Antivirensoftware test 2015

Test der Antivirensoftware 2015

Überprüfung 2015: Eigenschutz in Antivirensoftware Es wurde überprüft, ob die PE-Dateien im Benutzermodus (Portable Executable) 32- und 64-Bit-DEP und ASLR verwenden. Darüber hinaus wurde in der Testphase 2015 überprüft, ob die Akten auch mit einem validen Zeugnis mitgeschrieben wurden. War im vergangenen Jahr noch nur ein einziges Exemplar der Privatanwenderlösungen mit DEP und ASLR zu 100% geschützt, so gibt es im vorliegenden Test 6 Exemplare von Avira, Bullguard, ESET, Kaspersky McAfee und Symantec.

Zwei weitere Packages erreichten 99,4 und 99,5 Prozentpunkte in der Bewertung: F-Secure und G Data. Wie schon im vergangenen Jahr fielen die Zahlen dann stückweise auf ein Tief von nur 25,9 vH. Drei von zehn Unternehmen nutzen DEP und ASLR zu 100 Prozent: Kazpersky Lab mit der Version für kleine Unternehmen und der Endgeräteversion sowie Symantec.

Die anderen 6 Lösungsansätze bewegen sich zwischen 95,7 und 90,5 vH. Nur das neue Registrierungsprodukt der Firma SEQURITE, das im Testbereich auftauchte, ist nur zu 29,8 Prozentpunkten abgesichert. Unterm Strich haben sich die Geschäftslösungen am meisten erholt. Beispielsweise hat das Unternehmen seine Version auf 100 prozentig erhöht oder der Schock-Wert von 18,7 prozentig gegenüber dem vorherigen Test auf 95,5 prozentig gesteigert.

Ein weiterer Hinweis: Einige Provider haben bereits nach dem letzen Test erklärt, dass sie nie 100 prozentig ausreichen werden. Sie würden bereits eigene Schutztechnologien verwenden, die nicht mit DEP und ASLR auskommen. Zusatzprüfung 2015: Sind alle Daten unterschrieben? Die für 32- und 64-Bit wichtige User Mode PE-Dateien (Portable Executable) wurden im vergangenen Jahr nur für den Gebrauch von DEP und ASLR aufbereitet.

Dabei wurden alle PE-Files auch daraufhin überprüft, ob sie vom Lieferanten unterschrieben wurden und ob sie auch ein valides Zeugnis verwendeten. Darüber hinaus wird von den Anbietern von Sicherheitssoftware erwartet, dass alle anderen Softwareanbieter Unterschriften und Zertifizierungen für ihre Daten verwenden. Nicht signierte Daten sind in Security-Produkten nicht akut, aber sie stellen eine potenzielle Schwachstelle dar.

Für den Eigenschutz muss eine Anwendung in der Lage sein, die Echtheit und Unversehrtheit ihrer eigenen Daten zu überprüfen. Allein diese Angaben reichen für die Datensicherung der Daten nicht aus. Für Unternehmenslösungen tragen 50 Prozentpunkte der Artikel nicht signierte Datein. In einigen Fällen sind dies nur Einzeldateien, bei einigen Anbietern sind 20 bis 30 Prozentpunkte der User-Mode PE-Dateien nicht unterschrieben.

Mindestens alle Zertifizierungen sind für die unterschriebenen Daten wirksam. Dabei verwenden selbst 60 Prozentpunkte der getesteten Sicherheitspakete nicht signierte Schutzdateien. In der einen Hälfe gibt es weniger als zehn nicht signierte Dokumente. Die meisten haben 20 bis 60 Dokumente und in der anderen Hälften hat DroitTrack 411 von 602 Dokuments. Schlimmer noch: Bei Awast, Check Point und ThrreatTrack gab es auch Files mit falschen Zuordnungen.

Wenn man sich die derzeitigen Tafeln im Hinblick auf den Test 2014 ansieht, schlafen einige Produzenten noch. Für Konsumgüter verwenden Avira, Bullguard, ESET, Kaspersky Lab, McAfee und Symantec die DEP & ASLR-Technologie zu 100-prozentig. Was die signierten Daten betrifft, so haben ESET, McAfee und Symantec auch einwandfrei funktioniert.

Hier müssen Avira, Bullguard und Caspersky noch unterschreiben, wenn auch nur wenige Auszüge. Bei den Enterprise Protection-Lösungen wurde die DEP & ASLR-Technologie zu 100-prozentig in den beiden getesteten Varianten von Caspersky Lab und Saimantec eingesetzt. Beim Überprüfen auf nicht signierte Daten kann sich jedoch nur die Firma SiMantec zurÃ? Es wurden einige nicht signierte Daten für Kaspersky-Lab-Produkte ermittelt.

Mit der weiteren Prüfung auf unterschriebene und validierte PE-Files eröffnen sich für einige Hersteller neue Bauplätze. Sie als Nicht-Experte müssen zunächst wissen, was eine PE-Datei ist und was ASLR, DEP und Unterschriften sind. Auch alle anderen Dateitypen, einschließlich der sogenannten originalen Schutzrechtsdateien, waren für den Test nicht relevant. Bei 5 bis 45 Prozentpunkten der zu installierenden Daten einer Sicherheitslösung handelt es sich um PE-Daten.

PE-Dateien beinhalten z.B: Das Folgende verbirgt sich hinter den Kürzeln DEP und ASLR: Die ASLR- oder Address Space Layout Randomisierung steht für einen Speicherwürfel, der es schwierig macht, Sicherheitsschwachstellen in Rechnersystemen auszunutzen. ASLR ordnet den Programmbereichen nach dem Zufallsprinzip Adreßbereiche zu. Bereits seit mehr als 10 Jahren setzen die Prozessorhersteller AMD und Intel diese Technologie unter den Markennamen EVP und XD-Bit in allen ihren Verarbeitern ein.

Verwendet ein Programmer die Technologie von DEP und ASLR als Support, verringert sich das Restrisiko, dass eine mögliche Verwundbarkeit wirklich ausgenutzt wird. Wird in einer Anwendung DEP und ASLR nicht verwendet, kann man nicht allgemein von einer Unsicherheit sprechen. Die DEP und ASLR sind somit ein zusätzlicher Schutz für alle Anwendungsfälle, auf die ein Programmer oder der Produzent nicht mehr verzichten sollte.

Die Technologie hat keinen nachteiligen Einfluß auf das Codevolumen oder die Laufzeit des Programms. Zweifellos verfügt jeder Produzent über ständig aktuelle Zertifizierungen, die er von einer amtlichen Prüfstelle erhält.