Testviren für den Scanner
Zur Prüfung des Virenscanners und seiner Logik griffen wir auf verschiedene Testviren und Malware von www.testvirus.de zurück. Sämtliche im Test verwendeten Schadroutinen wurden von dem integrierten Scanner korrekt erkannt und entfernt. Die Qualität der Virenerkennung lässt sich damit allerdings nicht messen, da alte und bekannte Viren in der Regel von allen Scannern erkannt und eliminiert werden. Die Wirkkraft eines Virenscanners lässt sich eher an der Reaktionsgeschwindigkeit des Herstellers beim Auftreten neuer Viren ablesen. Informationen hierzu bieten verschiedene einschlägige Web-Seiten - etwa vom SANS Institute (www.sans.org), vom European Institute for Computer Anti-Virus Research (Eicar/www.Eicar.org) oder von Virus Bulletin (www.virusbtn.com).
Um auch Zero-Day-Attacken und aktuelle Bedrohungen abzuwehren, haben sich IPS etabliert. Symantecs Endpoint Protection hat hierzu diverse Sicherheitsvorkehrungen integriert. Die als HIPS bezeichnete Funktionssammlung umfasst Applikations- und Gerätekontrolle und überwacht beziehungsweise unterbindet die Nutzung bestimmter Dateitypen.
Mobile Geräte wie Notebooks sind auf den Einsatz in wechselnden Umgebungen und an verschiedenen Standorten ausgelegt. Ins Firmennetz integriert, sollen sie sich hinsichtlich der Sicherheitskonzepte anders verhalten als im Stand-alone-Betrieb. Im Netz wird man sie den Sicherheitseinrichtungen und -regularien des Betriebsstandorts unterwerfen, während sie sich als eigenständige Geräte mit Internet-Anschluss selbständig um alle Security-Belange kümmern müssen. Symantec Endpoint Protection trägt den wechselnden Einsatzszenarien Rechnung und erlaubt für ein Gerät die Definition unterschiedlicher Standorte.
Was als Kriterium dafür verwendet wird, lässt sich flexibel bestimmen - im Test war es ein anderes IP-Segment. Für die beiden Standorte erzeugten wir für unsere Testrechner zwei Profile, die sich im Hinblick auf die Nutzung von Applikationen, Dateierweiterungen und den Gerätezugang unterschieden. Je nach zugewiesener IP-Adresse, die als Indiz für LAN-Betrieb oder Internet-Nutzung gewertet wurde, verhielten sich die Geräte erwartungsgemäß. Auch erlaubten wir den Devices, sofern sie als extern galten, die Signaturdateien direkt über LiveUpdate zu beziehen. Im LAN wiederum wurden diese von einem zentralen Server bereitgestellt. Auch dieses Verhalten war korrekt und schlüssig.