Wenn Ransomware oder Infostealer zuschlagen, stehen für Betroffene oft weitreichende Folgen im Raum: Private Nutzer verlieren unwiederbringliche Erinnerungen, Unternehmen geraten schnell in existenzielle Krisen. Ob aktuelle Schutzprogramme dem standhalten, hat der "Advanced Threat Protection"-Test (ATP-Test) untersucht. In zehn realitätsnahen Angriffsszenarien mussten sich insgesamt 16 Sicherheitsprodukte behaupten – acht für Privatanwender, acht für den geschäftlichen Einsatz.

Der Test orientiert sich nicht nur an der Erstreaktion. Vielmehr wird das gesamte Angriffsgeschehen nachgestellt – von der Infektion über Phishing bis zur Datenverschlüsselung oder -exfiltration. Die Tester beobachten, wie die Programme auf mehreren Ebenen reagieren. Dokumentiert wird jeder Schritt anhand des anerkannten MITRE ATT&CK-Standards, der detailliert beschreibt, wie Angreifer typischerweise vorgehen.

MSBuild als Angriffswerkzeug

Im Mittelpunkt stand dieses Mal ein besonders raffinierter Angriff: Über das Windows-Tool "MSBuild" gelangte schädlicher Code in den Speicher, ohne dass klassische Signaturprüfungen Alarm schlugen. Das Vorgehen erlaubt es, Malware als sogenannte „dateilose“ Bedrohung einzuschleusen – schwer zu erkennen, aber realistisch. Die Programme mussten zeigen, ob sie auch in tieferen Verteidigungsschichten noch eingreifen können.

Die Ergebnisse bei den Programmen für Privatanwender zeigen ein gemischtes Bild. Kaspersky, McAfee und Microsoft überzeugten mit durchgehender Erkennung und Abwehr in allen zehn Szenarien – und erreichten die volle Punktzahl von 35. Andere Programme wie Norton, F-Secure oder Avira ließen einzelne Angriffe zu, insbesondere dieselben Varianten eines Infostealers und einer Ransomware. Dennoch schnitten alle getesteten Produkte mindestens solide ab und erfüllten die Voraussetzungen für das Siegel "Advanced Certified".

Unternehmensprodukte besser aufgestellt

Im professionellen Bereich fiel das Ergebnis insgesamt besser aus. Fünf der acht getesteten Produkte – von Acronis, Microsoft, Microworld sowie zwei Varianten von Kaspersky – stoppten jeden einzelnen Angriff. Andere wie Trellix oder das Business-Produkt von Avast taten sich mit einzelnen Szenarien schwer. Auch wenn die Angriffe teilweise erkannt wurden, kam es vereinzelt zu Datenverlust oder zur Verschlüsselung ganzer Systeme. Trotzdem erfüllten alle Programme die Kriterien für das Prüfsiegel "Advanced Approved Endpoint Protection", mit Ausnahme von Acronis – da es nicht alle Anforderungen aus dem regulären Monatstest erfüllt hatte.