Linux: 16 Schutzpakete gegen Windows- und Linux-Schädlinge im Test
Da Linux-PCs immer mehr als Bindeglied zwischen Windows-PCs dienen, sollten auch sie ein Schutzpaket nutzen. Das Labor von AV-TEST hat 16 aktuelle Schutz-Lösungen unter Ubuntu getestet – gegen Linux- und Windows-Angreifer. Das Ergebnis ist bitter für einige Produkte: teils wandern 85 Prozent der Windows-Schädlinge unerkannt weiter, reine Linux-Schädlinge bleiben bis zu 75 Prozent unentdeckt.
Die Linux-Welt gilt weithin als sichere Burg gegen Schädlinge wie Trojaner & Co. Aber viele Linux-Rechner arbeiten in einem Verbund mit Windows-PCs. So läuft etwa die Hälfte aller Webserver mit einem Linux-System. Diese wiederum bedienen Milliarden von Nutzern im Web. Daher sind Webserver ein lohnendes Ziel, um sie als Brückenkopf für Windows-Schädlinge zu nutzen.
50 Prozent aller Webserver arbeiten mit Linux
Ein gelungener Angriff infiziert normalerweise nicht das System bzw. den Kernel. Vielmehr geht es um die auf einem Linux-PC oder Webserver laufenden Programme. Sie lassen sich leichter kapern und als Verbreitungsmedium nutzen. Bei Webservern wurden so schon große Hackerattacken durchgeführt via SQL-Injection oder Cross Site Scripting. Aber auch Desktop-PCs mit Linux sind ein lohnendes Ziel. Schließlich finden sich dort auch laufende Programme mit Sicherheitslücken, wie etwa der Firefox-Browser oder Tools wie der Adobe Reader.
Eingedrungene Schädlinge richten unter Linux selten einen Schaden an, da sie eigentlich ein Windows-System erwarten. Verseuchte Dateien bleiben einfach liegen, bis sich die Gelegenheit ergibt, ein Windows-System anzugreifen. Dazu reicht oft das Kopieren von Dateien von einer Linux-Umgebung nach Windows.
Neuerdings tauchen auch immer mehr Trojaner & Co speziell für Linux auf. Ihre Qualität ist noch nicht besonders hoch, da auch die Angreifer um die guten Schutzmechanismen von Linux wissen. Vielmehr setzen sie auf die Mithilfe des Anwenders. Er unterstützt unbewusst durch Fehlgriffe die Schädlinge. Der häufigste Fall ist das Installieren von Software oder Updates über fremde Paketquellen. Oft wird dann der Nutzer während der Installation aufgefordert, der Software kurzfristig Root-Rechte zu geben. Lässt ein Anwender dies zu, werden wichtige Systemkomponenten gegen manipulierte Versionen ausgetauscht. Somit hat ein Angreifer eine Hintertür in das System eingebaut und kann es etwa für ein Botnet nach Belieben übernehmen.
Teils eklatante Erkennungsschwächen
Im Labor von AV-TEST wurden 16 Schutz-Lösungen für Linux-Systeme untersucht. Die meisten Lösungen sind für Desktop-PCs gedacht, der Rest für Server. Als Testumgebung diente die Distribution Ubuntu, da sie als die am weitesten verbreitet gilt. Eingesetzt wurde die Version Desktop 12.04 LTS 64 Bit (Kernel 3.13.0-54). Im Test waren Schutz-Lösungen für Linux von Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (mit zwei Versionen), McAfee, Sophos und Symantec. Der Test wurde in drei Teile gegliedert: die Erkennung von Windows-Malware, die Erkennung von Linux-Malware und der Test auf Fehlalarme.
Erkennung von Windows-Malware
Insgesamt 8 der 16 Produkte erkannten die im Test genutzten 12.000 Windows-Angreifer zwischen 99,7 und 99,9 Prozent: Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (Server-Version) und Sophos. Lediglich das Schutzpaket von Symantec erreichte 100 Prozent.
Auffallend schwächer sind die Erkennungsraten von McAfee mit 85,1 Prozent und Comodo mit 83 Prozent. Erschreckend schwach sind die Ergebnisse von Dr. Web mit 67,8 Prozent, F-Prot mit 22,1 Prozent und ClamAV mit nur 15,3 Prozent!
Erkennung von Linux-Malware
Auch für Linux werden immer perfidere Schädlinge entwickelt und in Umlauf gebracht. Das Labor hat 900 eigentlich bereits bekannte Angreifer für Linux auf die Systeme losgelassen. Das Ergebnis sieht aber deutlich anders aus als bei den Erkennungsraten unter Windows. Eine 100-prozentige Erkennung unter Linux schaffte nur die Kaspersky Endpoint Version. Mit 99,7 Prozent folgt ESET dicht dahinter – AVG kommt noch auf 99 Prozent. Die Server-Versionen von Kaspersky Lab und Avast erkennen immerhin über 98 Prozent der Angreifer. Symantec mit der besten Erkennung unter Windows findet unter Linux nur noch 97,2 Prozent der Malware. Danach beginnt der freie Fall.
Die Schlusslichter in Sachen Erkennung von Linux-Schädlingen kommen von ClamAV, McAfee, Comodo und F-Prot. Deren Werte bewegen sich zwischen 66,1 und 23 Prozent. Im schlimmsten Fall bleiben so 77 von 100 Angreifern trotz Schutz-Software unter Linux einfach unerkannt.
