Virenscanner für den Mac: sinnvoll oder überflüssig?

Als die Mac-Szene so richtig wahrnahm, dass es einen Trojaner namens „Flashback“ gibt, hatte der bereits 600.000 Rechner infiziert (siehe Analyse bei Mac & i online via Webcode). Es war der erste Angriff auf ein Apple-Betriebssystem in größerem Ausmaß. Zwar richtete er keinen Schaden an, demonstrierte aber, dass OS X keineswegs unantastbar ist. Nur haben sich Kriminelle bislang kaum dafür interessiert; der Marktanteil war zu klein. Sicherheitsexperten sind sich einig, dass es nach wie vor kaum Mac-Schädlinge gibt, die Bedrohung aber zunehmen wird – und dass Apple bislang zu wenig dagegen unternimmt (siehe Mac & i Heft 1).

Ein gefundenes Fressen für die Hersteller von Virenscannern, die schon länger versuchen, auch Mac-Nutzer zum Kauf ihrer Produkte zu überreden. Unter Windows ist es fahrlässig, kein Schutzprogramm ins­talliert zu haben.

Derzeit buhlen über ein Dutzend Virenscanner um die Gunst der Mac-Besitzer, von Branchengrößen wie Symantec oder Kaspersky und unbekannteren Herstellern wie Dr. Web oder Panda Security. Fast alle können jahrelange Erfahrungen bei der Bekämpfung von Windows-Viren vorweisen, allein Intego hat sich von Anfang an auf den Mac spezialisiert.

Bei der Auswahl der Testkandidaten war uns wichtig, dass sie neben einem manuell anzustoßenden Viren-Scan (On Demand) auch einen im Hintergrund wachenden Echtzeitschutz (On Access) beherrschen. Virenscanner, die im Mac App Store angeboten werden, können das aufgrund strikter Bestimmungen nicht leisten: Apple zwingt alle im Mac App Store gelisteten Produkte in eine Sandbox, was den Echtzeitschutz verhindert und auch automatische Signatur-Updates unterbindet.

Die plattformübergreifende Gratislösung ClamXav hinkt der Entwicklung immer etwas hinterher, was sich in vergleichsweise bescheidenen Erkennungsraten unter Windows und Linux niederschlägt. Sie kann daher auf dem Mac nicht besser abschneiden – ein Ausschlusskriterium. Die weit verbreitete, ebenfalls kostenlose AV-Software von Avast konnten wir nicht berücksichtigen, da sie zum Testzeitpunkt nicht funktionstüchtig war. Zwar ließ sich die Anwendung installieren, meldete dann aber einen Fehler und verweigerte Updates, ohne die ein Virenscanner keinen Sinn hat.

Sechs Vertreter blieben übrig: zwei kostenlose – Avira Mac Security und Sophos Anti-Virus – und vier kommerzielle, nämlich die Norton Internet Security Suite 5 von Symantec, Kaspersky Anti-Virus 2011, VirusBarrier X6 von Intego sowie Dr. Web Antivirus für Mac OS X – also von jenem Hersteller, der im April auf Flashback aufmerksam machte.

Äußerlichkeiten

Die meisten AV-Programme weichen von den bei Mac OS X üblichen Bedienungsstandards ab. So nutzen sie etwa die Menüleiste nur wenig oder gar nicht. Symantec bietet dort lediglich Verweise zu diversen Web-Diensten und den Quarantäne-Dialog an. Auch kann man nicht die Programm-Einstellungen über die Standard-Tastenkombination „Cmd+,“ aufrufen. Stattdessen schickt man darüber Fehlerberichte an Symantec.

Kaspersky Anti-Virus 2011 legt obendrein kein sichtbares Icon im Dock ab, was zunächst irritiert. Der Anwender kann nur an einem unscheinbaren Menulet erkennen, dass die Schutzfunktion aktiv ist. Das kleine Programmfenster mit allen Optionen und Berichten ist ausschließlich über dieses Mini-Icon erreichbar. Eine auffällige Grafik informiert den Anwender über den Sicherheits- und Update-Status. Die Programm-Einstellungen sind trotz der Funktionsfülle übersichtlich gegliedert.

Die in den Warnfarben schwarz und gelb gehaltene Sicherheits-Suite Norton Internet Security 5 von Symantec wirkt weniger geordnet. Auf drei Hauptfenster verteilen sich die Konfigurationsmöglichkeiten für Firewall, Viren- und Web-Schutz. Ruft man zusätzlich Quarantäne-, Verlaufs- und Verbindungsprotokolle auf, kann es ob der vielen Fenster schnell unübersichtlich werden. Über ein Modul in den Systemeinstellungen legt man fest, welche Funktionen das Kontextmenü des Menulets bereitstellen soll. Das Aktivieren aller Schutzfunktionen führte im Test reproduzierbar zu Systemabstürzen. Die Firewall nahm ihren Job so ernst, dass einige Minuten nach dem Aktivieren plötzlich alle ein- und ausgehenden Verbindungen unterbunden wurden. Erst nach einem Neustart konnten wir den Netzzugang durch Deaktivieren dieser Schutzfunktion wieder herstellen.

