Zum Inhalt springen

32 Produkte im Test: Wie gut schützt sich Antiviren-Software selbst?

Das Labor von AV-TEST lässt nicht locker, wenn es um die Frage geht, wie gut sich Schutzlösungen für private Nutzer oder Unternehmen selbst schützen. Die Experten haben daher bei 32 Schutzpaketen geprüft, wie gut sie Schutztechniken wie ASLR & DEP einsetzen. Auch Verteilungskanäle und zusätzliche Schutzvarianten haben sich die Prüfer näher angesehen.

Selbstschutz mit ASLR & DEP in Consumer-Software: Die meisten Hersteller schützen ihre Dateien bereits besser – aber nicht alle.

Selbstschutz mit ASLR & DEP in Business-Lösungen: Lediglich Seqrite muss sich Kritik gefallen lassen – die anderen Hersteller sind gut geschützt.

Einzel- und Vergleichswerte von DEP & ASLR in Consumer-Paketen: Im Vergleich von 2014, 2015 und 2017 sieht man meist klare Verbesserungen.

Einzel- und Vergleichswerte von DEP & ASLR in Unternehmens-Lösungen: Die meisten Hersteller arbeiten mit hoher Perfektion – nur Seqrite muss nachlegen.

Signierte Dateien in Consumer-Software: Viele unsignierte Dateien sind ein Sicherheitsrisiko, aber die finden sich nur noch vereinzelt – bis auf Quick Heal.

Signierte Dateien in Business-Lösungen: Unsignierte Dateien finden sich kaum noch – außer bei Seqrite sind es nur noch Einzelfälle.

Wer bietet gesicherte Downloads: Es ist erstaunlich, wie viele Anbieter ihre Testversionen via ungesichertem HTTP-Download statt HTTPS anbieten.

Bereits zum dritten Mal überprüfen die Experten von AV-TEST einen Großteil der am Markt befindlichen Schutz-Software auf deren Selbstschutz. Im Fokus steht dabei der Dateischutz mit ASLR & DEP, den alle Programmierer mit Leichtigkeit verwenden können – oder mit Leichtsinn vergessen. Weiterhin wurde untersucht, ob für die Verteilung von Testversionen gesicherte Kanäle genutzt werden, damit Angreifer keine manipulierten Software-Pakete verteilen können. Die Technik Forced Integrity Checking kann durch das Verwenden von Zertifikaten ausführbare Dateien schützen. Auch dieser Punkt wurde zusätzlich untersucht.

Viele Hersteller sind lernfähig

Bereits im November 2014 saß bei einigen Herstellern der Schock tief: zu dieser Zeit wurden die ersten Ergebnisse zum Selbstschutz mit ASLR & DEP bei Antiviren-Software veröffentlicht. Damals sahen für einige Hersteller die Ergebnisse nicht gut aus. Dabei wurde nur geprüft, ob die frei verfügbaren Programmiertechniken ASLR und DEP zum Schutz von User-Mode-PE-Dateien (Portable Executable) für 32- und 64-Bit genutzt werden. Diese Technik ist für Hersteller einfach, kostengünstig und ohne Einfluss auf die Leistung der Pakete zu nutzen. In dem Artikel vom Oktober 2015 ist die ASLR-DEP-Technik genau erklärt. 2014 setzten nur 2 Hersteller die Technik zu 100 Prozent ein. Der Tiefpunkt lag damals bei unter 20 Prozent.

Der Test-Schreck zeigte Wirkung, denn bereits im Nachtest 2015 waren die Werte um ein Vielfaches besser. Beim damaligen Schlusslicht mit 18,7 Prozent lagen die Werte plötzlich bei über 95 Prozent.

Im aktuellen Test finden sich nun 19 Security-Pakete für private Nutzer und 13 Lösungen für Unternehmen. Gleich 16 Lösungen schützen sich mit ASLR & DEP zu 100 Prozent! Auch Hersteller sind lernfähig. Bei einzelnen Produkten erwarten die Experten noch Verbesserungen. Das Schusslicht liegt dieses Mal bei 36,3 Prozent in Sachen ASLR & DEP-Verwendung.

Einige Anbieter haben den Laborexperten nach den letzten Tests mitgeteilt, dass ihre Produktdateien im Test nie die 100 Prozent erreichen werden. Denn sie setzen eigene Schutztechniken ein, die mit ASLR und DEP nicht kompatibel wären. Welche Techniken das genau sind, wollen die Hersteller aber nicht veröffentlichen.

