Linux: 16 Schutzpakete gegen Windows- und Linux-Schädlinge im Test

50 Prozent aller Webserver arbeiten mit Linux

Ein gelungener Angriff infiziert normalerweise nicht das System bzw. den Kernel. Vielmehr geht es um die auf einem Linux-PC oder Webserver laufenden Programme. Sie lassen sich leichter kapern und als Verbreitungsmedium nutzen. Bei Webservern wurden so schon große Hackerattacken durchgeführt via SQL-Injection oder Cross Site Scripting. Aber auch Desktop-PCs mit Linux sind ein lohnendes Ziel. Schließlich finden sich dort auch laufende Programme mit Sicherheitslücken, wie etwa der Firefox-Browser oder Tools wie der Adobe Reader.

Eingedrungene Schädlinge richten unter Linux selten einen Schaden an, da sie eigentlich ein Windows-System erwarten. Verseuchte Dateien bleiben einfach liegen, bis sich die Gelegenheit ergibt, ein Windows-System anzugreifen. Dazu reicht oft das Kopieren von Dateien von einer Linux-Umgebung nach Windows.

Neuerdings tauchen auch immer mehr Trojaner & Co speziell für Linux auf. Ihre Qualität ist noch nicht besonders hoch, da auch die Angreifer um die guten Schutzmechanismen von Linux wissen. Vielmehr setzen sie auf die Mithilfe des Anwenders. Er unterstützt unbewusst durch Fehlgriffe die Schädlinge. Der häufigste Fall ist das Installieren von Software oder Updates über fremde Paketquellen. Oft wird dann der Nutzer während der Installation aufgefordert, der Software kurzfristig Root-Rechte zu geben. Lässt ein Anwender dies zu, werden wichtige Systemkomponenten gegen manipulierte Versionen ausgetauscht. Somit hat ein Angreifer eine Hintertür in das System eingebaut und kann es etwa für ein Botnet nach Belieben übernehmen.

Teils eklatante Erkennungsschwächen

Im Labor von AV-TEST wurden 16 Schutz-Lösungen für Linux-Systeme untersucht. Die meisten Lösungen sind für Desktop-PCs gedacht, der Rest für Server. Als Testumgebung diente die Distribution Ubuntu, da sie als die am weitesten verbreitet gilt. Eingesetzt wurde die Version Desktop 12.04 LTS 64 Bit (Kernel 3.13.0-54). Im Test waren Schutz-Lösungen für Linux von Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (mit zwei Versionen), McAfee, Sophos und Symantec. Der Test wurde in drei Teile gegliedert: die Erkennung von Windows-Malware, die Erkennung von Linux-Malware und der Test auf Fehlalarme.

Erkennung von Windows-Malware

Insgesamt 8 der 16 Produkte erkannten die im Test genutzten 12.000 Windows-Angreifer zwischen 99,7 und 99,9 Prozent: Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (Server-Version) und Sophos. Lediglich das Schutzpaket von Symantec erreichte 100 Prozent.

Auffallend schwächer sind die Erkennungsraten von McAfee mit 85,1 Prozent und Comodo mit 83 Prozent. Erschreckend schwach sind die Ergebnisse von Dr. Web mit 67,8 Prozent, F-Prot mit 22,1 Prozent und ClamAV mit nur 15,3 Prozent!

Erkennung von Linux-Malware

Auch für Linux werden immer perfidere Schädlinge entwickelt und in Umlauf gebracht. Das Labor hat 900 eigentlich bereits bekannte Angreifer für Linux auf die Systeme losgelassen. Das Ergebnis sieht aber deutlich anders aus als bei den Erkennungsraten unter Windows. Eine 100-prozentige Erkennung unter Linux schaffte nur die Kaspersky Endpoint Version. Mit 99,7 Prozent folgt ESET dicht dahinter – AVG kommt noch auf 99 Prozent. Die Server-Versionen von Kaspersky Lab und Avast erkennen immerhin über 98 Prozent der Angreifer. Symantec mit der besten Erkennung unter Windows findet unter Linux nur noch 97,2 Prozent der Malware. Danach beginnt der freie Fall.

Die Schlusslichter in Sachen Erkennung von Linux-Schädlingen kommen von ClamAV, McAfee, Comodo und F-Prot. Deren Werte bewegen sich zwischen 66,1 und 23 Prozent. Im schlimmsten Fall bleiben so 77 von 100 Angreifern trotz Schutz-Software unter Linux einfach unerkannt.

Funktionierende Freund-Feind-Erkennung

Als weiteren Testabschnitt hat das Labor über 210.000 saubere Linux-Dateien von allen Produkten scannen lassen. So wurden alle Pakete auf ihre Fehlalarmquote geprüft. Das Ergebnis war top: Lediglich Comodo meldete ein einzige Datei falsch – alle anderen Produkte waren fehlerfrei.

Linux ist sicher – sicher?

Die meisten Linux-Nutzer sind überzeugt, dass sie eines der sichersten verfügbaren Systeme nutzen. Diese Aussage ist soweit richtig, wenn man nur das System betrachtet und alles andere außer Acht lässt. Denn es sind mal wieder unsichere Anwendungen anderer oder User-Fehler die Linux-PCs oder Server zu Virenschleudern werden lassen. Dies belegt auch die jüngste Studie in Deutsch von Kaspersky für das erste Quartal 2015: über 12.700 Angriffe erfolgten über Botnetze, die ein Linux-System als Basis nutzen, nur 10.300 Angriffe kamen dagegen von Botnetzen mit Windows-System. Zudem ist die Lebensdauer von Botnetzen auf Linux-Basis wesentlich länger als die der Windows-basierten. Das liegt daran, dass es wesentlich schwieriger ist, solche Zombie-Netzwerke aufzuspüren und unschädlich zu machen, da Server unter Linux selten mit speziellen Schutzlösungen ausgestattet sind – im Gegensatz zu Geräten und Servern unter Windows.

In vielen Linux-Foren werden für private Nutzer die kostenlosen Produkte von Comodo, ClamAV und F-Prot empfohlen. Das ist aber kein guter Rat. Der Test belegt, dass private User mit den kostenlosen Versionen Sophos for Linux oder Bitdefender Antivirus Scanner for Unices besser beraten sind. Für Server-Systeme gibt es sogar die kostenlose AVG Server Edition for Linux.

Die besten Erkennungs-Werte in Sachen Linux und Windows zeigten in diesem Test die Desktop-Lösung von ESET, gefolgt von den Endpoint-Versionen Symantec und Kaspersky Lab für Unternehmens-Workstations. Für den Server-Schutz empfehlen sich Kaspersky Anti-Virus für Linux File Server, AVG Server Edition for Linux und Avast File Server Security.