2297329

Test: Wie angreifbar sind Antivirentools?

25.09.2017 | 08:36 Uhr |

Viele Viren versuchen zunächst, die installierte Antivirensoftware zu deaktivieren. Wir haben getestet, wie gut die Sicherheitstools sich davor schützen können.

Ein gutes Antivirenprogramm soll einen Rechner vor feindlichem Code schützen, also vor Viren oder Hacker-Angriffen. Was dabei selbstverständlich seien sollte: Das Antivirenprogramm muss auch sich selber schützen können. Ist es dazu nicht in der Lage, dann schießt ein Virus als Erstes das Antivirenprogramm ab und macht sich erst dann an sein eigentliches Werk, etwa das Verschlüsseln der Anwenderdateien oder den Diebstahl von Log-in-Daten. Das Prüfinstitut AV-Test hat nun untersucht, ob Antivirenprogramme die wichtigsten Schutzmethoden gegen Angriffe eingebaut haben. Dazu prüfen die Sicherheitsspezialisten, ob die Programme die Funktionen „ASLR“ und „DEP“ verwenden. Das sind Schutzmechanismen, die Microsoft für jedes Anwenderprogramm zu Verfügung stellt. Zudem kontrollierten die Tester, ob jede Programmdatei vom Hersteller mit einem Zertifikat signiert ist. Nur so kann die Antivirensoftware schnell prüfen, ob neue Programmdateien nach einem Update wirklich von seinem Hersteller stammen und nicht von einem Angreifer. Details zu den Testverfahren finden Sie im unteren Kasten.

Im Dauertest: 39 Antiviren-Tools auf dem Prüfstand

Die Testergebnisse des Selbstschutztests

Die Ergebnisse des Selbstschutztests sind durchaus erfreulich. Betrachtet man zunächst nur die Tests mit den ASLR-und DEP-Funktionen, dann haben gleich acht der 19 getesteten Tools beide Funktionen komplett implementiert. Das sind Avira, Bitdefender, Eset, F-Secure, Kaspersky, Microworld, Symantec und Trend Micro. Fast perfekt arbeiten Bullguard mit 99,6 Prozent Umsetzung, G Data mit 98,8 und AVG mit 97,2 Prozent. Die weiteren Hersteller wie Comodo, Emsisoft, Avast, McAfee, Threattrack und K7 nutzen die Technik nicht konsequent genug. Deren Werte liegen im Durchschnitt zwischen 92,2 und 58,5 Prozent.

Insgesamt haben sich die Hersteller gegenüber dem ersten Test dieser Art deutlich verbessert. AV-Test hatte bereits 2014 einen Selbstschutztest durchgeführt. Die Ergebnisse der ASLR-und DEP-Tests finden Sie in der Testtabelle ab der nächsten Seite.

Auch beim Test mit den signierten Dateien schneiden mehrere Programme sehr gut ab. Die Hersteller Bitdefender, Comodo, Emsisoft, Eset, G Data, Kaspersky Lab, McAfee und Symantec nutzen bei allen ihren Programmdateien mit 32 und 64 Bit ausnahmslos gültige Zertifikate.

Testsieger: Kaspersky Internet Security

Kaspersky Internet Security
Vergrößern Kaspersky Internet Security
© Kaspersky

Den ersten Platz in unserem Test konnte die Sicherheitssuite von Kaspersky mit Leichtigkeit für sich verbuchen. Im Selbstschutztest machte Kaspersky alles richtig, das Internet-Security-Paket erreichte in allen Einzeltests den Bestwert. Dieses sehr gute Abschneiden ändert sich auch nicht, wenn diesen Werten die Testergebnisse aus dem letzten Antivirendauertest hinzugerechnet werden. Auch dort errang Kaspersky die Gesamtnote 1,0 und landet somit in diesem Test ebenfalls auf dem ersten Platz mit 1,0. Die neueste Version der Suite gibt es seit Ende August. Sie soll einen deutlich verbesserten Webcam-Schutz enthalten.

Antivirendauertest zur Ergänzung der Testergebnisse

Nachdem gleich mehrere Programme den Selbstschutztest absolut fehlerfrei bestehen konnten, haben wir die Noten aus dem letzten Antivirendauertest der PC-WELT (Ausgabe 5/2017) mit in die Bewertung aufgenommen. So können Sie in der Testtabelle auf der nächsten Seite nicht nur sehen, welches Tool sich sehr gut gegen Angriffe schützt, sondern auch, welche Programme einen auf Dauer guten Virenschutz bieten.

Testsieger ist Internet Security von Kaspersky. Im Test hatten wir Version 2017. Der Nachfolger verzichtet auf eine Jahreszahl oder Versionsnummer im Namen und heißt nur noch Kaspersky Internet Security (siehe Kasten oben rechts). Aber auch die Programme auf den folgenden Plätzen schneiden sehr gut ab und sind als PC-Schutz empfehlenswert.

