Forensic Investigations / Fi Blog

Fi Blog

Betrachtung und Kriterien

Die hier untersuchten Daten zu Marktanteilen stammen von OPSWAT (PDF , März 2011), die Leistungswerte von VirusBtn (April 2011) und NSS Labs (PDF , Q3-2010).

Pandasoft (Marktanteil 4,76%) und TrendMicro (Marktanteil 1,77%) tauchen bei VirusBtn aktuell nicht mehr auf und bleiben deshalb hier außer Betracht.

Kernkriterien

Die Erkennungsquote (Schutzumfang) ist sicherlich das wichtigste Kriterium für eine solche Lösung. Daneben spielen die Performance-Auswirkungen und die Bedienung eine Rolle, da sie ansonsten mangelnde Akzeptanz beim Endanwender finden und der Schutz vielfach torpediert wird. Laut einer Untersuchung von Avira schalten 25% der Endanwender Virenschutzlösungen einfach aus, wenn diese zu große Auswirkungen auf die Performance Ihres Systems zeigen .

"Reaktive" und "proaktive" Erkennung

VirusBtn differenziert bei der Erkennungsquote zwischen "reaktivem" und "proaktivem" Schutz, wobei sich "reaktiv" auf muster-("Pattern"-)basierte Erkennung bekannter Schadsoftware bezieht, und "proaktiv" auf die Erkennung unbekannter Schadsoftware durch verhaltens-basierte Verfahren oder generische Muster. Proaktive Erkennung ist besonders bei neuer Schadsoftware wichtig, da für diese häufig noch keine passenden Erkennungsmuster vorliegen. Verhaltens-basierte Erkennung, automatische Klassifikation oder händische Analyse durch Sicherheitsforscher sind auch die einzigen Wege, ein Programm überhaupt als Schadsoftware einzustufen, um anschließend Erkennungsmuster davon erstellen zu können. Die reaktive Erkennung kann (theoretisch) 100% aller (bekannten) Schadprogramme erreichen, während eine proaktive Erkennung von 100% (auch unbekannter) Schadprogramme unmöglich sein dürfte.

Platzierungen: Leistung und Marktanteile divergieren deutlich

  • Leistungswerte Virenscanner Oktober 2010 bis April 2011, Copyright www.virusbtn.com

    Lavasoft (Marktanteile Platz 10 mit 0,98%) mit Lavasoft Total führt punktgleich mit Coranti als quasi bedeutungslosem Hersteller (die Homepage weist weniger als 150.000 Downloads aus), Lavasoft Pro liegt im Mittelfeld (mehr dazu im Abschnitt Multi-Engine vs. Single-Engine Scanner)
  • weitere Spitzenplätze belegen Kaspersky PURE, Checkpoint und Trustport, dahinter folgen Avira Free und Pro, G-Data, ESET, F-Secure und Avast mit ähnlich guten Werten, etwas zurück in der Spitzengruppe liegen AVG, Kaspersky Internet Security, Microsoft Security Essentials, EmsiSoft und BitDefender
  • der einstige einsame MarktführerMcAfee (historisch >50% Marktanteil) liegt weit abgeschlagen im Mittelfeld mit Quoten gerade noch um die 75%, hat aber noch deutlich mehr Marktanteil als viele besser bewertete Produkte – solange der Marktanteil noch passt und die Milliarden von Intel fließen , ist die Produktentwicklung womöglich auch eher zweitrangig
  • Comodo, Fortinet, eEye, CA Business und Norman bilden die Schlusslichter des Hauptfeldes
  • Rising International und Kingsoft liegen weit abgeschlagen vom Feld

Multi-Engine vs. Single-Engine Scanner

Bringen mehrere parallel verwendete Erkennungssysteme ("Engines") Vorteile? Theoretisch ja – außer bei der Performance vielleicht.

  • Lavasoft Total kann sich zwar von Lavasoft Pro absetzen, dies hat jedoch wohl eher hausinterne, marktstrategische Gründe
  • Coranti liegt wie oben erwähnt punktgleich mit Lavasoft Total an der Spitze – dies ist wenig verwunderlich, verwendet es doch die Engines von Lavasoft Total (Anti-Spyware und Anti-Virus), BitDefender, und Frisk F-Prot parallel – durch die zwei zusätzlichen Engines kann es sich offenbar dennoch nicht von seinem Halbbruder Lavasoft Total absetzen

Business vs. Consumer

Sind Business-Lösungen sicherer als Consumer-Lösungen? Sie sollten es sein, da Unternehmen mutmaßlich einen höheren Schutzbedarf haben als Privatanwender – in der Praxis ist jedoch meist das Gegenteil der Fall.

  • CA Business (~60%/60%) liegt weit schlechter als CA Consumer (~80%/80%)
  • F-Secure Client (Business-Version) liegt ebenfalls hinter F-Secure Internet Security (Consumer)
  • Lediglich bei Microsoft lässt sich dieser Trend nicht eindeutig bestätigen – Microsoft Forefront (kostenpflichtig, Business) ist reaktiv etwas besser, Microsoft Security Essentials (kostenfrei, Consumer) ist proaktiv etwas besser. Zu Security Essentials liegt aber nur eine Messung vor; bei der wichtigeren reaktiven Technik scheint jedoch auch hier das Consumer-Produkt technologisch weiter fortgeschritten.

