Technik
Im Kampf gegen Viren und Trojaner ist ein guter Selbstschutz wichtig.
Im Kampf gegen Viren und Trojaner ist ein guter Selbstschutz wichtig.(Foto: REUTERS)

Software oft nicht gut geschützt: Welcher Virenschutz ist selbst sicher?

AV-Test untersucht, wie gut sich Antiviren-Software selbst gegen Angreifer schützt. Manche Hersteller pflegen den Schutz perfekt, andere sind viel zu leicht angreifbar. Die Bestnote bekommen nur 3 von 21.

Wer sich im Internet ohne Sicherheits-Software bewegt, handelt fahrlässig. Gute Antiviren-Programme sind wie ein starkes Immunsystem, sie schützen den Rechner vor Gefahren, Angriffen und Infektionen aus dem Netz. Aber wie gut sind die Sicherheitslösungen eigentlich selbst gegen Angreifer geschützt? Das unabhängige Institut AV-Test ist dieser Frage nachgegangen und hat 31 Antivirus-Programme getestet.

Das Ergebnis des diesjährigen Tests.
Das Ergebnis des diesjährigen Tests.(Foto: AV-Test)

Bereits vor elf Monaten hatte AV-Test Herstellern von Schutzpaketen auf den Zahn gefühlt und untersucht, wie gut sie sich schützen. Die Tester wollten wissen, ob die Programmierer die frei verfügbaren Schutzmechanismen DEP und ASLR, die ohne großen Aufwand eingesetzt werden können, für ihren Programmcode nutzen. Das Ergebnis: Nur 2 von 24 untersuchten Produkten setzten beide Mechanismen zu 100 Prozent ein, 4 weitere nur in der 64-Bit-Version ihres Produkts.

300 Tage später zieht AV-Test nun Bilanz: Was hat sich seither getan? Haben die Hersteller reagiert und den Selbstschutz ihrer Programme verbessert? 21 Lösungen für private Nutzer und 10 Lösungen für Unternehmen wurden dieses Mal auf ihren Einsatz von DEP und ASLR getestet, sowohl in der 32- als auch in der 64-Bit-Variante. Und tatsächlich gab es Fortschritte: Im aktuellen Test besaßen sechs Produkte 100-prozentigen Schutz: Avira, Bullguard, ESET, Kaspersky, McAfee und Symantec. Zwei Pakete erreichten in der Auswertung 99,4 (F-Secure) und 99,5 Prozent (G Data). Avast Free Antivirus kam auf 96,9 Prozent, AVG Internet Security auf 95,9 Prozent. Trend Micro konnte sich von 71 Prozent im vergangenen Jahr auf 76 Prozent verbessern. Schlusslicht ist K7 Security mit 25,9 Prozent.

ASLR und DEP

ASLR oder Address Space Layout Randomization steht für eine Speicherverwürfelung, die das Ausnutzen von Sicherheitslücken in Computersystemen erschwert. Durch ASLR werden Adressbereiche den Programmen auf zufälliger Basis zugewiesen. So sollen Angriffe durch einen Pufferüberlauf verhindert oder zumindest erschwert werden.

DEP oder Data Execution Prevention wird auch als NX-Bit (No eXecute) bezeichnet. Der Schutz hat seine Basis bereits in der Hardware. Die Prozessor-Hersteller AMD und Intel haben diese Technik bereits seit 10 Jahren unter den Eigennamen EVP bzw. XD-Bit in all ihren Prozessoren implementiert. Sie soll verhindern, dass Programme beliebige Daten als Programm ausführen und auf diese Weise Schadcode starten.

Einer der größten Befürworter dieser Techniken ist seit langer Zeit Microsoft. ASLR wird ohne Ausnahme seit Windows Vista verwendet. DEP wird seit Version XP SP 2 unterstützt. Fast immer reißt eine installierte Fremd-Software, die Lücken in ein Windows-System. Populäre Vertreter dieser Gattung sind etwa der Adobe Reader, Flash oder Java.

Wie beim vorigen Test weist AV-Test darauf hin, dass einige Anbieter angegeben hätten, eigene Schutztechniken anzuwenden, die nicht mit DEP und ASLR kompatibel sind. Welche Techniken das im Einzelnen seien, wollten die Hersteller aber nicht preisgeben.

Ernüchterndes Ergebnis

Zusätzlich haben die Tester dieses Mal geprüft, ob alle Dateien auch mit gültigen Zertifikaten signiert sind. Schließlich, so heißt es im Prüfbericht, erwarteten die Hersteller von Sicherheitssoftware auch von anderen Software-Produzenten, dass diese gültige Signaturen und Zertifikate nutzen. Die helfen nämlich bei der Zuordnung und der Bewertung von Dateien - unsignierte Dateien stellen in Sicherheitsprodukten eine potentielle Sicherheitslücke dar, da eine Antiviren-Software auch bei ihren eigenen Dateien Authentizität und Integrität prüfen können muss.

Das Ergebnis des Tests ist ernüchternd: Bei den Unternehmenslösungen hatten 50 Prozent der Produkte unsignierte Dateien, bei den Produkten für Privatanwender waren es sogar 60 Prozent. Bei Avast, Check Point und Thread Track gab es zudem auch noch Dateien mit ungültigen Zertifikaten. Das heißt nicht, dass diese Programme per se unsicher sind, doch halten sie Schlupflöcher für potenzielle Angreifer bereit, die eigentlich fest verschlossen sein müssten.

Am besten schneiden im Test ESET, McAfee und Symantec ab - alle setzen DEP und ASLR zu 100 Prozent ein und arbeiten sauber mit signierten Dateien. Avira, Bullguard und Kaspersky haben hier noch Aufholbedarf, setzen die Sicherheitstechniken aber ebenfalls zu 100 Prozent ein.

(Foto: AV-Test)

Quelle: n-tv.de

Empfehlungen