Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Online-Virenscanner: Dateien und URLs ohne Installation prüfen

Online-Virenscanner ermöglichen die Prüfung von Dateien und URLs gegen die Signaturdatenbanken mehrerer Antivirenprogramme gleichzeitig, ohne Software lokal installieren zu müssen. Dieser Artikel erklärt die Funktionsweise, bekannte Dienste wie VirusTotal und Hybrid Analysis, Anwendungsfälle, Grenzen und API-Integration.

Inhaltsverzeichnis (6 Abschnitte)

Ein Online-Virenscanner ist ein webbasierter Dienst, der hochgeladene Dateien oder URLs gegen die Erkennungsdatenbanken mehrerer Antivirenprogramme und Sicherheitsanalyse-Engines gleichzeitig prüft. Im Gegensatz zu lokal installierten Antivirenprogrammen erfordert ein Online-Virenscanner keine Installation und läuft vollständig im Browser. Die zu prüfende Datei oder URL wird an den Dienst übermittelt, dort analysiert und das Ergebnis zurückgeliefert.

Das Prinzip des Multi-Engine-Scannens ist der entscheidende Vorteil: Während ein einzelnes Antivirenprogramm nur seine eigene Signaturdatenbank kennt, aggregiert ein Dienst wie VirusTotal die Ergebnisse von bis zu 70 verschiedenen Engines. Eine Datei, die von einem einzelnen Scanner unerkannt bleibt, kann von einem anderen identifiziert werden.

Funktionsweise: Multi-Engine-Scanning

Signaturbasierte Erkennung

Die grundlegende Erkennungsmethode der meisten Engines ist signaturbasiert: Bekannte Schadsoftware wird anhand charakteristischer Bytemuster (Signaturen) identifiziert. Signaturbasierte Erkennung ist schnell und präzise für bekannte Malware - versagt jedoch bei neuen oder modifizierten Schadsoftware-Varianten.

Heuristische Analyse

Heuristiken erkennen verdächtiges Verhalten anhand von Mustern, die auf Schadsoftware hindeuten - auch ohne bekannte Signatur. Typische heuristische Erkennungsmerkmale sind: ungewöhnliche Systemaufrufe, Verschlüsselungsroutinen, Kommunikation mit Command-and-Control-Servern oder Selbstreplikation. Heuristiken können False Positives erzeugen - legitime Software wird fälschlicherweise als verdächtig markiert.

Statische Analyse

Bei der statischen Analyse wird die Datei untersucht, ohne sie auszuführen. Dabei werden unter anderem ausgewertet: Metadaten (Erstellungszeitpunkt, Compiler), eingebettete Strings, importierte Bibliotheken, Zertifikatsinformationen und Ähnlichkeiten zu bekannter Malware (Fuzzy Hashing).

Dynamische Analyse (Sandbox)

Die dynamische Analyse führt die Datei in einer isolierten Umgebung (Sandbox) aus und beobachtet das tatsächliche Laufzeitverhalten. Das ist die mächtigste Analysemethode, weil selbst verschlüsselte oder gepackte Malware sich beim Ausführen offenbart. Dienste wie Hybrid Analysis, ANY.RUN und Joe Sandbox sind auf diese Analysemethode spezialisiert.

Bekannte Dienste

VirusTotal

VirusTotal ist der bekannteste und meistgenutzte Online-Virenscanner. Das ursprünglich 2004 in Spanien gegründete Unternehmen gehört seit 2012 zu Google (VirusTotal ist heute Teil der Alphabet-Tochter Chronicle/Google Cloud). Die Plattform prüft Dateien und URLs gegen über 70 verschiedene Antivirenprogramme und Scan-Engines.

Technische Details:

  • Dateigröße: bis zu 650 MB (öffentlich), größere Dateien über die API möglich
  • Unterstützte Typen: ausführbare Dateien, Office-Dokumente, PDFs, Archive, Webseiten und mehr
  • Ergebnis enthält: Anzahl der anschlagenden Scanner, detaillierte Einzelergebnisse, technische Metadaten, Verbindungen zu anderen Dateien und Domains (Relations-Tab), Community-Kommentare

Wichtiger Datenschutzhinweis: Hochgeladene Dateien werden in der VirusTotal-Datenbank gespeichert und sind für Premium-Nutzer und Sicherheitsforscher weltweit zugänglich. Sensible Dateien - interne Dokumente, Quelltexte, Daten mit personenbezogenem Inhalt - dürfen nicht über VirusTotal hochgeladen werden.