Funktionierende Freund-Feind-Erkennung
Als weiteren Testabschnitt hat das Labor über 210.000 saubere Linux-Dateien von allen Produkten scannen lassen. So wurden alle Pakete auf ihre Fehlalarmquote geprüft. Das Ergebnis war top: Lediglich Comodo meldete ein einzige Datei falsch – alle anderen Produkte waren fehlerfrei.
Linux ist sicher – sicher?
Die meisten Linux-Nutzer sind überzeugt, dass sie eines der sichersten verfügbaren Systeme nutzen. Diese Aussage ist soweit richtig, wenn man nur das System betrachtet und alles andere außer Acht lässt. Denn es sind mal wieder unsichere Anwendungen anderer oder User-Fehler die Linux-PCs oder Server zu Virenschleudern werden lassen. Dies belegt auch die jüngste Studie in Deutsch von Kaspersky für das erste Quartal 2015: über 12.700 Angriffe erfolgten über Botnetze, die ein Linux-System als Basis nutzen, nur 10.300 Angriffe kamen dagegen von Botnetzen mit Windows-System. Zudem ist die Lebensdauer von Botnetzen auf Linux-Basis wesentlich länger als die der Windows-basierten. Das liegt daran, dass es wesentlich schwieriger ist, solche Zombie-Netzwerke aufzuspüren und unschädlich zu machen, da Server unter Linux selten mit speziellen Schutzlösungen ausgestattet sind – im Gegensatz zu Geräten und Servern unter Windows.
In vielen Linux-Foren werden für private Nutzer die kostenlosen Produkte von Comodo, ClamAV und F-Prot empfohlen. Das ist aber kein guter Rat. Der Test belegt, dass private User mit den kostenlosen Versionen Sophos for Linux oder Bitdefender Antivirus Scanner for Unices besser beraten sind. Für Server-Systeme gibt es sogar die kostenlose AVG Server Edition for Linux.
Die besten Erkennungs-Werte in Sachen Linux und Windows zeigten in diesem Test die Desktop-Lösung von ESET, gefolgt von den Endpoint-Versionen Symantec und Kaspersky Lab für Unternehmens-Workstations. Für den Server-Schutz empfehlen sich Kaspersky Anti-Virus für Linux File Server, AVG Server Edition for Linux und Avast File Server Security.
Gastkommentar: Wichtige Verteidigungslinie für heterogene Netze
Der Einsatz eines Antiviren-Produkts für Linux macht vor allem in heterogenen Netzen Sinn, wo die Produkte als Filter das Durchrutschen von Malware auf die Windows-Seite verhindern können. Das setzt allerdings eine vernünftige Erkennungsrate voraus – kommt jeder zehnte Schädling ungeschoren durch, kann man sich den Aufwand auch sparen. Insofern liefern die aktuellen Ergebnisse von AV-TEST einen recht guten Anhalt, mit welchen Antiviren-Lösungen für Linux man beim Absichern seines Rechnerparks ansetzen kann.
Dass die freie Software ClamAV am Prüfstein der Erkennungsrate scheitert, dürfte Insider kaum überraschen. Die zwangsläufige Voraussetzung für die Entwicklung effizienter Schädlingsabwehrstrategien ist eine massive, in Echtzeit gepflegte Datenbank mit Millionen von Schädlingen und eine Farm von Testrechnern. Das kann ein Community-Projekt schwerlich auf die Beine stellen. Dass kommerzielle Anbieter aber nicht unbedingt die Nase vorne haben, beweisen das insgesamt noch schwächer abschneidende Produkt von F-Prot, sowie die kaum besser agierende Lösung von Comodo – beides übrigens kostenlose Produkte.
Auch ein renommierter Name und kostenpflichtige Software garantieren jedoch noch längst nicht für höchste Qualität, wie das unterdurchschnittlich agierende McAfee-Business-Produkt demonstriert. Mit vorbildlichen Erkennungsraten glänzen dagegen AVG Server Edition for Linux 2013 und ESET NOD32 AV for Linux Desktop. Das eine für Endanwender kostenlos, das andere im unteren Preissegment und beide für den Einsatz in kleinen Netzen vorgesehen. Insgesamt fällt auf, dass Produkte, die unter Windows zuverlässig arbeiten, sich auch unter Linux keine Blöße geben – eine naheliegende Vermutung, aber gut, sie einmal Schwarz auf Weiß bestätigt zu sehen.
Generell sollte man sich aber darüber im Klaren sein, dass Antivirus-Produkte bei der Abwehr von Schadsoftware ohnehin nur die zweite Verteidigungslinie darstellen: Die wichtigste sitzt auf den Schultern des Anwenders. Wer sich über Malware auf dem Laufenden hält, seine Systeme regelmäßig aktualisiert, keine überflüssigen Ports aufreißt, Software nur aus vertrauenswürdigen Quellen installiert, dem Webbrowser das automatische Ausführen aktiver Inhalte verwehrt und nicht alles anklickt, was bei Drei nicht aus dem Mail-Client oder vom Desktop verschwunden ist, der braucht sich unter Linux um Schadsoftware eigentlich keine Gedanken zu machen.
Wer also ein gemischtes Netz betreibt, dem bleibt kaum etwas anderes übrig, als die den Windows-Maschinen zugehenden Daten vorab unter Linux gründlich durchzusieben. Bei der Entscheidung für ein dazu geeignetes Werkzeug bietet der aktuelle Vergleichstest von AV-TEST eine wertvolle Entscheidungshilfe.