ATP-Test: Angriffe von Ransomware und Infostealern

Aktuelle Nachrichten

08. Mai 2025 | Text: Markus Selinger | Antivirus für Windows

ATP-Test: Angriffe von Ransomware und Infostealern

Sie führen die Spitze der Attacken an: Ransomware und Infostealer. Sind die Angriffe erfolgreich, folgt eine Erpressung mit Lösegeld, die Daten landen zum Verkauf im Internet oder beides. All das passiert nicht, wenn eine gute Schutz-Software die Angriffe sofort unterbindet. Aber schafft sie das? Der aktuelle erweiterte Schutztest – ATP-Test – prüft 25 Schutzpakete für private Anwender und Unternehmen in 10 Szenarien im Live-Abwehrkampf gegen Ransomware und Infostealer. Der Advanced Threat Protection-Test zeigt, dass viele Anbieter ihre Schutzversprechen erfüllen. Allerdings deckt der Test auch bei einigen Produkten Fehler auf, die Konsequenzen haben: die Systeme sind verschlüsselt und die Daten gestohlen.

25 Security-Produkte im ATP-Test unter Windows

– die Schutzpakete für Endanwender und Unternehmen wehren Infostealer und Ransomware ab

Was Betroffene von erfolgreichen Angriffen mit Ransomware oder Infostealern berichten, klingt fast immer gleich: Wird in einem Netzwerk ein PC infiziert, breitet sich der Angreifer schnell aus und verschlüsselt fast alles, was er dort findet, oder entführt die Daten. Ohne Backups und Notfallpläne geraten gerade Unternehmen in Probleme und manchmal rutschen sie sogar in die Insolvenz, wie einige Medien in letzter Zeit berichteten.

Aber so drastisch muss es nicht kommen, wenn Anwender oder Unternehmen eine gute Schutzlösung einsetzen, die die Angreifer abwehrt. Weitere Schutzmaßnahmen, wie Updates, Backups und Notfallpläne sollten trotzdem nicht fehlen.

Der aktuelle ATP-Test Januar/Februar 2025 untersucht 25 Schutzlösungen für private Anwender und Unternehmen in 10 Live-Szenarien, bei denen 5 Exemplare Ransomware und 5 Vertreter von Infostealern die Windows-10-Systeme im Labor angreifen. Weltweit arbeiten fast 75 Prozent der PCs mit einem Windows-Betriebssystem. Auf diesen PCs erreicht Windows 10 einen Anteil von knapp 60 Prozent. Windows 11 holt aber immer schneller auf und stellt inzwischen fast 40 Prozent.

ATP: 25 Schutzprodukte im Live-Test

Den Test absolvieren 10 Produkte für private Anwender und 15 Lösungen für Unternehmen und deren Endpunkte. Die Pakete für Endanwender liefern AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee und Norton.

Die Lösungen für Unternehmen stammen von AhnLab, Avast, Bitdefender (mit 2 Versionen), Crowdstrike, ESET, Kaspersky (mit 2 Versionen), Microworld, Qualys, Rapid7, Sophos, Symantec, Trellix und WithSecure.

ATP-Test: 10 Security-Pakete für Privatanwender

Bei den Advanced Threat Protection-Tests unter Windows 10 zeigen viele Schutzpakete, dass sie ihr Schutzversprechen halten

ATP-Test: 15 Endpoint-Schutz-Pakete für Unternehmen

Im aufwendigen Advanced Threat Protection-Test unter Windows 10 mit 10 Live-Szenarien zeigen viele Lösungen, wie gut sie schützen

Viele der Security-Hersteller erzielen im Test die maximale Punktzahl von 35 für ihren Schutz-Score. Dieser setzt sich zusammen aus den Ergebnissen der 10 realen Szenarien mit 5-mal Ransomware und 5-mal Infostealern. Jede abgewehrte Ransomware bringt bis zu 3 Punkte, jeder Infostealer bis zu 4 Punkte. Mit jeder Abwehraktion verdient sich ein Produkt einen halben oder einen ganzen Punkt. Alle Aktionen beschreibt das Labor in einer Matrix nach dem MITRE ATT&CK-Standard. Das Interessante im ATP-Test: auch wenn ein Produkt den Angreifer nicht sofort erkennt, können weitere Abwehraktionen greifen und so den Angriff stoppen. Der Test zeigt genau, bei welchem Schritt das der Fall ist – oder auch nicht.

Während viele Produkte die vollen 35 Punkte für ihren Schutz-Score erhalten, haben insgesamt 5 bekannte Produkte einzelne Probleme mit Angreifern und verlieren so wichtige Punkte.

Angriffs-Szenarien und -Techniken

In den 10 Szenarien wird in diesem ATP-Test eine besondere Angriffstechnik unter Windows genutzt. Hier eine technische Erklärung des Angriffs:

UAC Bypass: Die Benutzerkontensteuerung (User Account Control, UAC) ist eine Sicherheitsfunktion von Windows, die das Betriebssystem vor unbefugten Änderungen schützen soll. Angreifer können den UAC-Mechanismus umgehen, um ihre Rechte zu erweitern und Aufgaben auszuführen. In unseren Tests implementieren wir eine UAC-Umgehung, indem wir die IFileOperation COM-Schnittstelle missbrauchen, um Dateien mit erhöhten Rechten zu kopieren oder zu verschieben, ohne dass eine UAC-Eingabeaufforderung angezeigt wird. Die Methode funktioniert, indem ein Prozess gestartet wird, der bereits über erhöhte Rechte verfügt (ein Prozess mit einer Auto-Elevate-Funktion), wie im Test das Windows-Dienstprogramm mmc.exe. Infolgedessen wird die bösartige DLL in einen erhöhten Prozess geladen. Wir nutzen diese Umgebung, um unsere Angriffs-Malware direkt auszuführen oder einen kontrollierten Windows-Dienst zu installieren.

