Abwehr von Ransomware: 28 Schutzlösungen im Test unter Windows 10
Der Kampf gegen Ransomware wird genauso am heimischen PC, wie am Arbeitsrechner im Unternehmen geführt. Wie gut schützt Sicherheits-Software gegen fiese Verschlüsselungs-Angreifer? Im aktuellen November-Test beweisen 15 Internet-Security-Suiten für private Nutzer und 13 Lösungen für Unternehmen, wie gut sie in zehn realen Szenarien gegen eine Attacke via Mail, Skript, Makro oder Ransomware bestehen. Der Advanced Threat Protection-Test belegt, dass allein die Erkennung des Angreifers nicht immer ausreicht. Das Labor zeigt daher im Testergebnis deutlich alle Schritte vom Angriff bis zu Abwehr – oder bis zur Verschlüsselung.
In seiner Reihe der sogenannten Advanced Threat Protection-Tests hat das Labor von AV-TEST 15 bekannte Internet-Security-Suiten für Privatanwender und 13 Lösungen für Unternehmen unter Windows 10 getestet. In zehn definierten Szenarien klären die Tester Schritt für Schritt, wie die Angriffe ablaufen und was dazwischen passiert. Die Auswertung zeigt deutlich, dass allein die Erkennung einer Malware nicht immer vor der Konsequenz der teilweisen oder kompletten Verschlüsselung schützt.
Dem Test stellen sich 15 bekannte Schutzpakete für Privatanwender von den Herstellern Avast, AVG, Bitdefender, BullGuard, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic, Protected.net, Quickheal und VIPRE Security.
Für Unternehmen müssen 13 Endpoint-Lösungen im Test bestehen. Sie kommen von Avast, Bitdefender (zwei Versionen), Comodo, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Seqrite, Sophos, Symantec und VMware.
Die Übersichtstabellen der 15 bzw. 13 geprüften Schutzlösungen zeigen die zusammengefasste Auswertung der 10 Angriffe und der maximal zu erreichenden Anzahl von 36 Punkten in diesem November-Test. Denn die maximale Punktzahl differiert von Advanced Threat Protection-Test zu Test. Sie ist immer abhängig von der Art des Szenarios und der Anzahl der darin geprüften Schritte, für die es dann Punkte gibt.
28 Schutzlösungen im Test: Auch Ransomware lässt sich abwehren
In den klassischen Tests bei der Abwehr von Malware gibt es immer nur das Ergebnis „Angreifer erkannt“ oder „Angreifer nicht erkannt“. In den Advanced Threat Protection-Tests ist die Erkennung nur ein erster Schritt, der im Test aufgezeichnet wird. Alle im Labor registrierten Schritte finden sich später in den Auswertungsdiagrammen, die nach der Vorlage einer MITRE ATT&CK- Matrix-Grafik aufgebaut sind. Das klingt kompliziert – ist es aber nicht. Die Grafik zeigt schlicht alle Schritte eines Angriffsszenarios und wie die Schutz-Software reagiert. Wird eine Attacke unter einem der ersten beiden Schritte „Initial Access“ oder „Execution“ voll geblockt, gilt damit der Angriff als erfolgreich verhindert und ein Produkt erhält die maximalen Punkte für seinen Schutz-Score (3 bis 4). Zur leichteren Übersicht wird das Feld in der Grafik dann grün eingefärbt. Bleibt ein Feld orange, gilt der zugehörige Prüfpunkt als nicht bestanden (no detection). Steht am Ende der Grafik ein orangenes Feld, gilt die Attacke als nicht erkannt, steht dort ein gelbes Feld, gilt die Attacke nur als teilerkannt. Bei Ransomware bedeutet das, dass einige, aber nicht alle Dateien verschlüsselt wurden (some files encrypted). Leuchtet das letzte Feld orange, wurde alles verschlüsselt (files encrypted).
Im aktuellen November-Test können die Produkte in 10 Angriffen bis zu 36 Punkte für den maximalen Schutz-Score erreichen. Wer darunter liegt, hat in einem oder mehreren Szenarien Probleme.