Was sind die Gründe für diese Schieflage? Bei der Anschaffung von Business-Lösungen wird primär auf die leichte Administration geachtet. Consumer-Lösungen sind zudem die größere Geldmaschine, weshalb die Hersteller diese vermeintlich primär fokussieren. Ein Vertriebler von Symantec beispielsweise hatte dies auch unverholen eingeräumt . Geld drucken scheint klar wichtiger zu sein als Orientierung an Kundenbedürfnissen. Meiner Meinung nach ist die Einteilung in Business- und Consumer-Produktlinien ohnehin ein großer Unsinn.

Kostenlose kontra kostenpflichtige Versionen

Erstaunlicherweise liefert das kostenlose Avira Free sowohl im reaktiven und proaktiven Bereich etwas bessere Ergebnisse als das kostenpflichtige Avira Pro. Avira Pro bietet jedoch erweiterte Funktionalität. Da dies unlogisch erscheint, haben wir Avira angeschrieben, worin dies begründet sein könnte, eine Antwort steht noch aus.

Bewertung, Kritik – und was die Zahlen nicht hergeben

  • man muss sich bewusst sein, dass sich je nach verwendeten Testmethodiken andere Zahlen ergeben ("Glaube keiner Statistik, die Du nicht selbst gefälscht hast")
  • zudem besteht durch solche Testverfahren die Gefahr, das sich AV-Hersteller um "gut auszusehen" einem solchen "künstlichen" Szenario anpassen, statt auf die real existenten Bedrohungen abzustellen – prominentes Beispiel in der Vergangenheit waren die Grafikkarten-Hersteller, die Ihre Produkte mehr für Benchmark-Programme optimiert haben, als für reale Anwendungsszenarien
  • alle Testmethodiken können lediglich bekannte Schadsoftware berücksichtigen; da viele Schadprogramme lange Zeit oder gar für immer "unter dem Radar" der AV-Hersteller bleiben werden, liegen die absoluten Werte in der Realität weiter unten auf der Skala
  • nahe am Ausbruch eines neuen Virus verschiebt sich zumindest die reaktive Erkennungsquote ebenfalls nach unten; da Cyberkriminelle ihre Schadsoftware i.d.R. auf Erkennung testen, wandert auch die proaktive Erkennungsquote auf oder Richtung null
  • der Durchschnitt der Erkennungsquote konzentriert sich bei ca. 80%; allein für den Testzeitraum von sechs Monaten bedeutet dies 1,98 Mio. neue, nicht erkannte Schadprogramme (bei ca. 55.000 neuen Viren täglich )
  • beim Exploit-Schutz sieht es lt. den Zahlen von NSS Labs noch schlechter aus: die Erkennungsquoten liegen hier bei gerade 75% beim besten Produkt, mehr als ein Drittel der getesteten Programme liegt gar unter 20%
  • NSS Labs kritisiert weiter, dass je nach Eintrittspunkt der Infektion (z.B. Web-Download oder Laden vom Fileserver) Schadsoftware erkannt würde oder eben auch nicht. Sie kritisieren ferner, dass je nach Produkt 10% bis 60% der Umgehungstricks ("evasion techniques"), die Cyberkriminelle typischerweise verwenden, gänzlich unbemerkt blieben. Zudem würden rein speicherresidente Schadprogramme von weniger als einem Drittel der Produkte erkannt, was gerade für besonders bedrohte Infrastrukturen, die sich eventuell sogar persistenten Angriffen ("Advanced Persistent Threats") gegenübersehen, ein zusätzliches Risiko darstellen dürfte.

Fazit

Virenscanner sind im Gegensatz zu verbreitetem Glauben nicht die "Ultima Ratio" in puncto Sicherheit. Sie stellen vielmehr lediglich einen Grundschutz dar und sollten je nach Schutzbedarf durch weitere Maßnahmen ergänzt werden. Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.


Über die Website hxxp://www.neuenfirefoxonline.com/ würde ein manipulierter Firefox-Browser ausgeliefert, der Adware auf dem PC des Anwenders installiert, berichten WebSicherheit.org und The Register . WebSicherheit.org berichtet weiter, dass der manipulierte Firefox über Anzeigen bei Google gar noch prominent in Szene gesetzt worden wäre, wenn man mit den Worten "firefox download" gesucht hätte.

Hier gilt wieder einmal der Hinweis, Programme nur aus seriösen Quellen herunterzuladen, optimalerweise direkt vom Hersteller. Spätestens eine offensichtlich maschinell übersetzte Seite in gebrochenem Deutsch sollte einem zu denken geben.

Zudem sind alle offiziellen Firefox-Versionen mit einer digitalen Signatur der Mozilla Foundation versehen. Alle Windows-Versionen ab Windows 2000 sollten dies beim Starten des Setup-Programms anzeigen; erscheint keine Signatur-Anzeige mit "Mozilla Foundation" oder eine mit "Unbekannter Herausgeber", sind Zweifel geboten.

Aktuelle Virenscanner erkannten den manipulierten Firefox laut WebSicherheit.org. Warum also Google die Anzeige also präsentiert hat, bleibt fraglich.

UPDATE 03.09.2010: Authenticode-Signaturen bieten ebenfalls keine wirkliche Sicherheit mehr, da der als gebrochen bekannte MD5-Algorithmus immer noch unterstützt wird.

Spätestens seit Stuxnet ist bekannt, das auch digitale Signaturen keine wirkliche Sicherheit mehr bieten.

Der Anti-Virus-Hersteller F-Secure fand in seinen Schadsoftware-Archiven allein 548 Dateien, die mit dem W32.Induc.A Virus infiziert waren und eine gültige Signatur trugen .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31