Generalisten in Sachen Sicherheit

Inhaltsverzeichnis

Die Internet-Security-Suiten versprechen Rundumschutz, ohne dass man gleich mehrere Programme installieren und pflegen müsste - und das zu einem meist nur geringen Aufpreis gegenüber der reinen Antiviren-Lösung. Dafür erhält der Anwender zusätzliche Module zur Spyware-Erkennung, eine Desktop-Firewall sowie häufig Spam- und Phishing-Filter sowie einen Kinderschutz.

Als Basis des Testfelds dienen die Prüflinge aus dem Virenscannertest in c't 5/07, von denen es auch eine Internet-Security-Suite gibt: AVG Internet Security 7.5, Avira Premium Security Suite, Gdata AntiVirenKit Internet Security 2007, Bitdefender Internet Security 10, CA Internet Security 2007, F-Secure Internet Security 2007, Kaspersky Internet Security 6, McAfee TotalProtection, Norton 360, Panda Internet Security 2007 und Trend Micro PC-cillin Internet Security 2007. Als Desktop-Firewall, den der Hersteller zur Sicherheits-Suite ausgebaut hat, ist zusätzlich die ZoneAlarm-Suite in Version 7 dabei.

Die Qualitäten der integrierten Virenscanner haben wir bereits in [1] getestet, die Fähigkeiten zur Rootkit-Erkennung und -Entfernung in [2]. Für diesen Test haben wir die Firewalls, die Anti-Spyware-Komponenten, die Spamfilter und die Kinderschutzfilter genauer analysiert sowie einen Funktionstest der Phishing-Filter und der Behavioral Blocker vorgenommen. Außerdem haben wir die verfügbaren Versionen für Windows Vista installiert, um möglichen Kinderkrankheiten auf die Schliche zu kommen.

Firewalls

Windows XP mit Service Pack 2 und Windows Vista bringen bereits eine rudimentäre Firewall mit, die alle laufenden Dienste auf dem Rechner gegen den Zugriff aus dem Internet abschirmt. Alle Security-Suiten integrieren jedoch eine eigene Desktop-Firewall, die auch Zugriffsversuche von Anwendungen aufs Netzwerk melden und kontrollieren sollen. Dadurch sollen nur vertrauenswürdige Anwendungen Netzwerkzugang erhalten.

Das überprüften wir mit zehn sogenannten Leak-Tests, die öffentlich auf der Seite www.firewallleaktester.com verfügbar sind. Diese Programme steuern etwa andere, üblicherweise für den Netzzugriff freigegebene Anwendungen wie den Internet Explorer fern, indem sie sich in dessen Adressbereich einnisten, ihn mit Adressen mit zu übertragenden Daten als Startparameter aufrufen, ihn von Batchdateien aus starten oder Daten über DNS-Anfragen transportieren. Keine der Firewalls konnte alle Übertragungswege abdichten. Jede ließ sich ohne Rückmeldung an den Nutzer überwinden. Auch Schädlinge könnten mit diesen Methoden unbemerkt Daten ins Netz schicken.

Die in den Suiten integrierten Desktop-Firewalls schotten wie die Windows-Firewall die Dienste auf dem Rechner erfolgreich gegen Kontaktversuche aus dem Netz ab. Gdatas AVK, Bitdefender, Kaspersky und Panda melden erkannte Portscans, die wir mit dem Werkzeug nmap durchführten.

Dabei schossen jedoch Bitdefender, Kaspersky und Panda über das Ziel hinaus: Sie sperrten kurzerhand die IP-Adresse, von der der Portscan ausging. Das machten die Suiten auch dann, wenn der Portscan mit gefälschter Absenderadresse durchgeführt wurde. So landete bei den drei betroffenen Suiten der DNS-Server in der Blockadeliste, ein weiteres Surfen im Internet war nicht mehr möglich. Angreifer könnten bei den Sicherheitspaketen mittels Portscans mit gefälschten Absenderadressen möglicherweise auch die Update-Server der Suite in die Liste der blockierten Adressen verfrachten und so die dringend nötigen Signatur-Updates für den Virenscanner verhindern. Bei Panda lässt sich die potenziell gefährliche Blockierfunktion nicht mal deaktivieren.

Die Firewalls der Suiten von CA, F-Secure und Kaspersky warnen nicht, wenn ein Netzwerkprogramm lokal auf einem Netzwerk-Port lauscht, sondern melden erst eine Kontaktaufnahme aus dem Netz. Ein Schädling könnte somit unnötig lange unbemerkt im Hintergrund werkeln.

