22. Juni 2022 | Text: Markus Selinger | Antivirus für Windows
  • Beitrag teilen:

26 Security-Lösungen im Advanced Threat Protection-Test gegen Ransomware

Im Test mit realen Angriffsszenarien zeigen 26 Schutzlösungen für private Nutzer und Unternehmen ihre Leistung. In der Reihe der Advanced Threat Protection-Tests untersucht das Labor, wie gut die Produkte gegen Ransomware schützen. Dabei wird jeder Angriffsschritt der Malware protokolliert und bewertet, bis hin zu einer Verschlüsselung. Viele Lösungen halten, was sie versprechen: sie bieten Schutz gegen Ransomware. Aber nicht alle Lösungen liefern eine Glanzleistung.

Live-Attack-Test gegen Ransomware 26 Security-Lösungen im Advanced Threat Protection-Test
Live-Attack-Test gegen Ransomware

26 Security-Lösungen im Advanced Threat Protection-Test

zoom

Ransomware ist wohl die Pest des 21. Jahrhunderts. Die Meldungen in den Medien zu teilweisen oder ganz erfolgreichen Attacken wollen gar nicht mehr abreißen. Dass dieses Gefühl nicht trügt, zeigt auch die interessante Sophos-Studie „The State of Ransomware 2022“. Eine der ersten Kernaussagen der Studie ist „Lösegeldangriffe sind häufiger – 66 % der befragten Unternehmen wurden im Jahr 2021 von Ransomware getroffen, gegenüber 37 % im Jahr 2020“.

26 Produkte im Advanced Threat Protection-Test

Die Advanced Threat Protection-Tests liefern eine gewichtige Erkenntnis für Hersteller und Nutzer, wie sicher ein Produkt in realen Szenarien gegen Ransomware schützt. An dem Test nehmen 12 Endanwender-Produkte und 14 Schutzlösungen für Unternehmen teil. Die Hersteller der Endanwender-Produkte sind: Avast, AVG, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Microsoft, Microworld, NortonLifeLock, PC Matic und VIPRE Security.

Bei den Lösungen für Unternehmen stellen sich Produkte dieser Hersteller: Acronis, Avast, Bitdefender (zwei Versionen), Comodo, F-Secure, G DATA, Kaspersky (zwei Versionen), Microsoft, Seqrite, Symantec, Trellix und VMware.

Alle Produkte müssen in 10 realen Szenarien unter Windows 10 gegen Ransomware bestehen. Dabei kommen zum Beispiel Dateien mit versteckter Malware in Archiven, Powerpoint-Dateien mit Scripten oder HTML-Dateien mit gefährlichen Inhalten zum Einsatz. Die 10 Grafiken zu den „Testszenarien“ listen die Art des Angriffs und jeden Schritt dazu auf. Dabei gibt das Labor sogar die Definitionen in MITRE ATT&CK Technikcodes an. Die genauen technischen Schritte eines Advanced Threat Protection-Tests erklärt das Labor für Interessierte auch in dem bereits erschienen Artikel Neue Abwehrkräfte: EPPs und EDRs im Test gegen APT- und Ransomware-Attacken.

Abwehr von Ransomware-Attacken

12 Schutzpakete für Endanwender zeigen im Advanced Threat Protection-Test wie gut sie gegen Ransomware schützen; ein starkes Ergebnis

zoom ico
Unternehmenslösungen gegen Ransomware

10 der 14 Lösungen für Unternehmen gehen fehlerfrei durch alle Tests und schützen in allen Schritten das Testsystem vor der Ransomware

