Einem Virenscanner kommt auf dem Rechner eine besondere Bedeutung zu. So soll er das Gerät vor einer Infektion durch Malware schützen und muss hierfür ständig mit potenziell gefährlichen Dateien umgehen. Dabei muss sich der Malwarescanner notwendigerweise tief im System verankern, um dieses erfolgreich schützen zu können. Daher sollte die Software über einen guten Selbstschutz verfügen, um nicht selbst zum Ziel von Angreifern zu werden. Doch dies scheinen nicht alle Antiviren-Hersteller zu beherzigen, wie eine aktuelle Studie von AV-TEST [1] zeigt.

Bereits 2014 hat AV-TEST verschiedene Security-Programme daraufhin geprüft, ob sie grundlegende Schutztechniken wie DEP und ASLR einsetzt. Nun folgte der Nachtest mit 31 Lösungen und noch ausgefeilteren Checks. Alle Hersteller hatten inzwischen Zeit zum Nachbessern und ihren Ankündigungen nachzukommen. Im Labor von AV-TEST wurden daher 21 Lösungen für private Nutzer und zehn Lösungen für Unternehmen getestet. Dabei wurde geprüft, ob die User-Mode-PE-Dateien (Portable Executable) für 32- und 64-Bit DEP und ASLR einsetzen. Zusätzlich haben die Tester gecheckt, ob die Dateien auch mit einem gültigen Zertifikat signiert sind.

Während bei den Lösungen für private Nutzer im letzten Jahr nur ein Produkt einen 100-prozentigen Schutz mit DEP und ASLR besaß, waren es im aktuellen Test gleich sechs Produkte von Avira, Bullguard, ESET, Kaspersky McAfee und Symantec. Weitere zwei Pakete haben in der Auswertung immerhin 99,4 und 99,5 Prozent erreicht: F-Secure und G Data. Danach fallen die Werte wie im Vorjahr Stück für Stück weiter ab bis zu einem Tiefstwert von nur noch 25,9 Prozent.

Unternehmenslösungen besser geschützt
Bei den Lösungen für Unternehmen wurde offenbar besser gearbeitet. Drei von zehn Lösungen setzen DEP und ASLR zu 100 Prozent ein: Kaspersky Lab mit der Small Office-Version und der Endpoint-Version, sowie Symantec. Weitere sechs Lösungen liegen immerhin zwischen 95,7 und 90,5 Prozent. Lediglich das neu im Testfeld erschienene Produkt von Seqrite ist nur zu 29,8 Prozent geschützt. Unter dem Strich haben sich die Unternehmenslösungen am meisten verbessert. So hat etwa Kaspersky Lab seine Versionen auf 100 Prozent aufgestockt oder Trend Micro den Schockwert von 18,7 Prozent aus dem letzten Test nun auf 95,5 Prozent verbessert.

Einige Anbieter haben bereits nach dem letzten Test mitgeteilt, dass sie nie 100 Prozent erreichen werden. Denn sie würden bereits eigene Schutztechniken einsetzen, die allerdings nicht mit DEP und ASLR kompatibel sind. Welche Techniken das sind, möchten die Hersteller aber nicht veröffentlichen.

Nicht oder falsch zertifiziert
Gültige Zertifikate sind ein wesentliches Indiz dafür, dass eine Software legitim ist. Auch Virenscanner schauen in der Regel nach Zertifikaten und lassen diese in ihre Bewertung untersuchter Dateien einfließen. Doch nehmen es die Antiviren-Hersteller selbst nicht immer allzu genau, wenn es um die Zertifikate ihrer eigenen Produkte geht. Neben unzertifizierten Programmbestandteilen tauchten bei AV-TEST sogar einige ungültige Zertifikate auf.

Bei den Lösungen für Unternehmen haben 50 Prozent der Produkte unsignierte Dateien im Gepäck. Teilweise sind es nur einzelne Dateien, bei manchen Herstellern sind 20 bis 30 Prozent der User-Mode-PE-Dateien nicht signiert. Zumindest sind bei den signierten Dateien alle Zertifikate gültig. Auch das wurde geprüft. Bei den Consumer-Produkten sieht das Ergebnis um einiges schlimmer aus. Hier nutzen sogar 60 Prozent der geprüften Schutzpakete unsignierte PE-Dateien. Bei der Hälfte liegt die Anzahl der unsignierten Dateien unter zehn. Bei dem meisten sind es 20 bis 60 Dateien und bei ThreatTrack sogar 411 von 602 PE-Dateien. Das Schlimmste: bei Avast, Check Point und ThreatTrack gab es auch noch Dateien mit ungültigen Zertifikaten.

Verfehlte Vorbildfunktion
Die Hersteller von Sicherheits-Software sollten eigentlich Vorbilder sein und alle Techniken nutzen, die ihre eigene Sicherheit auf das machbare Maximum heben. Betrachtet man die aktuellen Tabellen im Vergleich mit dem Test von 2014, dann verweilen einige Hersteller weiterhin in ihrem Dornröschenschlaf. Viele haben nach der letzten Kritik an ihren Produkten gearbeitet – aber einige haben auch gar nichts getan.

Bei den Consumer-Produkten setzen Avira, Bullguard, ESET, Kaspersky Lab, McAfee und Symantec die Technik DEP & ASLR zu 100 Prozent ein. In Sachen signierte Dateien haben ESET, McAfee und Symantec ebenfalls sauber gearbeitet. Avira, Bullguard und Kaspersky müssen hier, wenn auch nur wenige Dateien, noch signieren.

In den Schutzlösungen für Unternehmen wurde bei beiden geprüften Versionen von Kaspersky Lab und Symantec die DEP- & ASLR-Technik zu 100 Prozent implementiert. Bei der Prüfung auf unsignierte Dateien kann sich aber nur Symantec zurücklehnen. Bei den Produkten von Kaspersky Lab hat das Labor noch einige unsignierte Dateien gefunden.

Die weitere Untersuchung auf signierte und gültig zertifizierte PE-Dateien riss bei einigen Herstellern neue Baustellen auf. Sie müssen dringend nachbessern, was aber eigentlich eine Standardaufgabe sein sollte. Die detaillierten Ergebnisse wurden, wie bereits im Vorjahr, wieder an die Hersteller übermittelt. Ob diese wichtigen Hinweise in Sachen Selbstschutz bei Sicherheits-Software angenommen werden, will das Labor auch in Zukunft nachprüfen.

Den bordeigenen Virenschutz Windows Defender, der seit Windows 8 im System integriert ist, haben die Tester übrigens außen vor gelassen. Zumindest dessen Hauptprozesse MsMpEng.exe (Scan-Engine) und NisSrv.exe (Netzwerkschutz) machen, so zeigt eine Überprüfung mit Hilfe des "Process Explorer", ebenfalls von ASLR und DEP Gebrauch. Der Einsatz von DEP für alle Anwendungen auf einem Rechner lässt sich übrigens über die Systemeigenschaften erzwingen (Reiter "Erweitert", dann "Leistung" und anschließend Reiter "Datenausführungsverhinderung"). Dies erhöht die Sicherheit, kann jedoch bei einzelnen Programmen unter Umständen zu Fehlern führen.


dr

[1] https://www.av-test.org/de/news/news-single-view/check-2015-selbstschutz-in-antiviren-software/