Hybrid Analysis

Hybrid Analysis, betrieben von CrowdStrike, ist auf dynamische Malware-Analyse spezialisiert. Im Unterschied zu VirusTotal liegt der Fokus auf dem detaillierten Verhalten einer Datei beim Ausführen in verschiedenen Sandbox-Umgebungen.

Eigenschaften:

  • Vollständige Sandbox-Ausführung mit Verhaltensprotokoll
  • Netzwerktraffic-Analyse während der Ausführung
  • Screenshots des Desktops während der Sandbox-Ausführung
  • Extraktion von IoCs (Indicators of Compromise) aus der Datei
  • Kostenlos für nicht-kommerzielle Nutzung

ANY.RUN

ANY.RUN ist ein interaktiver Online-Sandbox-Dienst. Das Besondere: Der Nutzer kann während der Sandbox-Ausführung aktiv mit der Umgebung interagieren - Klicks ausführen, Formulare ausfüllen, Makros aktivieren. Das ist besonders nützlich bei Malware, die erst nach Nutzerinteraktion aktiv wird.

Einsatzgebiet: Analyse von Phishing-Dateien, Office-Dokumenten mit Makros, mehrstufigen Infektionsketten bei denen User-Interaktion erforderlich ist.

Joe Sandbox

Joe Sandbox bietet tiefgehende statische und dynamische Analysen für Unternehmen und Sicherheitsdienstleister. Die Plattform ist auf professionelle Malware-Analysen ausgelegt und liefert umfangreiche technische Reports.

Merkmale: Unterstützung von Windows, macOS, Linux, Android und iOS; ausführliche Verhaltensberichte; YARA-Regel-Integration; API für automatisierte Analysen.

MetaDefender (OPSWAT)

MetaDefender ist ein weiterer Multi-Engine-Scanner, der besonders in industriellen und kritischen Infrastruktur-Umgebungen eingesetzt wird. Neben der Virus-Erkennung bietet die Plattform "Deep CDR" (Content Disarm and Reconstruction) - dabei wird eine Datei nicht nur gescannt, sondern aktiver potenziell gefährlicher Inhalt entfernt und eine bereinigte Version zurückgeliefert.

Anwendungsfälle

Verdächtige Dateien aus unbekannter Quelle

Erhält ein Mitarbeiter eine E-Mail mit einem Anhang von einem unbekannten Absender, kann der Anhang vor dem Öffnen über VirusTotal geprüft werden. Schlägt keine einzige Engine an, ist das kein Freifahrtschein (neue Malware wird anfangs von keinem Scanner erkannt), aber ein Indiz für gering-riskante Dateien.

E-Mail-Anhänge und Office-Dokumente

Office-Dokumente mit Makros sind ein häufiger Angriffsvektor. Der Upload auf VirusTotal oder Hybrid Analysis zeigt, ob bekannte Muster für schädliche Makros erkannt werden. Für tiefere Analyse empfiehlt sich ANY.RUN, das die Makro-Ausführung interaktiv zeigt.

Bevor eine verdächtige URL angeklickt wird, kann sie über VirusTotal geprüft werden. Der Dienst prüft die Domain gegen Blacklists und analysiert den Seiteninhalt auf bekannte Malware, Phishing-Muster und Weiterleitungen zu bösartigen Ressourcen.

Erkennung von Phishing-Seiten

VirusTotal und ähnliche Dienste integrieren Phishing-Erkennungsdatenbanken (z.B. Google Safe Browsing, PhishTank). Eine verdächtige URL die optisch einer Bankwebseite ähnelt, lässt sich so schnell einschätzen.

Hash-Prüfung ohne Upload

Wenn eine Datei nicht hochgeladen werden soll (aus Datenschutzgründen), kann alternativ der Hashwert der Datei (SHA-256, MD5, SHA-1) bei VirusTotal nachgeschlagen werden. Hat ein anderer Nutzer dieselbe Datei bereits hochgeladen und analysiert, ist das Ergebnis abrufbar - ohne die Datei selbst erneut zu übermitteln.

Hash einer Datei berechnen:

Windows PowerShell:
Get-FileHash -Path datei.exe -Algorithm SHA256

macOS/Linux:
shasum -a 256 datei.exe
# oder
sha256sum datei.exe

Grenzen und wichtige Einschränkungen

Kein Echtzeitschutz

Ein Online-Virenscanner ist kein Ersatz für einen lokal installierten Antivirenschutz. Er bietet keinen Echtzeitschutz - er prüft nur, was explizit eingereicht wird. Eine Schadsoftware, die über einen anderen Weg auf das System gelangt, wird von einem Online-Scanner nicht erkannt.