zoom ico

1

Abwehr von Ransomware-Attacken

2

Unternehmenslösungen gegen Ransomware

Ransomware – die größte Bedrohung

Eine Attacke durch Ransomware ist aber nicht einfach schwarz oder weiß – erfolgreich oder nicht erfolgreich. Der Advanced Threat Protection-Test von AV-TEST zeigt schnell, was damit gemeint ist. Denn wenn eine Ransomware von einem Schutzprodukt erkannt wird, heißt das nicht, dass deren Ausführung komplett unterbunden wird. Genauso wenig bedeutet eine Nicht-Erkennung einer Ransomware zu Beginn, dass deren Ausführung in späteren Schritten nicht verhindert wird. Um die Techniken eines Angriffs und dessen Abwehr leichter zu verstehen, erklärt der Advanced Threat Protection-Test jeden Schritt eines Angriffsszenario mit einem Malware-Exemplar. Nach dem Muster einer MITRE ATT&CK-Matrix-Grafik wird jeder Schritt durch eine kurze Erklärung und eine Farbe visualisiert. Wird der Anfang einer Attacke (initial access oder execution) abgewehrt, wird das Feld grün und der Angriff gilt als erfolgreich verhindert. Je früher also ein grünes Feld zu sehen ist, umso besser. Bleibt ein Feld orange, gilt der Punkt als nicht erkannt (no detection). Ein gelbes Feld signalisiert, dass der Punkt nur zum Teil erkannt oder blockiert wird.

Steht am Ende der gesamten Grafikreihe ein oranges Feld, gilt die Attacke als nicht erkannt, steht dort ein gelbes Feld, gilt der Punkt nur als teilerkannt. Bei einer Ransomware bedeutet das, dass einige, aber nicht alle Dateien verschlüsselt wurden (some files encrypted). Ist das letzte Feld orange, dann wurde alles verschlüsselt (files encrypted).

Wird alles erkannt und abgewehrt, erhält ein Produkt die maximalen Punkte für den Schutz-Score. Dessen Maximum kann von Test zu Test variieren. In diesem Test sind es bis zu 4 Punkte. Somit kann ein Produkt in der finalen Übersichtstabelle in 10 Szenarien bis zu 40 Punkte erreichen. Oft gibt es aber Teilerkennungen, die gelb markiert sind. Damit sind zwar 10 Angriffe erkannt, aber es gibt nicht die volle Punktzahl für eine komplette Abwehr.

Testszenarien

Alle Angriffs-Szenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1059.001“ stehen in der MITRE-Datenbank für „Techniques“ unter 1059.001 „Command and Scripting Interpreter: PowerShell“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Privatanwender: Live-Attack-Test mit Ransomware

Im aktuellen Test stellen sich 12 Endanwenderprodukte den Prüfungen der Experten im Labor: Avast, AVG, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Microsoft, Microworld, NortonLifeLock, PC Matic und VIPRE Security.

Alle Produkte müssen sich in den 10 Szenarien mit verschiedenen Angriffswegen behaupten. Bei allen Angriffen erhält der Anwender eine E-Mail mit einem Anhang. Dieser ist in allen Fällen gefährlich: zum Beispiel verseuchte Powerpoints, Skripte oder gepackte Archive mit Malware. Der Test zeigt, dass alle Produkte bereits bei den ersten Schritten (initial access oder execution) die Angreifer erkennen. 11 der 12 Schutzpakete beenden an dieser Stelle auch jegliche weitere Ausführung der Attacke und bekommen somit die volle Wertung von 40 Punkten. Lediglich K7 Computing hat ein Problem: der Angriff wird zwar erkannt, aber im weiteren Verlauf schafft es der Angreifer bei Szenario Nr. 6 eine Datei zu erstellen. Auch wenn diese ungefährlich ist, gibt es dafür einen Abzug von 0,5 Punkten.

Das Endergebnis des Tests für Privatnutzer-Produkte zeigt 11 Produkte mit der vollen Punktzahl von 40 Punkten und 39,5 Punkte für K7 Computing. Da alle Produkte im Test mindestens 75 Prozent (30 Punkte) der maximalen 40 Punkte des Schutz-Score erreichen, erhalten sie das Zertifikat „Advanced Certified“.