Die Desktop-Firewalls bieten wenig echten Mehrwert gegenüber der bereits in Windows XP SP2 oder Vista integrierten Firewall und wiegen den Anwender in trügerischer Sicherheit: Sie zeigen zwar beispielsweise an, dass reguläre Programme versuchen, ihre Update-Server zu kontaktieren, und suggerieren dem Anwender so, dass er die volle Kontrolle über seinen Rechner hat. Wie die Leak-Tests jedoch zeigen, gibt es bei jeder Desktop-Firewall einen Weg, sie zu umgehen. Da die meisten Schädlinge bislang keine ausgefeilten Methoden zum Versenden der gesammelten Daten einsetzen, können die Firewalls der Suiten zwar viele aktuelle Schädlinge stoppen - das kann sich jedoch jederzeit ändern.

Spionage-Abwehr

Inzwischen schneiden schon viele Virenscanner deutlich besser bei der Spyware-Erkennung ab als noch vor wenigen Jahren. Trotzdem werben die Hersteller insbesondere mit den Anti-Spyware-Fähigkeiten ihrer Security-Suiten. In Zusammenarbeit mit AV-Test haben wir daher die Spyware-Erkennung und -Entfernung getestet. Zum einen mussten die Suiten mit dem On-Demand-Scanner 14 517 Spyware-Samples erkennen, zum anderen installierten wir 25 aktuelle Spyware-Programme und überprüften die Erkennung sowie die korrekte Entfernung durch die Anti-Spyware-Komponenten.

Bei der Erkennung der inaktiven Spionageprogramme beeindruckten Aviras Internet-Security-Suite und Gdatas AVK-Suite mit einer fast hundertprozentigen Trefferquote. Die Anti-Spyware-Komponente von CA bildet das abgeschlagene Schlusslicht und spürte weniger als der Hälfte der Samples auf. CA, McAfee und ZoneAlarm konnten nicht alle installierten aktuellen Spionageprogramme auf dem Rechner erkennen - somit könnten Anwender womöglich unbemerkt ausspioniert werden.

Mit der vollständigen Entfernung von Spyware tun sich alle Suiten schwer. Überbleibsel einer Spyware-Infektion wie verbogene Browser-Startseiten erleichtern jedoch eine Neuinfektion. Außerdem könnten andere Anti-Spyware-Lösungen die Reste erkennen und melden dann fälschlicherweise eine noch immer vorhandene Infektion des Rechners und verunsichern damit den Anwender unnötig. Am besten schlug sich noch Trend Micros PC-cillin, das drei Viertel der installierten Spionageprogramme sauber entfernte. Die Suiten von Bitdefender und Gdata scheinen die Entfernung auf das Deaktivieren und Löschen der Programmdatei des laufenden Schädlings zu beschränken und bilden gemeinsam das Schlusslicht des Testfelds.

Zusätzlich zu den Anti-Spyware-Tests von AV-Test haben wir noch überprüft, wie die Suiten mit unbekannten Programmen umgehen, die potenziell gefährliche Aktionen ausführen. Die Miniprogramme der Spycar-Test-Suite nehmen Änderungen an den Autostart-Einträgen in der Registry vor, verändern Such- und Startseiten des Internet Explorer, schalten seine Konfigurationsseiten ab und manipulieren die Hosts-Datei, in der URLs IP-Adressen zugewiesen werden können [3]. Schädlinge versuchen gerne mal, den Zugriff von Sicherheitsprogrammen auf ihren Update-Server zu einer lokalen Adresse um- und damit in die Irre zu leiten. Da jedes Miniprogramm nur eine einzige Änderung vornimmt, schlagen die Behavioral Blocker nicht an, die erst auf die Kombination mehrerer verdächtiger Aktivitäten reagieren. Man kann durch sie aber erkennen, ob die Suiten die Hosts-Datei, Autostart-Registry-Einträge oder die Internet-Explorer-Konfiguration beschützen, die Schädlinge häufig manipulieren. McAfees TotalProtection erkannte als einzige Suite alle Änderungen und bot an, sie zu unterbinden.

Die Empfindlichkeit der Heuristik beziehungsweise der Behavioral Blocker in den Suiten testeten wir mit einfachen, selbst erstellten Keyloggern, die Tastenanschläge in einer Datei mitprotokollieren und sich in den Autostart-Einträgen des Rechners einnisten. Eine weitere Variante nimmt zusätzlich noch Verbindung mit einem IRC-Server auf, wie es eine Backdoor auch machen würde. Nur Bitdefender und F-Secure erkannten alle drei Testprogramme als Gefahr und beendeten sie. Bei AVG, Avira, CA, Gdata, McAfee und PC-cillin lösten sie zumindest Alarm aus, weil sie die Registry verändert oder eine Internetverbindung aufgebaut haben.