1. Sicherheitstest: 16 von 32 Paketen nutzen ASLR & DEP zu 100 Prozent

Viele der Produkte nutzen wie beschrieben die Technik ASLR und DEP für ihre Programmdateien, jeweils in der 32- und 64-Bit-Version. Hier die genaue Aufteilung der Produkte für private Nutzer und Unternehmen.

19 Lösungen für private Nutzer

Die Pakete von Avira, Bitdefender, ESET, F-Secure, Kaspersky Lab, MicroWorld, Symantec und Trend Micro nutzen die Schutztechnik ASLR und DEP ohne Ausnahme. Fast perfekt folgen hier noch BullGuard mit 99,6 Prozent, G Data mit 98,8 und AVG mit 97,2 Prozent. Die weiteren Hersteller wie Comodo, Emsisoft, Avast, McAfee, ThreatTrack, Quick Heal und K7 nutzen die Technik nicht konsequent genug. Deren Werte liegen zwischen 92,2 und 58,5 Prozent. Das Schlusslicht Ahnlab setzt ASLR & DEP sogar nur zu 36,3 Prozent ein. Hier muss der Hersteller schnell handeln.

13 Lösungen für Unternehmen

In den Produkten für Unternehmen setzen die Hersteller die Schutztechniken von ASLR & DEP wesentlich konsequenter ein. So nutzen die Produkte von AVG, Bitdefender, ESET, F-Secure, Kaspersky Lab und Symantec die Technik zu 100 Prozent. Die Pakete von Trend Micro, McAfee, G Data und Sophos müssen nur noch etwas Feinarbeit leisten: die Werte liegen zwischen 98,1 und 99 Prozent. Die Entwickler von Seqrite müssen stark nacharbeiten. Die Einsatzquote von 77,1 Prozent ist definitiv zu gering.

2. Sicherheitstest: Sind die Programmdateien signiert?

Das Signieren von Dateien mit Zertifikaten ist für Programmierer zwar ein alter Hut, aber ein sicherer. Signaturen und Zertifikate für Dateien sind wichtig, denn sie helfen bei der Zuordnung, von welchem Hersteller sie kommen. Unsignierte Dateien sind immer eine potentielle Sicherheitslücke. Denn für den Selbstschutz muss eine Software die eigenen Dateien auf Authentizität und Integrität prüfen können. Dabei helfen digitale Signaturen mit gültigen Zertifikaten nebst Hash-Werten. Daher hat das Labor auch bei allen User-Mode-PE-Dateien (Portable Executable) für 32- und 64-Bit den Einsatz eines Zertifikats und dessen Gültigkeit geprüft. Auch hier zeigte sich, dass einige Hersteller sehr exakt arbeiten – andere wiederum schnell ihre Dateizertifikate prüfen müssen.

Zertifikate bei Consumer-Software: Die Hersteller Bitdefender, Comodo, Emsisoft, ESET, G Data, Kaspersky Lab, McAfee und Symantec nutzen bei allen ihren PE-Dateien mit 32- und 64-Bit ausnahmslos gültige Zertifikate. Viele dieser Hersteller sind auch in der Liste der Hersteller, die ASLR & DEP zu 100 Prozent nutzen. Bei Avira, F-Secure, BullGuard, MicroWorld, Ahnlab und AVG sind 1 bis 5 Dateien nicht signiert oder nutzen ein ungültiges Zertifkat. Bei Trend Micro und Avast sind es schon 6 bzw. 8 Dateien, die nicht korrekt signiert sind. Die Produkte von ThreatTrack und Quick Heal haben sogar 13 bzw. 40 gefährdete Dateien im Paket.

Zertifikate bei Unternehmens-Software: Die Sorgfalt in Sachen gültig signierter Dateien sieht bei den Unternehmens-Lösungen viel besser aus. Von den 13 untersuchten Produkten hatten 8 ihre Dateien perfekt signiert: Bitdefender, ESET, F-Secure, G Data, Kaspersky Lab (beide Versionen), Symantec (Cloud-Version) und Trend Micro. Bei AVG, Sophos und Symantec Endpoint Security ist immer nur eine Datei nicht signiert. Bei McAfee sind 4 Dateien nicht signiert, bei Seqrite sind es sogar 42 von 256 vorhandenen PE-Dateien, also über 16 Prozent.