Unternehmen: Live-Attack-Test mit Ransomware

Das Labor testet 14 Schutz-Lösungen für Unternehmensnetzwerke in 10 realen Szenarien mit Ransomware. Mit im Test sind die Produkte der folgenden Hersteller: Acronis, Avast, Bitdefender (zwei Versionen), Comodo, F-Secure, G DATA, Kaspersky (zwei Versionen), Microsoft, Seqrite, Symantec, Trellix und VMware.

Auch in diesem Test werden die 10 definierten Szenarien genutzt. Der primäre Angriffsweg ist eine E-Mail mit einem verseuchten Anhang. Im Anhang befinden sich immer gefährliche Angreifer, zum Beispiel in Form von Office-Dateien mit Skripten, die dann etwa per PowerShell weitere Schritte ausführen.

Im Test erkennen alle Produkte ausnahmslos die Angreifer bereits in den ersten Schritten (initial access oder execution). Allerdings ist damit nur bei 10 von 14 Produkten die Attacke erkannt und auch vollständig geblockt. Bei den 4 Produkten von Symantec, Seqrite, VMware und Trellix geht der Angriff weiter.

Bei Symantec und Seqrite werden in den abschließenden Schritten noch einzelne Dateien verschlüsselt. Bei VMware ist das ebenfalls einmal der Fall, wobei aber zusätzlich die Hintergrunddatei des Desktops geändert wird. Sie zeigt meist den Hinweis auf die Attacke der Ransomware-Gruppe.

Trellix hat das gleiche Problem wie VMware – aber gleich sieben Mal wird das Hintergrundbild des Desktops geändert. Auch wenn die Datei ungefährlich ist, so gibt das in jedem einzelnen Fall einen Punktabzug.

Im Endergebnis stehen 10 Unternehmensprodukte mit den vollen 40 Punkten da. Symantec folgt mit 39,5 Punkten, Seqrite und VMware mit jeweils 39 Punkten und Trellix mit 36,5 Punkten.

Alle Unternehmens-Produkte erhalten das Zertifikat „Advanced Approved Endpoint Protection“, da sie 75 Prozent (30 Punkte) der maximalen 40 Schutz-Score-Punkte erreichen. Nur Acronis erhält kein Zertifikat. Es schließt den Test zwar fehlerfrei ab, aber zertifiziert wird nur, wer sowohl im regulären Monatstest zertifiziert ist und hier die Kriterien erfüllt.

Wenn auch Ransomware keine Chance hat

Wie sich auch in diesem Test zeigt, ist die reine Erkennung einer Malware nicht die komplette Arbeit, die eine Schutzlösung zu verrichten hat. Allerdings muss man den einzelnen Schutzprodukten für private Anwender und für Unternehmen zugutehalten, dass die gemachten Fehler zumindest nicht so schwerwiegend waren, dass ganze Systeme verschlüsselt wurden.

Dennoch sollten die Security-Lösungen in den realen Szenarien versteckte Ransomware lückenlos erkennen. Dass das funktionieren kann, haben in diesem Test viele Produkte bewiesen. Bei den Paketen für private Anwender waren fast alle fehlerfrei und erhalten die maximalen 40 Punkte. Lediglich K7 Computing macht einen kleinen, aber zum Glück ungefährlichen Fehler.

Bei den Lösungen für Unternehmen zeigen 10 der 14 geprüften Produkte, dass sie in den Szenarien fehlerfrei agieren und so Unternehmen einen hohen Schutzlevel garantieren. Die von Symantec, Seqrite, VMware und Trellix gemachten Fehler kosten die Hersteller zwar wichtige Punkte, aber zumindest sind die Fehler nicht so gravierend, dass eine Ransomware komplett ihre destruktives Werk vollenden konnte.

