17. Oktober 2018

18 Schutzlösungen für Unternehmen im Test unter Windows 10

Das Angriffsziel Firmennetzwerk lässt sich mit einer guten Client-Server-Lösung schützen. Das Labor von AV-TEST hat 18 Produkte im Labor auf ihre Schutzwirkung, Geschwindigkeit und Benutzbarkeit geprüft und zeichnet zehn davon als TOP-PRODUCT aus.

18 Lösungen

für Unternehmen im Test unter Windows 10

zoom

Die Medien berichten immer öfter über Attacken auf Firmennetzwerke. In Europa dürften die vielen veröffentlichten Vorfälle auch mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) zusammenhängen, die nach dem Verlust von personenbezogenen Daten eine Meldepflicht vorschreibt. Auch der Einsatz einer Anti-Viren-Lösung ist verpflichtend.

18 Unternehmens-Lösungen im Test

Das Labor von AV-TEST hat 18 Lösungen für Unternehmen in drei Bereichen geprüft: auf die Schutzwirkung, auf die Arbeits-Geschwindigkeit und auf deren Einfluss auf die Benutzbarkeit des Arbeits-PCs. Für alle Testbereiche vergibt das Labor jeweils maximal 6 Punkte. Der Bestwert im Test liegt somit bei 18 Punkten.

Alles Tests fanden in der Zeit von Juli bis August 2018 statt. Jedes Produkt musste in dieser Zeitspanne alle Prüfungen doppelt durchlaufen. Trotz der hohen Hürden in den Checks kann das Labor für viele Produkte nicht nur ein Zertifikat für deren Sicherheit vergeben, sondern auch die Auszeichnung TOP-PRODUCT. Dieses Prädikat erhalten nur Produkte mit einer Gesamtwertung von 18 bzw. 17,5 Punkten. Jeweils beide Produkte von Bitdefender und Kaspersky Lab errangen diese Anerkennung, aber auch Microsoft, Avast, Check Point, Trend Micro und Symantec mit zwei Lösungen.

Security-Lösungen für Unternehmen

Die Auszeichnung TOP-PRODUCT wurde in diesem Test für 10 der 18 Schutzlösungen vergeben

zoom ico
Erkennungsraten bei Firmenlösungen

13 der 18 geprüften Produkten erreichten in allen 4 Testabschnitten jeweils 100 Prozent Erkennung

zoom ico

1

Security-Lösungen für Unternehmen

2

Erkennungsraten bei Firmenlösungen

Überragende Leistungen in der Schutzwirkung

Mit dem sogenannten Real-World-Test und dem Test mit einem Referenz-Set prüft das Labor die Schutzwirkung einer Lösung. Dazu gilt es im ersten Testbereich knapp 300 neue Schädlinge – gefährliche 0-Day-Malware – zu erkennen und aufzuhalten. Die Schädlinge sind zum Teil erst wenige Stunden alt. Im zweiten Testabschnitt müssen dann knapp 20.000 bereits bekannte Schädlinge erkannt und beseitigt werden. Diese sind aber nicht älter als 2 Wochen. Das Labor kennt das Alter und das Gefahrenpotential der Schädlinge ganz genau. Schließlich fischt AV-TEST diese selbst aus dem Netz – jeden Tag, rund um die Uhr. Mit eigenen Werkzeugen testet und klassifiziert das Labor die Angreifer, legt sie ab und trägt sie in eine Datenbank ein. Auf diese Weise verfügt AV-TEST über eine eigene Sammlung von Schädlingen. Der aktuelle Stand der Datenbank Ende September 2018: über 830 Millionen Schädlinge!

Das Ergebnis dieses Tests im Bereich Schutzwirkung ist überragend im Vergleich zu vorherigen Tests: 17 der 18 geprüften Produkte erreichten die maximalen 6 Punkte im Test auf Schutzwirkung. Betrachtet man die reinen Scanraten in Prozent, dann schaffen 14 Produkte jeweils alle 4 Testabschnitte mit vollen 100 Prozent Erkennung. 3 Produkte machten zwar einzelne kleine Fehler, die sich in der Nachkommastelle niederschlagen, sie erreichten aber damit immer noch die volle Punktzahl.

Trotz gutem Schutz oft niedrige Systemlast

Da in Unternehmen bekanntlich nicht immer die leistungsfähigsten PC-Modelle arbeiten, ist den Testern auch die von der Schutz-Software am Client verursachte Systemlast wichtig. Um dies ausführlich zu testen, werden im Labor auf einem Standard- und einem High-End-PC diverse Operationen ausgeführt: Daten kopieren, Webseiten öffnen oder Software starten. Die dafür benötigten Zeiten gelten dann als Referenzzeiten. Danach werden auf den Test-PCs einzeln die Produkte installiert, wieder alle Operationen ausgeführt und die nötigen Zeiten protokolliert. Auch in diesem Bereich können sich die Schutzlösungen bis zu 6 Punkte erarbeiten. Das schafften allerdings nur 9 der 18 Produkte. Volle 6 Punkte erhalten jeweils die beiden Schutzlösungen von Bitdefender, Kaspersky Lab und Symantec. Ebenfalls 6 Punkte erzielen die Produkte von Microsoft, Seqrite und Trend Micro.

Mit leichter Last am Client und noch sehr guten 5,5 Punkten folgen die Lösungen von Avast, Carbon Black, Check Point, Palo Alto Networks und Sophos. Alle anderen Produkte erreichten 5,0 bis 4,5 Punkte. Schlusslicht ist Comodo mit einer recht hohen Last und nur noch 3,5 Punkten.