Avira Mac Security setzt Apples GUI-Richtlinien am besten um, bietet aber auch die wenigsten Einstellmöglichkeiten. Statusbericht, Zeitplaner, Berichte, Aktionen und Updateverwaltung werden in einem Fenster zusammengefasst, dessen Größe sich nicht verändern lässt. Daneben gibt es noch einen Dialog, der nur wenige Grundeinstellungen zu Update-Benachrichtigungen, Virenprüfung und Echtzeitschutz bereitstellt.

VirusBarrier X6 von Intego erschlägt den Anwender beinahe mit geballtem Funktionsreichtum. Die Security-Suite informiert in einem Fenster über laufende Scans, den Update-Status, eventuell in Quarantäne befindliche Schaddateien, den leicht zu konfigurierenden Firewall-Modus und andere sicherheitsrelevante Vorgänge. Konfigurationsmöglichkeiten zu den verschiedensten Sicherheitsaspekten sind über Reiter zugänglich. Speicherbare Profile erlauben schnelles Umschalten zwischen verschiedenen Einstellungen. Neben programmeigenen Funktionen bietet die Suite auch einen grafischen Zugang zu Konsolenwerkzeugen wie Whois oder Traceroute. Allerdings schafft es auch Intego nicht, alle Konfigurationsoptionen in einem Fenster zusammenzuhalten. Im Dialog-Dschungel verliert man nur allzu leicht den Überblick.

Sophos Anti-Virus ist neben Avira der schlichteste Kandidat der Testrunde: Es gibt wenig einzustellen, daher verliert man nie den Überblick. Sein Geld verdient der Hersteller mit Sicherheitslösungen für Unternehmen; die administrativen Funktionen zum Scannen mehrere Rechner sind daher der lizenzpflichtigen Version vorbehalten.

Obwohl wir sie abgeschaltet hatten, nervte Dr. Web Antivirus im Test wiederholt mit akustischen Warnungen im Retro-Sound. Die Programmeinstellungen sind aber übersichtlich, modern und grafisch gut an Mac OS X angepasst. Funktionen sind schnell zu finden und Suchergebnisse werden anschaulich dargestellt.

Erkennungsleistung

Bis heute sind etwa 2000 Mac-kompatible Schadprogramme bekannt, die sich zu großen Teilen wenigen Malware-Familien zuordnen lassen. Allerdings stellen längst nicht mehr alle Schädlinge, die irgendwann mal auf irgendeinem OS-X-System liefen, auch unter OS X Lion noch eine Bedrohung dar. Bei unseren Virentests spielten sie trotzdem eine Rolle, weil natürlich nicht alle Anwender mit dem aktuellen System arbeiten.

Unsere Tests haben wir in Kooperation mit der Magdeburger AV-Test GmbH, einem unabhängigen Sicherheitsdienstleister, durchgeführt. Die Experten stellten uns 443 Mac-Schädlinge zur Verfügung, die wir auf einen USB-Stick packten, welchen wir die Virenscanner mit deaktivierter Echtzeiterkennung scannen ließen. Erkannte Schädlinge sollten sie sofort löschen.

Die Sammlung setzte sich zusammen aus Mutationen von 19 aktuellen Viren-Stämmen und solchen Schädlingen, die sich keiner Malware-Familie zuordnen lassen. Sie enthielt auch einen Schädling aus dem Jahr 2003, den ein AV-Hersteller nicht als Bedrohung einstufte, alle anderen im Test aber doch. Jeder Schädling unseres Malware-Zoos wurde von mindestens einem Testkandidaten erkannt. Mit 169 Abkömmlingen stellte allein Flashback mehr als ein Drittel der Sammlung. Die Schädlingsauswahl haben wir auf Stand April 2012 eingefroren. Die Testkandidaten durften sich bis Mitte Mai aktualisieren. Der zeitliche Vorsprung, den wir den AV-Entwicklern gaben, ließ uns eine Erkennungsrate von annähernd 90 Prozent erwarten, wie sie inzwischen auf Windows-Systemen Standard ist.

Den vollständigen Artikel lesen Sie in Mac & i Heft 6, wahlweise auf dem iPad. Abonnenten können auch eine kostenlose PDF-Datei laden. (jra)