickelte, verteilt arbeitende Software namens "Cloud AV" erwischte insgesamt 98 Prozent aller im Test auf sie angesetzten Datenschädlinge, während eine Einzelplatz-Software im Durchschnitt nur 83 Prozent einfing.

"Wir haben uns Sorgen darüber gemacht, dass die Erkennungsleistung der meisten populären Anti-Viren-Software für sich allein genommen einen zu geringen Bereich abdeckt", sagt Farnam Jahanian, Professor für Computerwissenschaften an der University of Michigan. Seine einfache Idee: Würde man auf einem PC die Anti-Viren-Programme verschiedener Anbieter gleichzeitig verwenden, würde das die Sicherheit erhöhen. Das Problem: Kaum ein PC kann das leisten. "Indem wir die Anti-Virus-Funktion nun aber ins Netzwerk verlagern, können wir mehrere Programme gleichzeitig laufen lassen."

Jahanian und sein Kollege Jon Oberheide scannten 10.000 Datenschädlingsproben, die sie innerhalb eines Jahres gesammelt hatten. Dabei wurden unterschiedliche Anti-Viren-Programme eingesetzt. Jedes hatte seine Stärken und Schwächen. Wenn eine Malware von einer Lösung nicht erfasst wurde, griff oft eine andere. Um das Beste aus den Sicherheitsprodukten herauszukitzeln, installierten die Forscher zwölf verschiedene Anti-Viren-Programme auf Servern, die im Netzwerk der ingenieurwissenschaftlichen Abteilung der University of Michigan hingen. Freiwillige installierten dann ein kleines Stück Software auf ihren Desktop-Rechnern, das das Eintreffen neuer Dateien, egal ob als E-Mail-Anhang oder als Download, überwachte. Diese Files wurden dann in einen Hash-Wert umgerechnet, der eine Datei zweifelsfrei identifiziert. Dieses Element wurde dann an Cloud AV zur Analyse geschickt. Konnte eine Datei darüber nicht identifiziert werden, wurde sie anschließend einfach komplett hochgeladen, um dann gescannt zu werden. Ist eine Datei einmal identifiziert, wird ihr Hash-Wert gespeichert. So muss Cloud AV nicht ständig die gleiche Scanarbeit leisten.