Bitdefender

Beide Produkte, Endpoint Security und Endpoint Security Elite, wurden TOP-PRODUCT mit je 18 Punkten

zoom ico
Kaspersky Lab

Die Lösungen Endpoint Security und Small Office Security wurden als TOP-PRODUCT ausgezeichnet, da sie 18 Punkte erreichten

zoom ico
Microsoft Windows Defender

Das beste Ergebnis in der Testhistorie der Business-Lösung von Microsoft: TOP-PRODUCT

zoom ico

1

Bitdefender

2

Kaspersky Lab

3

Microsoft Windows Defender

Fehlalarme verunsichern Nutzer

Unter dem Begriff Benutzbarkeit prüft AV-TEST die Produkte auf Fehlalarme beim Besuch von Webseiten, beim Scan von Software-Dateien, beim Installieren und Starten von Software. Das klingt einfach, ist es aber nicht: denn im Test werden 500 Webseiten geöffnet, fast 1,4 Millionen Dateien gescannt und dutzende Programme installiert und gestartet. Und das mit jedem Produkt!

Viele Lösungen scheiterten an der Aufgabe. Nur 8 von 18 Produkten erreichten die vollen 6 Punkte: jeweils die beiden Produkte von Bitdefender und Kaspersky Lab, Avast, Check Point, McAfee und Microsoft. Alle weiteren Lösungen erzielten dennoch gute 5,5 Punkte. Nur Seqrite machte mehr Fehler und bekam 5,0 Punkte, Carbon Black sogar nur 4,0 Punkte.

Sehr hochwertiges Testfeld

Insgesamt 10 der geprüften 18 Produkte schlossen den Test mit der Bestmarke von 18 bzw. 17,5 Punkten und der Auszeichnung TOP-PRODUCT ab. Diese Anzahl ist im Vergleich zu älteren Tests überragend. Das Spitzenfeld mit 18 Punkten bilden die Produkte von Bitdefender und Kaspersky Lab mit jeweils 2 Lösungen und Microsoft. Mit 17,5 Punkten folgen die Schutzlösungen von Avast, Check Point, Symantec (beide Produkte) und Trend Micro.

Mit ebenfalls guten 17 Punkten reihen sich die Pakete von McAfee, Seqrite und Sophos ein. Die letzten 5 Plätze in der Tabelle liegen zwischen 16,5 und 15 Punkten. Das ist ebenfalls noch ein sehr hohes Niveau.

Der Test zeigt, wie hochwertig die geprüften Lösungen schützen. Selbst der Windows Defender als Client für das Server-Schutz-Modul konnte mit einer Bestleistung zum ersten Mal in seiner Testhistorie überzeugen.

Next Generation Endpoint Security

Maik Morgenstern
Maik Morgenstern
CTO AV-TEST GmbH

Seit etwa 2012 drängen neue Unternehmen auf den Endpoint Security Markt, zusammengefasst als „Next Generation Endpoint Security" bezeichnet. Vertreter sind unter anderem Cylance, CrowdStrike, SentinelOne, Ensilo, DeepInstinct, Carbon Black, Palo Alto, FireEye und weitere.

Allen gemein ist der Anspruch, vieles besser zu machen als die traditionellen Antiviren-Produkte:

  • Erkennung ohne reaktive Signaturen, also insbesondere ohne regelmäßige Signatur-Updates
  • Erkennung auch von neuesten, unbekannten Schädlingen ohne vorherige Analyse
  • geringer Einfluss auf die Systemleistung des Client-System
  • teils auch Offline-Erkennung

Um das zu erreichen, werden verschiedenste Techniken eingesetzt: Künstliche Intelligenz und Machine Learning, um Dateien allein anhand ihres „Aussehens" schon vor der Ausführung als Malware zu erkennen.

Vereinfacht gesagt lernt ein Algorithmus anhand von Trainingsmengen, also eindeutig bestätigter Malware und gutartiger Software, Gut von Böse zu unterscheiden. Der Algorithmus wird mit immer neuen Trainingsmengen gefüttert und schließlich gegen Dateien geprüft, die nicht Teil der Trainingsmenge waren.

Die Vorteile: Hat der Algorithmus per Trainingsmenge gelernt und ein Modell errechnet, wie eine bestimmte Malware aussieht, dann wird er auch alle neuen Varianten problemlos und ohne Updates erkennen können. Eine Signatur hingegen kann immer nur eine Datei oder bestimmte eng verwandte Varianten einer Schadsoftware erkennen.

Die Nachteile: In der Praxis steigt so die Rate der Fehlalarme, was auch in den Tests immer wieder zu beobachten ist.

Die Tests belegen auch, dass die Erkennung per Algorithmus immer nur so gut ist, wie ihre Trainingsmenge. So gab es im Labor bereits Produkte, die bösartige 32-Bit Windows-PE-Programmdateien sehr gut erkannten, aber 64-Bit-Versionen gar nicht. Das liegt daran, dass 99 Prozent aller Windows-PE-Malware 32-Bit-Versionen sind und der Algorithmus gar keine Chance hatte, das Verhalten und Aussehen der 64-Bit-Malware zu erlernen.

Eine weitere Schwäche kann sein, dass sich Next-Gen-Produkte auf bestimmte Dateitypen konzentrieren, wie eben Windows-PE-Dateien. Skripte zum Beispiel werden dann nicht vom Machine-Learning- Algorithmus erfasst. Hierzu sind wiederum weitere Module notwendig, die die Ausführung von Skripten separat kontrollieren.

Die Tests bei AV-TEST bestätigen grundsätzlich, dass Next-Gen-Produkte in der Lage sind, einen gleichwertigen Schutz wie traditionelle Antiviren-Software zu bieten. In der Regel lassen sich dabei aber höhere Fehlalarmraten beobachten und meist ein geringer Einfluss auf die Systemperformance messen.

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.