Vom täglichen Kampf gegen 55'000 Feinde

Das Institut AV-Test prüft Security-Lösungen auf ihre Widerstandsfähigkeit gegenüber Malware. Die Produkte werden in aufwändigen Verfahren in den Kategorien Schutzwirkung, Reparaturleistung und Benutzerfreundlichkeit getestet. Anschliessend werden die Ergebnisse auf der Webseite publiziert. Zu den getesteten Produkten gehören auch Lösungen für die Endpoint-Security. Andreas Marx, Geschäftsführer von AV-Test, erklärt im Gespräch, woran Händler gute Endpoint-Security-Software erkennen und wo die Grenzen der Software liegen.

Welches sind die drei häufigsten Sicherheitsgefahren in der IT?

Andreas Marx: Neben Computerviren sind hier vor allem Hacker-Angriffe zu nennen. Allerdings kommen diese nicht immer von externen Tätern. Oft erschleichen sich auch sogenannte 'Innentäter', also Angestellte, den Zugriff auf Informationen die nicht für sie bestimmt sind. Oft genug helfen ihnen Passwörter, die sich leicht erraten lassen oder sogar allen bekannt sind. Ein weiteres Problem sind Sicherheitslücken in Programmen.

Was empfehlen sie dagegen?

Für Passwörter müssen Regeln aufgestellt werden, gegen Sicherheitslücken helfen die Patches und Updates der jeweiligen Anbieter.

Wo kann hier Software für Endpoint-Security helfen?

Antiviren-Software hilft leider nur gegen Viren und andere schadhafte Software. Sie dient der Erkennung und Beseitigung von bekannter Malware und sie bietet auch Schutz vor neuen Gefahren. Der Schutz am Endpoint ist unabdingbar, denn letztlich ist er das verwundbarste Glied der Kette.

Woran erkennt der Händler ob er ein gutes Produkt in seinem Sortiment hat, das er seinen Kunden mit gutem Gewissen empfehlen kann?

An der 'Verpackung' oder Oberfläche lässt sich noch keine gute Software erkennen. Daher empfehlen wir, auf unabhängige Testergebnisse zu achten. Ein gutes Produkt erkennt Schadprogramme, ohne dabei viel von den vorhandenen IT-Ressourcen zu brauchen. Ausserdem sollte die Software auf keinen Fall fälschlicherweise Alarm auslösen, also einen Virus finden, wo keiner ist. Und im Falle des Falles sind verschiedene Reinigungsoptionen für Dateien und Registry nützlich, wenn man das System nicht von einer Image-Datei wiederherstellen kann.

Endpoint-Security kann gratis aus dem Netz herunter geladen werden. Braucht es da den Handel mit Sicherheitssoftware überhaupt noch?

Auf jeden Fall, denn die meisten kostenlosen Lösungen bieten nur einen eingeschränkten Schutz.

Inwiefern eingeschränkt?

Wichtige Zusatzfeatures sind oft nicht gratis. Ausserdem gibt es den Service und Support nur gegen Bezahlung. Vor dem Einsatz sollte man auch unbedingt prüfen, ob die Software wirklich für den Unternehmenseinsatz lizenziert ist und ob es Beschränkungen bei der Anzahl der Arbeitsplätze gibt. Meist sind zehn PCs das Maximum.

Worin unterscheiden sich die Sicherheitslösungen der verschiedenen Hersteller voneinander?

Lassen Sie uns das mit Autos vergleichen: Alle Autos können fahren und einen von A nach B bringen. Trotzdem sind sie vom Aufbau und den Features her doch sehr unterschiedlich und entsprechend für verschiedene Zielgruppen 'anders' gestaltet. Wer viel auf der Autobahn unterwegs ist, hat andere Anforderungen, als ein Pendler in der Stadt.

Wo liegen denn die Grenzen von Endpoint-Security-Software?

Der Schutz durch Endpoint-Security-Software kann nie komplett sein. Ein Beispiel: Wir registrieren täglich um die 55'000 neue Schädlinge. Das heisst, dass die Software schnell und häufig aktualisiert werden muss. Aber gegen gezielte Attacken oder Hacker-Angriffe kann die Software nur bedingt helfen. Da bieten Firewall-Lösungen und gut geschulte Anwender mehr Sicherheit.

Ab wann machen grössere Sicherheitssysteme, wie die Firewalls die sie eben angesprochen haben, oder Appliances für Unified Threat Management, mehr Sinn?

Je eher man Gefahren abwehrt, umso besser, daher sind zentrale und ständig kontrollierte und aktualisierte Gateway-Systeme wichtig. Auch hier habe ich wieder eine Analogie parat: Eine kleine Firma braucht sicherlich nur einen Feuerlöscher für den Notfall, bei einem Grossraumbüro sind viele davon nötig und natürlich weitere Sicherungssysteme wie Sprinkleranlagen und Lüftungssysteme.

So prüft AV-Test:

Das Team von AV-Test prüft in seinen Laboren Sicherheitsprodukte auf ihre Leistungen in den Kategorien Schutzwirkung, Reparaturleistung und Benutzbarkeit.

Schutzwirkung: Um die Schutzwirkung einer Sicherheitslösung zu testen, wird diese auf einem nicht infizierten System installiert und das Verhalten bei Bedrohungen durch Malware überprüft. Dafür werden verschiedene Angriffsszenarien simuliert, zum Beispiel die Bedrohung durch E-Mail Anhänge, durch infizierte Webseiten oder durch von fremden Datenträgern eingeschleuste schädliche Dateien. Die Prüfer untersuchen hierbei die komplette Funktionalität des Schutzprogramms.

Reparaturleistung: Analysiert wird die Reparaturleistung des Produktes bei einem bereits infizierten System. Beurteilt werden dabei die Fähigkeiten bei der Entfernung von aktiver Schadsoftware, die Sanierung von weiteren Systemveränderungen und die Aufspür- und Entfernungsleistung bei speziell versteckter Schadsoftware, sogenannten Rootkits.

Einfluss auf die Benutzbarkeit: Untersucht wird der Einfluss der Sicherheitssoftware, auf die Benutzbarkeit des Systems und die entstandenen Systembeeinträchtigungen wie: Warnmeldungen, allgemeine Meldungen und Blockaden, Fehlalarme während des System-Scans sowie die Verlangsamung des Computers während der Benutzung.