"Internet-Security-Suites werden als die eine Lösung angepriesen, die ein Nutzer braucht, um sicher zu sein", kritisiert Thomas Kristensen, Chief Technology Officer (CTO) bei Secunia. Ein Anspruch, den diese Produktkategorie aus Sicht von Secunia nicht erfüllt. Um herauszufinden, wie zuverlässig aktuelle Internet-Security-Suites erkennen, wenn eine Softwareschwachstelle ausgenutzt wird, lancierte das auf Vulnerability-Scans spezialisierte Unternehmen 300 Testattacken auf Systeme, die durch diese Security-Suites geschützt sein sollten. Zu den zwölf Probanden zählten Symantecs "Norton Internet Security 2009", Microsofts "Windows Live OneCare", AVG Technologies' "Internet Security 8.0", Trend Micros "Internet Security 2008" sowie McAfees "Internet Security Suite 2009".
Als Munition für die Tests nutzte Secunia selbst entwickelte Exploits, sprich: (in diesem Fall zu Demonstrationszwecken kreierte) Software, die bestimmte Schwächen oder Fehlfunktionen einer Applikation für Attacken ausnutzt. Angriffsziel war ein Windows-XP-SP2-System mit einer Reihe verwundbarer Programme, dem zudem bestimmte Patches fehlten.
Symantec Norton Internet Security 2009: 21,3 Prozent
BitDefender Internet Security Suite 2009: 2,3 Prozent
Trend Micro Internet Security 2008: 2,3 Prozent
McAfee Internet Security Suite 2009: 2,0 Prozent
Microsoft Windows Live OneCare: 1,67 Prozent
Den Ergebnissen zufolge schnitt die Symantec-Suite am besten, keinesfalls aber überzeugend ab: Auch Norton erkannte nur 21,3 Prozent beziehungsweise 64 der 300 Exploits. Immerhin schlug Symantecs Schutzlösung die Produkte der Konkurrenz in dieser Disziplin um Längen: BitDefenders "Internet Security Suite 2009" und die Trend-Micro-Suite (beide auf dem zweiten Platz) brachten es auf eine Erkennungsrate von lediglich 2,3 Prozent, während die McAfee-Lösung magere zwei und Microsofts OneCare sogar nur 1,67 Prozent der Secunia-Exploits identifizierten.
Verantwortlich für die bescheidene Performance der Suites ist laut Testleiter Kristensen ihre Architektur. Heutige Security-Software sei primär darauf ausgelegt, Schadcode zu erkennen, der auf einem Rechner landet, nachdem eine Schwachstelle bereits ausgenutzt wurde. Da sich ein Exploit als solcher nicht verändere und zum Hacken eines Systems stets auf dieselbe Weise gehandhabt werden müsse, seien jedoch Ansätze, die sich neben der Abwehr unzähliger bösartiger Payloads wie Würmer, Trojaner oder Spyware auch auf die Erkennung von Exploits konzentrierten, eindeutig von Vorteil, argumentiert der Secunia-CTO. In diese Richtung bewegt sich offenbar Symantec, das dem Experten zufolge bereits Signaturen für Microsoft-spezifische Exploits entwickelt hat.