Werbeflut

Unerwünschte Werbemails machen inzwischen einen Großteil des Mail-Aufkommens im Internet aus. Die Security-Suiten bringen allesamt einen Filter mit, der diesen Spam ausfiltern soll. Einige setzen auf Echtzeit-Relay-Listen, die Server enthalten, von denen bekannt ist, dass sie derzeit Spam versenden. Viele Suiten enthalten außerdem lernfähige Filter, die Spam anhand bestimmter wiederkehrender Merkmale aufspüren, sogenannte Bayes-Filter. Die Lösungen von Avira, Gdata, Panda und ZoneAlarm setzen zudem auf Echtzeit-Datenbanken externer Spezialisten, die Ausbrüche erkennen und so Massenmails und -viren innerhalb kürzester Zeit identifizieren können sollen.

Wir trainierten die Filter wenn möglich mit 100 erwünschten und 100 Spam-Mails und ließen sie danach 2000 Spam-Mails und 250 reguläre E-Mails überprüfen. Diese Mails waren zum Testzeitpunkt maximal drei Wochen alt. Dennoch sind Filter, die auf eine Ausbruchserkennung setzen, dabei im Nachteil: Üblicherweise löschen die Dienstanbieter Daten, die älter als ungefähr zwei Wochen sind, um die Größe der Datenbank klein zu halten. Bei jüngeren Spam-Mails zeigen diese Systeme erwartungsgemäß deutlich bessere Erkennungsleistungen. Die Ergebnisse des Spam-Tests geben einen Hinweis auf die Leistung der Filter, auch wenn die meisten nach einem längeren Training mit mehr E-Mails bessere Ergebnisse erzielen.

Ein Spam-Filter soll nicht nur Spam zuverlässig als solchen erkennen, sondern vor allem möglichst keine erwünschten Mails fälschlicherweise als Spam einsortieren. Der Filter ist nutzlos, wenn man die als Spam markierten Mails doch wieder selbst untersuchen muss.

Positiv fielen CA und PC-cillin auf, die einen sehr großen Anteil an Spam korrekt filterten. Bei Avira trübten die acht falsch sortierten erwünschten Mails den sonst guten Eindruck. McAfee erkannte fast ein Fünftel der gewollten Mails als Spam und wird nur von Nortons Filter getoppt, der fast die Hälfte der gewollten E-Mails falsch einsortierte - damit sind die beiden Spam-Filter unbrauchbar. Symantec arbeitet jedoch an dem Problem. Ebenfalls nicht zu gebrauchen ist Pandas Spam-Filter, der so gut wie keine Spam-Nachricht erkannte - erst nach einem Update des Herstellers in der Konfiguration des Filtermoduls besserte sich die Rate; es soll Anwendern auf der Support-Seite zum Download bereitgestellt werden.

Gone Phishing

Gdatas AVK, Kaspersky, McAfee, Norton und PC-cillin enthalten einen Phishing-Filter, der Benutzer warnen soll, wenn eine gefälschte Seite vertrauliche Daten wie Paypal-, eBay- oder Konto-Daten von ihm anfordert. Mit zehn sehr jungen, willkürlich ausgewählten Phishing-Seiten haben wir überprüft, ob die Filter sie tatsächlich erkennen. Bei Gdata war dies erst nach manuellem Update des Filters mit mehreren Stunden Verspätung der Fall, Kaspersky erkannte nur zwei der Seiten. PC-cillin, Norton und McAfee erkannten einen Großteil der Seiten, jedoch auch nicht alle. Die Erkennungsleistung von Phishing-Seiten liegt damit in etwa gleichauf mit den beim Internet Explorer 7 und in Firefox 2 integrierten Phishing-Filtern.

Identitätsschutz

Bitdefender, CA, McAfee, Norton, Panda, PC-cillin und ZoneAlarm bieten an, Benutzerdaten wie PINs, TANs, Sozialversicherungsnummern und so weiter vor der Übertragung ins Netz auszufiltern und so zu beschützen. Dieses Feature ist aber nur scheinbar nützlich. Einerseits gibt der Anwender seine vertraulichen Daten auf dem Rechner ein und hält sie dort vor, sodass sie ein Schädling, der im Hintergrund lauert, möglicherweise auslesen könnte. Außerdem maskieren CA, McAfee, Norton und ZoneAlarm beispielsweise die PIN nur mit Sternchen aus, sodass Angreifer etwa mit einem JavaScript alle möglichen PINs übertragen können - die maskierte Zahl in den Logfiles des Servers ist die gesuchte. Wenn die Suiten die Übertragung vollständig blockieren, erschwert das einen Angriff ein wenig, aber auch hier könnte ein geschickt programmiertes JavaScript die geschützten Daten verraten.

