Sicherheitsdienstleister sieht Symantec weit vor der Konkurrenz

In einem Test des Sicherheitsdienstleisters Secunia deklassierte Symantecs Norton Internet Security 2009 die Konkurrenz um Längen. Trotzdem liegt die Erkennungsquote mit rund 20 Prozent erschreckend niedrig und es bleibt unklar, wie dieser Klassenunterschied zustande kommt.

Secunia entwickelt für eigene Analysen unter anderem Exploits, die demonstrieren dass und wie man Sicherheitslücken ausnutzen kann. 300 von diesen selbst erstellten Demoprogrammen haben sie jetzt auf Systeme losgelassen, die mit von verschiedenen Internet Security Suiten beschützt werden sollten, darunter die meisten namhaften Hersteller.

• McAfee Internet Security Suite 2009
• Norton Internet Security 2009
• Windows Live OneCare
• ZoneAlarm Security Suite 8
• AVG Internet Security 8.0
• CA Internet Security Suite 2008
• F-secure Internet Security 2009
• TrendMicro Internet Security 2008
• BitDefender Internet Security Suite 2009
• Panda Internet Security 2009
• Kaspersky Internet Security 2009
• Norman Security Suite 7.10

Das Ergebnis: Norton erkannte über zwanzig Prozent der Exploits, während die nächstbesten Produkte nur noch etwas über zwei Prozent wegfischten. Secunia interpretiert das in der Jubelmeldung "Symantec the best Internet Security Suite" dahingehend, dass selbst die zwanzig Prozent von Symantecs Security Suite noch erschreckend wenig seien. Das legt tatsächlich einen Finger in die offene Wunde der Hersteller von Sicherheitssoftware: Maßgeschneiderter Schadsoftware, die gezielt Sicherheitslücken im Betriebssystem beziehungsweise Applikationen ausnutzt, haben sie immer noch wenig entgegenzusetzen. Erst wenn derartige Malware massenhaft auftaucht, wird sie analysiert und dann auch zuverlässig erkannt.

In Anbetracht der Tatsache, dass Exploits handoptimierte, meist in Assembler verfasste Einzelstücke sind, erscheint jedoch schon eine Trefferquote von über zwanzig Prozent als zumindest erklärungsbedürftig. Thomas Kristensen, CTO von Secunia erläuterte auf Nachfragen von heise Security, er glaube, dass Symantec tatsächlich tiefgehende Analysen der Schwachstellen durchführe und deshalb die Mechanismen, die sie auslösen, besser verstehe.

Eine alternative, aber weniger spektakuläre Erklärung findet sich in der Beschreibung der Arbeitsweise von Secunia. Dort steht, dass man die Exploits an diverse Sicherheitshersteller weitergegeben habe, damit diese ihre Produkte testen können. Ob Symantec auf diesem Weg bereits vorab Zugang zu Testmustern bekommen habe, wollte Kristensen nicht preisgeben, weil Secunia die Namen von Kunden grundsätzlich nicht enthülle.

Vielleicht hat ja Symantec einfach nur in weiser Voraussicht systematischer als die anderen Hersteller Signaturen für das von Secunia angelieferte Material erstellt. Damit könnten sie dann die Secunia-Exploits recht gut identifizieren. Ob eine solche signaturbasierte Erkennung dann jedoch auf den Exploit eines Malware-Schreibers übertragbar wäre, also wirklich für den Anwender mehr Schutz bedeutet, ist sehr fraglich. (ju)