Virenschutz schlechter als vor einem Jahr
Immer mehr Schädlinge können sich an Antivirenprogrammen vorbeimogeln. Zu dieser ernüchternden Bilanz kommt c't in seinem Test von 17 Antiviren-Lösungen. Erstmals testete c't dabei auch die Verhaltensanalyse der Virenwächter.
Die Wirksamkeit von Antivirensoftware hat nachgelassen, und immer mehr Schädlinge können sich an den Schutzprogrammen vorbeimogeln. Zu dieser ernüchternden Bilanz kommt das Computermagazin c't in seinem Test von 17 Antivirenlösungen in der Ausgabe 1/08. Erstmals testete c't dabei auch die Verhaltensanalyse der Virenwächter, also das so genannte Behavioural Blocking.
In den Standardtests müssen die Virenscanner bekannte Schadsoftware erkennen. Bei den Tests in c't mit über einer Million Schädlingen aus dem letzten halben Jahr erzielten die Scanner mit Hilfe ihrer umfangreichen Signaturdatenbanken überwiegend gute Ergebnisse; allein fünf schnitten sehr gut ab.
Angesichts der Flut an neuen Schädlingen ist für den realen Schutz jedoch wichtiger, wie die Programme mit neuen, ihnen noch unbekannten Schädlingen zurechtkommen. Und da schnitten fast alle deutlich schlechter ab, als noch vor einem Jahr. So sanken die typischen Erkennungsraten der Heuristik von etwa 40 bis 50 Prozent im letzten Test Anfang 2007 auf klägliche 20 bis 30 Prozent. Nur ein Scanner lieferte mit 68 Prozent noch ein gutes Ergebnis.
Ein Grund, warum die Scanner bei diesen Heuristik-Tests fast durch die Bank schlechter abschnitten, als noch vor einem Jahr, ist sicher die Professionalisierung der Malware-Szene, die mehr Zeit und Energie investiert, ihren Unrat an Schutzsoftware vorbeizumogeln. Besorgniserregend ist jedoch, dass auch die Erkenungsraten bei den von c't erstellten Virenvariationen deutlich absanken. Dabei übersahen nahezu alle Scanner Schädlingsvarianten, die sie noch vor einem Jahr erkannten.
Schließlich testete c't auch erstmals systematisch den Schutz auf Basis von Verhaltensanalyse – das Behavioural Blocking. Dazu starteten die Tester 12 handverlesene Schädlinge auf Systemen mit installierter Antivirensoftware und analysierten diese anschließend auf eventuelle Rückstände. Die vergleichsweise geringe Zahl erklärt sich aus dem enormen Aufwand für die nicht automatisierbaren Tests. Insbesondere musste auch für jedes Exemplar eine angepasste, virtuelle Umgebung erstellt werden, in der er beispielsweise weitere Komponenten nachladen konnte.
In diesen Behaviour-Blocking-Tests konnte nur ein Produkt überzeugen und alle Schädlinge abwehren. Ein paar wenige zeigten vielversprechende Ansätze, andere überwachten zumindest statisch bestimmte Systemressourcen. Doch über die Hälfte der Virenwächter war in dieser Disziplin noch völlig überfordert und hatte der Infektion des Systems nichts entgegenzusetzen.
Weitere besorgniserregende Testergebnisse sind die im Vergleich zum Vorjahr gestiegenen Latenzzeiten, die die Virenwächter verursachten und die deutlich höheren Fehlalarmquoten. Mit der steigenden Gefahr durch Sicherheitslücken in Antiviren-Software befasst sich der heise-Security-Artikel Antiviren-Software als Einfallstor. (ju)