Für Privatnutzer: Das November-Ergebnis des Advanced Threat Protection-Tests
Im Advanced Threat Protection-Test der 15 Internet-Security-Lösungen zeigen 9 der 15 Pakete, dass sie in der Praxis vor Ransomware gut schützen. Alle 10 Angriffs-Szenarien und den maximalen Schutz-Score von 36 Punkten erreichen die Produkte: Bitdefender Internet Security, F-Secure SAFE, G Data Total Security, Kaspersky Internet Security, Microsoft Defender, eScan Internet Security Suite, PC Matic, Quick Heal Total Security und VIPRE AdvancedSecurity.
Malwarebytes Premium erkennt zwar alle Angreifer, hat aber in zwei Fällen das Problem, dass am Ende eine Verschlüsselung erfolgt. Das macht insgesamt einen Schutz-Score von 34 Punkten statt 36.
Mit 33 von 36 Punkten und jeweils 9 Erkennungen der Angreifer folgen die Pakete BullGuard Internet Security, Norton 360 und Protected.net Total AV. Alle drei Pakete können einen Angreifer eines Szenarios nicht erkennen und entsprechend werden alle Dateien durch die Ransomware verschlüsselt.
Im Schlussfeld finden sich die Schutzpakete von Avast und AVG mit jeweils 30 von 36 Punkten und 8 von 10 erkannten Angreifern. In zwei Fällen gab es keine positive Erkennung und daher wurde alles verschlüsselt.
Da alle Produkte im Test mindestens 75 Prozent der Schutz-Score-Punkte erreichen, erhalten sie das Zertifikat „Advanced Certified“.
Für Unternehmen: Das November-Ergebnis des Advanced Threat Protection-Tests
Der Advanced Threat Protection-Test von Endpoint-Lösungen für Unternehmen sieht noch viel besser aus. Dort erreichen sogar 10 der 13 getesteten Business-Produkte den maximalen Schutz-Score von 36 Punkten durch die lückenlose Erkennung aller 10 Angreifer. Es sind die Lösungen Bitdefender Endpoint Security, Bitdefender Endpoint Security (Ultra), Comodo Client Security, F-Secure Elements Endpoint Protection, G DATA Endpoint Protection Business, Kaspersky Endpoint Security, Microsoft Defender Antivirus, Seqrite Endpoint Security, Sophos Intercept X Advanced und VMware Carbon Black Cloud.
Malwarebytes Endpoint Protection kann in zwei Fällen zwar den Angreifer erkennen, aber nicht aufhalten. Dadurch kommt es am Ende der beiden Attacken zu einer Verschlüsselung. Der Schutz-Score liegt somit trotz 10 von 10 Erkennungen bei 34 von 36 Punkten.
Avast Business Antivirus Pro Plus und Symantec Endpoint Security Complete erkennen 8 von 10 Angreifern. Die beiden, die unerkannt durchkommen, sorgen für eine Verschlüsselung. Daher gibt es in beiden Fällen keine Punkte für den Schutz-Score und es bleiben 30 von 36 möglichen Punkten.
Für die Erteilung des Zertifikats „Advanced Approved Endpoint Protection“ muss ein Produkt im Test mindestens 75 Prozent der Schutz-Score-Punkte erreichen. In diesem Test sind das mindestens 27 Punkte. Somit erhalten alle Testteilnehmer der Unternehmensprodukte dieses Zertifikat.
Testszenarien
Alle Angriffs-Szenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1038“ stehen in der Mitre-Datenbank für „Technics“ unter 1038 „File and Directory Discovery“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen.
Advanced Threat Protection-Tests zeigen mehr
Die Auswertung der Angriffsdiagramme zeigt schnell, dass die bereits angesprochene „reine“ Erkennung eines Angreifers durch ein Schutzprogramm nicht immer ausreicht. Denn selbst ein durch eine Ransomware teilverschlüsseltes System ist gefährlich. Aber wie der Test zeigt, gibt es viele Produkte am Markt, die auch in diesen sehr realistischen Praxistests zeigen, wie gut sie Angreifer und vor allem Ransomware abwehren.
Der aktuelle Artikel zeigt primär die Ergebnisse des Advanced Threat Protection-Test im November auf. Mehr technische Hintergründe und Erklärungen liefert auch der bereits veröffentlichte Artikel APT: Strategische Angriffe erfordern strategische Tests.