Die Advanced-Threat-Protection-Tests sind zwar spezifisch, aber sie testen laut AV-TEST die Schutzsoftware mit den neuesten Angriffstechniken der APT-Gruppen. Zum Beispiel ".Net Reflective Assembly loading", eine Technik, die in grundlegender Form in den Angriffen von Cobalt Strike, Cuba oder Lazarus verwendet wird.

Aber auch die Techniken ".Net Dynamic P/Invoke" und "AMSI-Bypass" kommen gerne für aktuelle Angriffe mit Ransomware zum Einsatz. Nach einem erfolgreichen Angriff sind die Systeme verschlüsselt und die Erpressung durch die APT-Gruppen nimmt ihren Lauf. Es sei denn: Schutzprodukte für Privatanwender und Unternehmen erkennen die Angriffstechniken, stoppen den Angriff und liquidieren die Ransomware.

Jedes im APT-Test untersuchte Produkt erhielt bei guter Leistung ein spezielles Schutzzertifikat. Dazu musste eine Lösung am Ende des Tests einen Schutz-Score von mindestens 75 Prozent der maximal möglichen 30 Punkte erreichen – also 22,5 Punkte. Privatanwender-Produkte erhielten dann das Zertifikat "Advanced Certified", Unternehmensprodukte das Zertifikat "Advanced Approved Endpoint Protection".

Licht...

Die Produkte von AhnLab, Bitdefender (zwei Versionen), Check Point, G DATA, Kaspersky (zwei Versionen), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure und Xcitium stellen sich dem erweiterten Test für Endpoint-Sicherheitslösungen für Unternehmen. Jedes Produkt musste in zehn Szenarien die Angriffstechnik erkennen und die Ransomware abwehren.

Für jede vollständige Abwehr vergab das Labor drei Punkte. Mit einer fehlerfreien Erkennung aller Angriffe und der Abwehr der Ransomware glänzten die Produkte von Bitdefender (Endpoint und Ultra), Check Point, G DATA, Kaspersky (Endpoint und Small Office Security) sowie Xcitium. Für ihre Leistung erhielten diese Produkte 30 Punkte im Schutz-Score.

Symantec und Microsoft erkannten ebenfalls alle zehn Angriffsszenarien, hatten aber in einem Fall ein Problem: Sie erkannten sowohl den Angriff als auch die Ransomware. Beide leiteten sogar weitere Schritte gegen den Angriff ein. Doch am Ende wurden bei Symantec einzelne Dateien und bei Microsoft sogar das ganze System verschlüsselt. Daher erhielt Symantec 29 Punkte und Microsoft 28,5 Punkte für den Schutz-Score. Zumindest in der Consumer-Variante gab sich der bordeigene Windows-Schutz keine Blöße.

und Schatten

AhnLab, Sangfor und WithSecure hatten derweil alle das gleiche Problem: Sie erkannten weder die Angriffstechnik noch die Ransomware. Schließlich wurde das System verschlüsselt und alle Produkte verloren die vollen drei Punkte für einen Fall: jeweils 27 Punkte für den Schutz-Score.

Am schlechtesten jedoch schnitten die Lösungen von Trellix und VMware ab. Trellix erkannte neun von zehn Angriffsszenarien. In einem Fall konnte die Ransomware sofort ihre volle Wirkung entfalten. In zwei weiteren Fällen wurden Angriff und Ransomware zwar erkannt, eine Teilverschlüsselung der Daten konnte aber nicht verhindert werden. Insgesamt 24 Punkte als Schutzwert.

VMware zeigte sich noch schwächer. In zwei Fällen wurde der Angriff nicht erkannt. In einem dritten Fall gelang es zwar, den Angriff zu erkennen und die Ransomware zu stoppen, aber am Ende befand sich ein gefährliches VB-Skript im Autostart des Systems. Zumindest wurde nichts verschlüsselt. Am Ende blieben nur 22,5 Punkte für den Schutz-Score und damit eine Punktlandung für den Erhalt des Advanced-Schutz-Zertifikats.