Hi!
"Cloudbasiert" ist hier nicht einfach nur ein Modewort, sondern bedeutet hier ganz konkret, dass ein Teil der Virenscans in die Cloud ausgelagert ist. Das ist auch nichts Neues, dass Microsoft exklusiv nutzt, das gab es schon seit ein paar Jahren von "normalen" Antivirusherstellern. Ich meine die ersten wären Panda gewesen.
Hier ein Artikel auf Heise.de von 2009: https://www.heise.de/security/meldung/Cloud-basiertes-Antivirus-von-Panda-216723.html
Zur genauen Funktionsweise von Microsofts Cloudscanner hab ich jetzt auf die Schnelle nicht viel gefunden. Die haben einen englischen Blog zu ihrer Antiviruslösung, die sich an IT-Administratoren wendet. Dort gab es 2015 einen Artikel: https://blogs.technet.microsoft.com/mmpc/2014/09/22/microsoft-cloud-protection/
"When our antimalware products encounter anything unusual, they can send a small packet of information about the event or file to our server. The server then sends back a reply telling the antimalware software whether to block it or not. It can also request a sample for further analysis."
In der Praxis gehen offenbar aus Perfomancegründen zuerst Hashcodes von Dateien (oder vergleichbare IDs) an den Server gesendet werden (zumindest würde ich das so realisieren). Der Cloudserver kann dann melden: ok, kenne ich: gefährlich oder nicht gefährlich. Oder er fordert Teile der Datei für eine Analyse an.
Das mit den "Events" ist dann schon stärker Tobak. Dass ist dann schon fast Debuginformation über den internen Ablauf von Programmen, falls da jeder Dateizugriff gesendet wird (was der Logik zufolge passieren müsste).
Salopp gesagt, müssen derartige Details über das Web an den Server, sonst würde es technisch keinen Sinn machen in der Cloud zu arbeiten. Vorteil: der Server im Web, der die Beurteilung und Scans durchführt, ist immer auf dem aktuellen Stand der Viruslösung. Es entfällt das Übertragen von Scannerupdates (Virusdefinition und Programmupdates) an die Client-PCs. Letztendlich war das ja schon der Grund, warum Panda damals vor 8 Jahren damit experimentiert hat.
Damit dann zu deiner Frage nach der Risikobewertung ohne Cloudanbindung. Naja, es ist offensichtlich, dass dann der Scanner erst durch Updates auf den aktuellen Stand gebracht werden muss. Das bedeutet schon rein technisch eine Verzögerung bis neu eingepflegte Viren in deiner lokalen Signaturendatei deines Scanners auftauchen können.
Wie ist das als Risiko Einzuschätzen?
Ich schätze dass man hier auf Nickles.de ein Verhältnis von 2:3 finden wird.
Äh, also frag 2 Leute und bekomme 3 Einschätzungen.
Ich hab Probleme das einzuschätzen. Klar ist es besser, je aktueller die Scandefinitionsdaten sind. Das spricht für den Cloudscanner. Auf der anderen Seite betrachte ich Virusscanner nur noch als einen untergeordneten Schutz, gerade weil er neue Bedrohungen erst erkennen kann, wenn sie - salopp gesagt - bereits alt sind. Wichtiger sind heute schnell eingespielte Updates des Betriebssystems und der im Internet verwendeten Programme (Browser und Mailprogramme), sowie der Tools, die irgendwelches Skripting ermöglichen (Java, Flash usw.; die werden ja nicht umsonst gerade versucht abgelöst zu werden).
Dann muss man noch den Anwendungsfall des Rechners betrachten. Letztendlich geht es um die Balance zwischen Sicherheit, Bequemlichkeit und Datenschutz/Vertrauen in den Anbieter Microsoft. Da hat jeder andere Gewichtungen.
Ich sehe das so:
Auf einem typischen 08/15 Zocker-Rechner, auf dem sonst kaum was gemacht wird, würde ich die Clouderkennung mit laufen lassen. Das sehe ich als bequemer an und es sagt auch etwas darüber aus, wie ich typische Zocker mit ihren typischen Rechnern betrachte... (das waren zynische "..." ).
Auf einem Office-Rechner der ansonsten gut geschützt ist, eher nicht. Da schlägt dann der Datensicherheitsgedanke den Rest.
Bis dann
Andreas