168942

Secunia-Test von Security-Suites

15.10.2008 | 16:26 Uhr |

Ein Sicherheitsunternehmen will 12 Schutzpakete namhafter Hersteller getestet und dabei festgestellt haben, dass sie kaum Schutz vor der Ausnutzung bekannter Sicherheitslücken bieten. Die Testmethoden sind allerdings umstritten.

Das dänische Sicherheitsunternehmen Secunia hat in dieser Woche einen Testbericht veröffentlicht, in dem 12 Internet Security Suites bekannter Hersteller nicht besonders gut weg kommen. Sie würden die Anwender nur unzureichend vor Exploit-Code schützen, der bekannte Sicherheitslücken ausnutzt, so der Vorwurf von Secunia. Die Veröffentlichung hat indes heftige Kritik an den Testmethoden ausgelöst.

Nach eigener Darstellung im veröffentlichten Testbericht hat Secunia auf Basis bekannter Sicherheitslücken und Demo-Exploits eigene Exploit-Dateien erstellt und sie mit den Virenscannern geprüft, die Teil der Security-Pakete sind. Die Ergebnisse seien ernüchternd, lediglich ein einziges Produkt erkenne immerhin etwas mehr als 20 Prozent der Dateien, der Rest bleibe unter drei Prozent.

Nicht nur die betroffenen Hersteller, auch unabhängige und anerkannte Testorganisationen bemängeln allerdings schwere handwerkliche Fehler in Secunias Testbericht. Hauptkritikpunkt ist, dass Secunia lediglich eine von mehreren Komponenten der Schutzpakete getestet hat - den Virenscanner. Die etwa 300 Dateien damit zu prüfen dauert nur ein paar Sekunden - das ist schnell gemacht, sagt jedoch wenig aus.

Pedro Bustamante von Panda Security lässt im Panda Research Blog kein gutes Haar an dem Secunia-Test. Er bezeichnet ihn als reinen Marketing-Gag, denn Secunia biete selbst eine Software an, die bekannte Sicherheitslücken und fehlende Updates im System aufspüren soll. Secunia verfüge über genug Fachkenntnis, um es besser wissen zu müssen.

Die aktuellen Security-Suites enthielten, so Bustamante weiter, verschiedene Schutzmodule, die sehr wohl Exploit-Code erkennen und blockieren könnten, wenn er ausgeführt würde. Secunia hätte jedoch die Exploit-Dateien in den jeweiligen anfälligen Anwendungen öffnen müssen, um einen aussagefähigen Test zu erhalten. Der Virenscanner sei zudem nicht dasjenige Modul einer Security-Suite, das für die Erkennung von Exploit-Code zuständig sei.

Auch Andreas Marx von AV-Test in Magdeburg, einem weltweit anerkannten Testinstitut, schlägt in dieselbe Kerbe. Er zieht einen Vergleich zu Sicherheitstests bei Autos, bei denen man auch nicht nur die Schutzwirkung der Gurte sondern auch die von Airbag, ABS, Knautschzonen und anderen Sicherheitsmerkmalen prüfen müsse. Alex Eckelberry, CEO von Sunbelt Software, das von dem Secunia-Test nicht betroffen ist, zitiert Andreas Marx ausführlich in seinem Blog und bezeichnet Secunias Veröffentlichung als eine nutzlose PR-Aktion.

So ganz nutzlos ist sie vielleicht doch nicht - sie zeigt, dass aussagefähige Sicherheitstests viel Erfahrung und einen erheblichen Aufwand erfordern. Secunia weist zudem mit Recht darauf hin, dass Anwender ihre Systeme regelmäßig mit (kostenlos erhältlichen) Sicherheits-Updates, auch für Anwendungsprogramme, auf dem aktuellen Stand halten sollten. Sich allein auf Schutzprogramme oder sein Glück zu verlassen, kann sich schnell als fatal erweisen.

0 Kommentare zu diesem Artikel
168942