Testergebnisse Privatanwender: Avast, AVG, Bitdefender

Avast 1/2
zoom ico
Avast 2/2
zoom ico
AVG 1/2
zoom ico
AVG 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico

1

Avast 1/2

2

Avast 2/2

3

AVG 1/2

4

AVG 2/2

5

Bitdefender 1/2

6

Bitdefender 2/2

Testergebnisse Privatanwender: F-Secure, G DATA, K7 Computing

F-Secure 1/2
zoom ico
F-Secure 2/2
zoom ico
G DATA 1/2
zoom ico
G DATA 2/2
zoom ico
K7 Computing 1/2
zoom ico
K7 Computing 2/2
zoom ico

1

F-Secure 1/2

2

F-Secure 2/2

3

G DATA 1/2

4

G DATA 2/2

5

K7 Computing 1/2

6

K7 Computing 2/2

Testergebnisse Privatanwender: Kaspersky , Microsoft, Microworld

Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico
Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico
Microworld 1/2
zoom ico
Microworld 2/2
zoom ico

1

Kaspersky 1/2

2

Kaspersky 2/2

3

Microsoft 1/2

4

Microsoft 2/2

5

Microworld 1/2

6

Microworld 2/2

Testergebnisse Privatanwender: NortonLifeLock, PC Matic ,VIPRE Security

NortonLifeLock 1/2
zoom ico
NortonLifeLock 2/2
zoom ico
PC Matic 1/2
zoom ico
PC Matic 2/2
zoom ico
VIPRE Security 1/2
zoom ico
VIPRE Security 2/2
zoom ico

1

NortonLifeLock 1/2

2

NortonLifeLock 2/2

3

PC Matic 1/2

4

PC Matic 2/2

5

VIPRE Security 1/2

6

VIPRE Security 2/2

Testergebnisse Unternehmen: Acronis, Avast, Bitdefender

Acronis 1/2
zoom ico
Acronis 2/2
zoom ico
Avast 1/2
zoom ico
Avast 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico

1

Acronis 1/2

2

Acronis 2/2

3

Avast 1/2

4

Avast 2/2

5

Bitdefender 1/2

6

Bitdefender 2/2

Testergebnisse Unternehmen: Bitdefender (Ultra), Comodo, F-Secure

Bitdefender (Ultra) 1/2
zoom ico
Bitdefender (Ultra) 2/2
zoom ico
Comodo 1/2
zoom ico
Comodo 2/2
zoom ico
F-Secure 1/2
zoom ico
F-Secure 2/2
zoom ico

1

Bitdefender (Ultra) 1/2

2

Bitdefender (Ultra) 2/2

3

Comodo 1/2

4

Comodo 2/2

5

F-Secure 1/2

6

F-Secure 2/2

Testergebnisse Unternehmen: G DATA, Kaspersky, Kaspersky (Small Office)

G DATA 1/2
zoom ico
G DATA 2/2
zoom ico
Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico
Kaspersky (Small Office) 1/2
zoom ico
Kaspersky (Small Office) 2/2
zoom ico

1

G DATA 1/2

2

G DATA 2/2

3

Kaspersky 1/2

4

Kaspersky 2/2

5

Kaspersky (Small Office) 1/2

6

Kaspersky (Small Office) 2/2

Testergebnisse Unternehmen: Microsoft, Seqrite, Symantec

Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico
Seqrite 1/2
zoom ico
Seqrite 2/2
zoom ico
Symantec 1/2
zoom ico
Symantec 2/2
zoom ico

1

Microsoft 1/2

2

Microsoft 2/2

3

Seqrite 1/2

4

Seqrite 2/2

5

Symantec 1/2

6

Symantec 2/2

Testergebnisse Unternehmen: Trellix, VMware

Trellix 1/2
zoom ico
Trellix 2/2
zoom ico
VMware 1/2
zoom ico
VMware 2/2
zoom ico

1

Trellix 1/2

2

Trellix 2/2

3

VMware 1/2

4

VMware 2/2

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.