Zero-Day-Malware und neue Varianten

Frisch entwickelte oder angepasste Malware wird von keinem Scanner erkannt, weil die Signaturdatenbanken noch nicht aktualisiert wurden. Ein Scan-Ergebnis von 0/70 (kein Scanner schlägt an) bedeutet nicht, dass die Datei sicher ist - es bedeutet nur, dass keine bekannte Malware-Signatur gefunden wurde. Zero-Day-Exploits und gezielte Malware für spezifische Ziele werden von allgemeinen Online-Scannern häufig nicht erkannt.

False Positives

Heuristiken und verhaltensbasierte Erkennung erzeugen gelegentlich False Positives: Legitime Software wird als verdächtig eingestuft. Das ist besonders bei proprietärer Software, Packer-Tools oder Nischenanwendungen häufig. Ein oder zwei anschlagende Scanner bei 70 lassen sich nicht automatisch als Malware-Beweis werten - der Kontext muss bewertet werden.

Datenschutz und Vertraulichkeit

Das ist die wichtigste Einschränkung für den Unternehmenseinsatz: Hochgeladene Dateien werden gespeichert und können von anderen Nutzern eingesehen werden. Folgende Dateitypen dürfen nicht über öffentliche Online-Virenscanner hochgeladen werden:

  • Dateien mit personenbezogenen Daten (DSGVO-relevant)
  • Interne Dokumente und Verträge
  • Quelltexte und proprietäre Software
  • Zugangsdaten oder Konfigurationsdateien mit Geheimnissen
  • Alle Dateien die unter Vertraulichkeitspflichten stehen

Für vertrauliche Analysen sollten lokale Sandbox-Lösungen oder private Instanzen eingesetzt werden.

API-Integration für Sicherheitsteams

VirusTotal und die meisten anderen Dienste bieten APIs für die automatisierte Integration in Sicherheitsworkflows.

VirusTotal API - Datei-Hash abfragen (Python):

import requests

api_key = "IHR_API_KEY"
file_hash = "sha256_hash_der_datei"

url = f"https://www.virustotal.com/api/v3/files/{file_hash}"
headers = {"x-apikey": api_key}

response = requests.get(url, headers=headers)
data = response.json()

# Anzahl der Erkennungen
stats = data["data"]["attributes"]["last_analysis_stats"]
print(f"Schädlich: {stats['malicious']}/{stats['malicious'] + stats['undetected']}")

Typische Integrationspunkte in Sicherheits-Workflows:

  • SIEM-Integration: Automatische Hash-Abfrage bei neuen Prozessausführungen
  • E-Mail-Gateway: Anhänge automatisch auf Hash-Basis prüfen
  • EDR-Integration: IOC-Abgleich mit VirusTotal bei Alert-Generierung
  • SOAR-Playbooks: Automatisierte Enrichment-Schritt bei Incident Response

Die VirusTotal-API ist in der kostenlosen Version auf 4 Anfragen pro Minute und 500 Anfragen pro Tag begrenzt. Für professionelle Nutzung sind kommerzielle Tarife verfügbar.

Alternativen: Lokale Sandbox-Lösungen

Für Umgebungen mit strengen Datenschutzanforderungen oder hohem Analysevolumen empfiehlt sich der Einsatz lokaler Sandbox-Lösungen:

Cuckoo Sandbox: Open-Source-Lösung für automatisierte Malware-Analyse, die vollständig im eigenen Netzwerk betrieben werden kann. Führt verdächtige Dateien in isolierten virtuellen Maschinen aus und erstellt detaillierte Verhaltensberichte.

CAPE Sandbox: Weiterentwicklung von Cuckoo mit Fokus auf Shellcode-Extraktion und Konfigurationsanalyse von Malware-Familien.

Intezer Analyze: Cloudbasierte Plattform mit Fokus auf Code-Ähnlichkeitsanalyse - identifiziert genetische Verbindungen zwischen analysierter Malware und bekannten Malware-Familien.

Windows Sandbox: In Windows 10/11 Pro integrierte Sandbox-Umgebung für einfache manuelle Tests. Nach dem Schließen der Sandbox werden alle Änderungen verworfen.

Die Wahl zwischen Online-Dienst und lokaler Sandbox hängt von Datenschutzanforderungen, Analysevolumen und dem erforderlichen Detailgrad der Ergebnisse ab.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung