19 Virenscanner und -Wächter für Linux

Seite 5: Fazit

Fazit

Die Auswahl an Virenscannern für Linux scheint groß, aber viel zu viele Programme sind für den Einsatz auf Produktivsystemen nicht geeignet -- sei es wegen bescheidener Erkennungsraten oder mangelnder Stabilität. Spätestens, wenn sich die Malware in eingebetteten OLE-Objekten innerhalb von Office-Dokumenten oder in komprimierten Archivformaten versteckt, müssen alle Programme an der einen oder anderen Stelle passen. Für den Sysadmin ist das eine höchst unbefriedigende Situation, wenn er das Auftreten bestimmter Klassen von Dateien nicht sicher ausschließen kann -- womöglich ist der nächste Virus doch ausgerechnet auf die eine Art komprimiert, mit der der Virenscanner nicht umgehen kann. Programme, die schon an den gängigen Dateiviren der ITW-Liste scheitern, kann man nicht ernsthaft in Betracht ziehen -- H+BEDV AntiVir, Softwin BitDefender, Ikarus-Pscan, Norman Virus Control und die beiden Open-Source-Projekte Clam AV und VirusHammer sind damit aus dem Rennen. Bootviren wird man auf einem Fileserver wohl kaum jemals antreffen, eine allzu hohe Rate an Fehlalarmen kann die Anwender jedoch nerven.

Die nächste Frage sollte die nach den Wächterfunktionen sein: Soll jeder Serverzugriff auf Viren überwacht werden oder reicht ein regelmäßiger Scan der seit der letzten Kontrolle aufgelaufenen Dateien? Von den neun Wächtern bekamen wir zwei (Dr. Web und Kaspersky) auf keiner der getesteten Distributionen auch nur zum Laufen - schade, gerade Kaspersky konnte im Scannereinsatz (abgesehen von der etwas hakeligen Bedienung) durchaus überzeugen.

Trend Micros ServerProtect läuft ausschließlich mit dem bereits nicht mehr ganz frischen Red Hat 7.2 und zwang uns zudem den Einsatz einer veralteten Kernelversion mit bekannten Sicherheitslücken und Performanceproblemen auf. Ob man sich angesichts der im Rahmen bleibenden Scanleistung -- ServerProtect lässt sich vor allem durch laufzeitkomprimierte Programme leicht austricksen -- derart in der Auswahl der sonstigen Software auf dem Server einschränken lassen möchte, muss jeder für sich entscheiden.

Computer Associates eTrust könnte angesichts einer ordentlichen Erkennungsrate mit Problemen lediglich bei einigen komprimierten Archivformaten eine Empfehlung wert sein, wenn die gelegentlichen Abstürze im Betrieb nicht ein äußerst ungutes Gefühl hinterlassen würden. Ein Wächter, der scheinbar läuft, tatsächlich aber die Arbeit eingestellt hat, dürfte zu den Alpträumen jedes Admins gehören. Auch die ungewöhnlich formatierten, ohne weitere Hilfsmittel nicht lesbaren Logdateien und die Weigerung, auf aktuellen oder auch nur aktualisierten Linux-Systemen zu laufen, sprechen gegen das Programm -- von der massiven Sicherheitslücke, die das Administrationsprogramm in den Server reißt, ganz zu schweigen.

Die verbleibenden Programme haben durch die Bank Probleme mit eingebetteten Web-OLE-Objekten. Avast! 4 scheitert generell an eingebetteten Objekten und komprimierten Dateien, F-Prot zeigt die gleichen Schwächen weniger ausgeprägt. Allerdings kann Alwil bis zum Abschluss des Betatests noch nachbessern.

Letztlich trägt so GeCADs Reliable Antivirus trotz einer gewissen Pingeligkeit bezüglich der installierten Linux-Version die (etwas verbeulte) Krone des besten Virenwächters für Linux davon. Allerdings hat Microsoft im Juni die Antiviren-Technologie des rumänischen Unternehmens aufgekauft und bereits angekündigt, dass man nur noch bestehende Update-Verträge erfüllen, die Linux-Version von Reliable Antivirus jedoch nicht weiterpflegen wird. Zwar kann man das Programm noch auf www.ravantivirus.de bestellen, eine Zukunft hat es aber nicht.

Da kein Wächter einen wirklichen Rundumschutz versprechen kann, empfehlen sich zusätzliche regelmäßige Scans mit einem On-Demand-Scanner. Wenn man Wächter und Scanner so kombiniert, dass der eine die Schwächen des anderen ausgleicht, resultiert daraus ein besserer Schutz. Ordentliche Scanleistungen zeigten Dr. Web, F-Prot, F-Secure, Kaspersky, McAfee, Panda, RAV, Sophos und Symantec.

Allerdings glänzen Dr. Web und Kaspersky nicht gerade durch Übersichtlichkeit. Zudem ließ sich bei beiden die Wächterfunktion nicht in Betrieb nehmen, was nicht unbedingt Vertrauen einflößt. Bei Dr. Web wird der unzuverlässige Eindruck verstärkt durch gelegentliche Abstürze beim Scannen von Dokumenten mit eingebetteten OLE-Objekten.

F-Secure, Panda und Sophos ließen sich auf allen Systemen problemlos installieren. F-Secure erfreut durch die einfache und übersichtliche Bedienung, zudem kommt das Programm -- wie auch der bei der Installation allerdings etwas wählerische McAfee-Scanner -- recht gut mit den diversen Spezialitäten der Microsoft-Welt zurecht. Allerdings nimmt es sich für seine guten Scanleistungen auch reichlich Zeit. An Sophos gefällt die gute Integration in die Unix-Systemumgebung. Für Panda spricht, dass die Software Freeware ist. Wer als Lizenznehmer der Windows-Version Zugang zu den Signatur-Updates hat, mag dafür auch das Fehlen eines automatischen Online-Updates in Kauf nehmen. Symantec dürfte sich in vielen Fällen durch die strikte Beschränkung auf einige Red-Hat-Versionen disqualifizieren.

Aber selbst wenn man zwei unterschiedliche Produkte als Wächter und Scanner kooperieren lässt: Eine auf dem Server installierte Software, die den Dateibestand vor Schädlingen schützt, ist keinesfalls für den Schutz des ganzen Netzes ausreichend, egal welch raffinierter Mechanismen sie sich bedient. Das Risiko, dass über einen Client Schädlinge eingeschleppt werden, lässt sich damit nun einmal nicht vollständig in den Griff bekommen. Eine Server-Lösung sollte man lediglich als zusätzlichen Sensor für einen frühzeitigen Alarm betrachten und als Bremse, was die schnelle Ausbreitung von Schädlingen angeht - mehr nicht. Wer ein komplexes Netz wirklich schützen will, braucht auch auf den (Windows-)Clients geeignete Software.