Magere Performance

Führende Internet-Security-Suites bestehen Exploit-Tests nicht

14.10.2008
Von Katharina Friedmann 
Namhafte Security-Lösungen - darunter die aktuellen Produkte von McAfee, Trend Micro und Symantec - schützen PCs nur unzureichend gegen Attacken. Zu diesem Schluss kommt eine Untersuchung des dänischen Sicherheitsanbieters Secunia.

"Internet-Security-Suites werden als die eine Lösung angepriesen, die ein Nutzer braucht, um sicher zu sein", kritisiert Thomas Kristensen, Chief Technology Officer (CTO) bei Secunia. Ein Anspruch, den diese Produktkategorie aus Sicht von Secunia nicht erfüllt. Um herauszufinden, wie zuverlässig aktuelle Internet-Security-Suites erkennen, wenn eine Softwareschwachstelle ausgenutzt wird, lancierte das auf Vulnerability-Scans spezialisierte Unternehmen 300 Testattacken auf Systeme, die durch diese Security-Suites geschützt sein sollten. Zu den zwölf Probanden zählten Symantecs "Norton Internet Security 2009", Microsofts "Windows Live OneCare", AVG Technologies' "Internet Security 8.0", Trend Micros "Internet Security 2008" sowie McAfees "Internet Security Suite 2009".

Als Munition für die Tests nutzte Secunia selbst entwickelte Exploits, sprich: (in diesem Fall zu Demonstrationszwecken kreierte) Software, die bestimmte Schwächen oder Fehlfunktionen einer Applikation für Attacken ausnutzt. Angriffsziel war ein Windows-XP-SP2-System mit einer Reihe verwundbarer Programme, dem zudem bestimmte Patches fehlten.

Den Ergebnissen zufolge schnitt die Symantec-Suite am besten, keinesfalls aber überzeugend ab: Auch Norton erkannte nur 21,3 Prozent beziehungsweise 64 der 300 Exploits. Immerhin schlug Symantecs Schutzlösung die Produkte der Konkurrenz in dieser Disziplin um Längen: BitDefenders "Internet Security Suite 2009" und die Trend-Micro-Suite (beide auf dem zweiten Platz) brachten es auf eine Erkennungsrate von lediglich 2,3 Prozent, während die McAfee-Lösung magere zwei und Microsofts OneCare sogar nur 1,67 Prozent der Secunia-Exploits identifizierten.

Die Test-"Sieger" nach Erkennungsrate

  • Symantec Norton Internet Security 2009: 21,3 Prozent

  • BitDefender Internet Security Suite 2009: 2,3 Prozent

  • Trend Micro Internet Security 2008: 2,3 Prozent

  • McAfee Internet Security Suite 2009: 2,0 Prozent

  • Microsoft Windows Live OneCare: 1,67 Prozent

Verantwortlich für die bescheidene Performance der Suites ist laut Testleiter Kristensen ihre Architektur. Heutige Security-Software sei primär darauf ausgelegt, Schadcode zu erkennen, der auf einem Rechner landet, nachdem eine Schwachstelle bereits ausgenutzt wurde. Da sich ein Exploit als solcher nicht verändere und zum Hacken eines Systems stets auf dieselbe Weise gehandhabt werden müsse, seien jedoch Ansätze, die sich neben der Abwehr unzähliger bösartiger Payloads wie Würmer, Trojaner oder Spyware auch auf die Erkennung von Exploits konzentrierten, eindeutig von Vorteil, argumentiert der Secunia-CTO. In diese Richtung bewegt sich offenbar Symantec, das dem Experten zufolge bereits Signaturen für Microsoft-spezifische Exploits entwickelt hat.