Im Überblick: Internetsicherheitsprogramme (Platz 1 bis 8)
Vergrößern Im Überblick: Internetsicherheitsprogramme (Platz 1 bis 8)

Bitdefender Internet Security 2017 ab € 24 im Preisvergleich
Avira Antivirus Pro 2017 ab ab € 10,44 im Preisvergleich
Norton Security Standard ab € 17,50 im Preisvergleich
➤ Trend Micro Internet Security 2016 ab € 7,50 im Preisvergleich
➤ G Data Internet Security 2017 ab € 12,20 im Preisvergleich
➤ McAffee Internet Security ab € 12,60 im Preisvergleich

Im Überblick: Internetsicherheitsprogramme (Platz 9 bis 17)
Vergrößern Im Überblick: Internetsicherheitsprogramme (Platz 9 bis 17)

So testen und gewichten AV-Test und PC-WELT

Die Sicherheitstests führt das weltweit angesehene Prüfinstitut AV-Test in Magdeburg durch.

Selbstschutz: Die Spezialisten von AV-Test untersuchten in diesem Jahr, wie gut sich Antivirenprogramm gegen Angriffe schützen können. Dazu überprüfen sie, ob die Programme die Funktionen ASLR und DEP eingebaut haben. Das erfassen sie sowohl für Programmdateien, die im 32-Bit-Modus von Windows laufen, als auch für 64-Bit-Dateien.

ASLR steht für Address Space Layout Randomization, was kurzgefasst gerne mit Adressverwürfelung übersetzt wird. Die Funktion wird von Windows zur Verfügung gestellt und muss von den Programmierern einer Windows-Anwendung, ganz gleich, ob Textverarbeitung oder Antivirenprogramm, mit ins Programm eingebaut werden. Ist das geschehen, wird der Code des Programms beim Laden in den Arbeitsspeicher in zufällige, damit nicht vorhersagbare Bereiche (Adressen) geladen. Ein Virus, der das Antivirenprogramm ausschalten möchte, weiß bei aktivem ASLR nicht, wo sich der Code des Schutztools im Arbeitsspeicher befindet, und kann ihn deshalb dort auch nicht angreifen.

Der Schutz DEP hat eine ähnliche Aufgabe. Auch er soll Angriffe auf den Code im Arbeitsspeicher verhindern. DEP steht für Data Execution Prevention, also Datenausführungsschutz. Die Funktion soll im Arbeitsspeicher für eine saubere Trennung von Code und Daten sorgen. Sie soll verhindern, dass Code ausgeführt werden kann, der zunächst in einen für Daten vorgesehenen Speicherbereich geladen wurde (Stichwort: Buffer Overflow).

Darüber hinaus checken die Experten von AV-Test, ob die Programmdateien mit digitalen Zertifikaten signiert sind. Solche Dateien kann ein Programm zuverlässig seinem Hersteller zuordnen. Will ein Virus eine manipulierte Datei dem Programm unterschieben, fällt das sofort auf, zumindest so lange alle Programmdateien signiert sind.

Schließlich haben die Experten noch kontrolliert, ob die Testversionen der Antivirenprogramme über eine verschlüsselte ( https ) oder unverschlüsselte Verbindung (http) angeboten werden.

Weitere Informationen zum Selbstschutztest von AV-Test finden Sie hier .

Antivirendauertest: Auch den Dauertest der rund 20 Programme führten die Experten von AV-Test durch. Die Tests finden seit dem Jahr 2011 regelmäßig statt und liefen früher unter Windows XP, heute meist unter Windows 7 oder Windows 10. Zu den Tests zählen die drei Kategorien Virenschutz, Geschwindigkeit und Fehlalarme.

PC-WELT hat diese Dauertests in diesem Ratgeber zusammengefasst.

Benotung: Das Prüfinstitut AV-Test gibt im Selbstschutztest keine Noten, sondern veröffentlicht nur die erzielten Wert. PC-WELT hat diese in Schulnoten umgerechnet. Dabei wurden nicht alle Ergebnisse für die Bewertung berücksichtigt. So ist etwa der Wert in den Zeilen „Durchschnitt DEP & ASLR“ aus den Jahren 2017 und 2014 nur zu Ihrer Information gedacht. Auch eine gegebene oder fehlende https-Verbindung zur Demoversion der Programme wurde nicht gewertet. Aus dem letzten Dauertest haben wir sowohl die Einzelnoten als auch die Schlussnote in die Tabelle aufgenommen; diese taucht hier als Zwischennote auf. Selbstschutztest und Dauertest sind zu gleichen Teilen in die Endnote eingeflossen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2297329