Die 10 Testszenarien

Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.

Die ATP-Testergebnisse für Privatanwender-Produkte

Im Labor untersuchten die Security-Experten die 10 Produkte von AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee und Norton. Viele der Produkte zeigen eine starke Leistung und wehren in allen Szenarien die Angreifer ab und erzielen somit die 35 erreichbaren Punkte für ihren Schutz-Score.

Ausnahmslos alle Angreifer der 10 Szenarien wehren die Produkte von AhnLab, Avast, AVG, Bitdefender, F-Secure, McAfee und Norton ab. Sie erhalten die vollen 35 Punkte.

Avira erkennt und wehrt im Test 9 Angreifer völlig fehlerfrei ab. Ein Infostealer kann aber unerkannt passieren, sein Werk verrichten und die Daten stehlen. Das macht 4 Punkte Verlust und es bleiben 31 Punkte übrig.

Auch ESET kann einen Infostealer weder erkennen noch aufhalten und verliert somit alle 4 Punkte. In einem weiteren Fall mit einer Ransomware misslingt die Erkennung ebenfalls, allerdings greifen weitere Schutzmaßnahmen und der Angriff ist gestoppt. Dafür verliert ESET aber noch einmal einen Punkt. Als Endergebnis bleiben so 30 von 35 Punkten.

G DATA hat mit einem Infostealer und einer Ransomware das Problem, dass es die Angreifer schlichtweg nicht erkennt und somit die Daten gestohlen bzw. das System verschlüsselt wird. Damit fehlen 7 Punkte in der Endwertung und es bleiben nur noch 28 Punkte.

Damit ein Produkt im Test das AV-TEST-Zertifikat „Advanced Certified“ erhält, muss es 75 Prozent der maximalen 35 Punkte erreichen (26,5 Punkte). Das haben fast alle Produkte im ATP-Test Januar/Februar 2025 geschafft. Trotz ausreichender Punktzahl bekommt G DATA kein Zertifikat, denn das erhalten nur Produkte die auch im regulären Monatstest zertifiziert sind und dort die Kriterien erfüllen.

Die ATP-Testergebnisse für Unternehmens-Produkte

Die Endpoint-Lösungen für Unternehmen zeigen im Labortest eine starke Abwehrleistung gegen Ransomware und Infostealer. Von den 15 untersuchten Produkten agieren im Test 13 völlig fehlerfrei. Sie erkennen und wehren alle 10 Angreifer ab und erhalten die vollen 35 Punkte für ihren Schutz-Score: AhnLab, Avast, Bitdefender (mit beiden Versionen), Crowdstrike, Kaspersky (mit beiden Versionen), Microworld, Qualys, Sophos, Symantec, Trellix und WithSecure.

Die Lösung von Rapid7 erkennt in einem Szenario die Ransomware nicht, wodurch diese ungehindert das System verschlüsselt. Das kostet in der Wertung die vollen 3 Punkte. In einem weiteren Fall mit einem Infostealer wird der Angreifer zwar erkannt, aber nicht blockiert. Die Malware kann die Daten scannen und stehlen. Ein weiterer Abzug von 3,5 Punkten. Somit steht Rapid7 am Ende mit einem Punkte-Score von 28,5 Punkten statt 35 da.

Die Lösung von ESET hatte eine schwere Aufgabe in diesem Test. Bei einem Infostealer muss die Abwehr passen und die Daten sind weg – genauso wie die 4 möglichen Punkte. In 4 weiteren Fällen erkennt die ESET-Lösung die Angreifer zwar, blockiert sie aber erstmal nur zum Teil. Die Angreifer schleusen Angriffs-DLLs auf die Systeme. Aber danach ist Schluss, da weitere Verteidigungsmechanismen die Angriffe vollends stoppen. Allerdings kostet das ESET 4-mal einen weiteren Punkt in der Wertung. Am Ende erreicht ESET somit 27 von 35 möglichen Punkten im Schutz-Score.

Damit ein Unternehmensprodukt das Test-Zertifikat „Advanced Approved Endpoint Protection“ verdient, muss es mindestens 75 Prozent der 35 Punkte (das sind 26,5 Punkte) als Schutz-Score erreichen. Dieses Ziel erreichen fast alle geprüften Produkte. Trotz ausreichender Punktzahl bekommt Rapid7 kein Zertifikat, denn das erhalten nur Produkte, die auch im regulären Monatstest zertifiziert sind und dort die Kriterien erfüllen.

ATP-Test: Veränderte Szenarien – variable Ergebnisse

Der ATP-Test nutzt in jedem Durchlauf gefährliche Vertreter von Ransomware und Infostealern. Auch die genutzten Angriffstechniken variieren ständig. Das macht den Vergleich der Testergebnisse eines Produkts über das ganze Jahr hinweg so interessant. Im aktuellen Test mit der Malware und der genutzten Bypass-Technik haben einige Produkte ihre Probleme. In recht vielen Fällen wird ein Angreifer erkannt, kann aber erst in weiteren Schritten aufgehalten werden. Das kostet das Produkt im Test zwar Punkte, aber der Anwender bzw. das Unternehmen bleiben im Ernstfall geschützt.

Nur in sehr wenigen Fällen erkennen die Schutzprodukte die Angreifer nicht oder halten sie nach einer Erkennung nicht auf. Die Punktewerte im Schutz-Score zeugen davon.

Dennoch muss man klar festhalten: 7 Produkte für private Anwender und 13 Lösungen für Unternehmen glänzen in alle 10 Angriffsszenarien mit einer perfekten Abwehrleistung und erhalten dafür verdient die Auszeichnung mit einer vollen Punktzahl samt Testzertifikat.