McAfees Identitätsschutz leistete sich im Test noch einen gröberen Patzer: Während er in der URL-Anfrage die PIN ausmaskiert hat, war sie im Datenbereich der http-Anfrage noch enthalten. Bitdefender, Panda und PC-cillin untersuchen Datenübertragungen lediglich auf Standardports, beispielsweise Port 25 für E-Mails oder Port 80 für Webverkehr. Ein Schädling kann an ihnen Daten vorbeischmuggeln, indem er einen beliebigen Nicht-Standard-Port zur Übertragung auswählt. Bei den anderen Suiten mit Identitätsschutz müsste er immerhin noch eine Verschleierung etwa mit einem logischen XOR vornehmen. Der Identitätsschutz gaukelt dem Anwender somit Sicherheit vor, die nicht vorhanden ist. Man sollte diese Funktion daher besser nicht verwenden.

Nachwuchssorgen

Bis auf AVG, Avira und Kaspersky bringen alle getesteten Schutzpakete einen Jugendschutzfilter mit. Er soll Eltern dabei unterstützen, ihre Kinder vor ungeeigneten Inhalten zu schützen und die Internet-Nutzungszeit zu begrenzen. Die Jugendschutzfilter blockieren Webseiten anhand von vorgegebenen Kategorien, Blockadelisten und Wörtern, die auf Webseiten auftauchen.

Ausgehend von dem Test von Jugendschutzfiltern in c't 8/07 beschickten wir die Jugendschutzfilter mit 20 pornographischen Seiten, zehn gemischten Seiten von Terroristenhandbüchern über Volksverhetzung bis hin zu anstößigen Ekel-Bildern sowie mit zehn Aufklärungsseiten [4]. Das Ergebnis ist aufgrund der Stichprobengröße nicht repräsentativ, sondern liefert einen Hinweis darauf, wie die Programme filtern. Die meisten lassen eine Auswahl mit Sperrkategorien zu, wodurch sich das Ergebnis ändert. Außer beim ZoneAlarm-Filter kann man bei allen Jugendschutzfiltern zusätzlich Black- und Whitelists erstellen und erweitern, die Adressen von zu sperrenden beziehungsweise zuzulassenden Seiten aufnehmen.

Bis auf den Jugendschutzfilter von CA, der für Privatanwender kostenlos im Netz bereitstehenden Software Blue Coat K9 Web Protection, ließen sich alle Filter mit einfachsten Mitteln umgehen. Häufig reicht die Eingabe der IP-Adresse des Servers, damit die Seite trotz aktivem Schutz angezeigt wird. Oft übersehen die Filter auch das Web-Archiv (www.archive.org), den Google-Cache oder lassen sich durch die Nutzung eines Anonymisierungsproxys wie JAP von der TU Dresden umgehen.

Mehrere Produkte filtern Webseiten zu aggressiv für den europäischen Geschmack. Seiten über sexuelle Aufklärung, über Homosexualität oder Informationen zu Aids stehen Amerikaner oft skeptischer gegenüber. Gdata, CA, McAfee und PC-cillin sperrten mehrere Aufklärungsseiten. Revisionistische Seiten hatte hingegen nur das europäische F-Secure auf der Sperrliste. Sämtliche Kinderschutzfilter blockierten den Zugang zu Seiten mit gewaltverherrlichenden Spielen. Bei nackter Haut fiel Bitdefender durch die wenigen blockierten Pornoseiten und McAfee durch eine sonderbare Unterscheidung zwischen Kindern und Jugendlichen auf: McAfee filtert bei Kindern pornographische Inhalte nicht heraus.

Diese auf Listen basierenden Filter haben ein prinzipielles Problem. Täglich entstehen tausende neuer Internetseiten, die gefunden und katalogisiert sein wollen und den Filtern daher durchrutschen. Daher eignen sich die Filter eher für den Schutz kleinerer Kinder, die noch nicht so sehr mit dem Internet vertraut sind. Für sie sollten die Eltern beispielsweise Whitelists erstellen, in denen sich lediglich die erlaubten Seiten befinden. Mit älteren Kindern und Jugendlichen sollten die Eltern über das Internet und dessen Gefahren reden und ihnen eine verantwortungsvolle Nutzung des Mediums nahe bringen, statt lediglich auf eine technische Maßnahme zu setzen.

Den vollständigen Artikel mit ausführlichen Produktbesprechungen und Testergebnisse finden Sie in c't 12/07.

Literatur

[1] Dirk Knop, Die Leibwächter, 17 Virenscanner für Windows XP und Vista, c't 5/07, S. 142

[2] Dirk Knop, Wurzel-Zieher, Rootkits unter Windows entdecken und entfernen, c't 2/07, S. 90

[3] Spycar-Test-Suite

[4] Axel Kossel, Holger Bleich, Schutz vor Schmutz, Wie gut Filter Kinder und Jugendliche vor gefährlichen Internet-Inhalten schützen, c't 8/07, S. 146 (dmk)