3. Sicherheitstest: Software-Verteilung via gesicherten Kanälen

Bei der Verteilung der Software via Hersteller-Webseite sollte eigentlich jeder das sichere Web-Protokoll HTTPS einsetzen. Selbst Browser, wie etwa Chrome, warnen einen Anwender mit roten Schriftzügen in der Adressleiste, wenn kein sicheres Protokoll eingesetzt wird. Denn nur auf diese Weise ist eine gesicherte Kommunikation mit dem Server möglich. Mit HTTP ist ein Man-in-the-middle-Angriff möglich. Auf diese Weise lässt sich ein Download manipulieren und einem Webseitenbesucher eine gefälschte Installationsdatei unterschieben. Der Nutzer merkt das meist gar nicht. Führt er die manipulierte Datei aus, so wird diese unsigniert sein und Windows meldet das. Aber wer misstraut in diesem Fall schon der Installation einer Sicherheits-Anwendung?

Während es bei den Firmenlösungen kaum Direkt-Downloads gibt, bietet fast jeder Hersteller seine Testversionen für Privatkunden an. Das Ergebnis dieser kurzen Kontrolle der Downloads ist ernüchternd: von 19 Herstellern bieten 13 die Testversionen per unsicherem HTTP an. Lediglich Avira, Bitdefender, ESET, F-Secure, G Data und Kaspersky Lab nutzen das sichere HTTPS-Protokoll.

Vorbilder müssen besser sein

Gerade Hersteller von Sicherheits-Software müssen alle Möglichkeiten ausnutzen, ihr Produkt sicher zu machen. Schließlich haben sie in der Branche eine Vorbildfunktion. Einige Hersteller kommen dem auch nach: Bitdefender, ESET und Kaspersky Lab nutzen zu 100 Prozent ASLR & DEP, signieren alle PE-Dateien mit gültigen Zertifikaten und bieten sichere Downloads an.

Bei vielen Anbietern fehlt nur noch etwas Feinschliff und sie stehen auch perfekt da. Das sollte und wird mit Sicherheit auch kein Problem für diese Hersteller sein. AV-TEST prüft das noch einmal nach in einem bald folgendem Test.

Macht Schutz-Software den PC unsicher?

Maik Morgenstern,
CTO AV-TEST GmbH

Der Test zeigt, dass einige Hersteller durch Nachlässigkeit ihre eigene Schutz-Software durch potentielle Sicherheitslücken schwächen. Aber deswegen ganz auf den Schutz zu verzichten, wäre noch fataler.

Das Ergebnis bestätigt die Aussagen einiger Fachleute, die behaupten, dass Antiviren-Software selbst potentielle Sicherheitslücken hat. Allerdings schieben diese Fachleute oft nach, dass man dann auch gleich auf den Einsatz einer Schutz-Software verzichten kann. Das ist natürlich barer Unsinn.

Natürlich muss man einigen Hersteller vorhalten, warum sie es nicht schaffen, die einfachsten Schutzmechanismen wie etwa ASLR & DEP bei all ihren Produktdateien zu nutzen. Allen voran Firmen wie Comodo, Emsisoft, Avast, McAfee, ThreatTrack Quick Heal, K7, Ahnlab und Seqrite. Die Nutzung ist wirklich simpel und wie man im Test sieht, die Konkurrenz kann es ja auch. Es sind auch viele der zuvor genannten Firmen, die auch beim zweiten einfachen Schutz – dem Signieren von Dateien – teils herb versagen. Es ist umso unverständlicher, dass nur einige Dateien nicht oder ungültig signiert sind; der Großteil ist ja signiert. Man kann das auch einfach Nachlässigkeit nennen. Dass dann auch noch viele Hersteller ihre Downloads von Testversionen mit unsicherem HTTP-Protokoll anbieten, setzt dem Fass die Krone auf und liefert Kritikern noch mehr Argumente gegen Schutz-Software.

Wie die ständigen Tests in Sachen Schutzwirkung belegen, beherrschen die Hersteller ihren eigentlichen Job. Die Security-Pakete arbeiten gut, haben meist eine hohe Erkennungsrate und es entgeht ihnen nur extrem wenig. Aber das reicht nicht. Der Begriff Schutzpaket steht nicht nur für viele Module innerhalb des Produkts. Einige Hersteller haben noch nicht verstanden, dass ein Paket auch als Ganzes stimmig sein muss: der beste Schutz für den Anwender auf einer fehlerfrei geschützten Basis. Und diese beginnt schon beim Download der Testversion von einem geschützten Server. Nur Bitdefender, ESET und Kaspersky Lab scheinen die Sache mit dem Paket verstanden zu haben.

Beitrag teilen: