Hersteller haben Selbstschutz von Sicherheitssoftware deutlich verbessert

SicherheitSicherheitsmanagement
AV-Test (Grafik: AV-Test)

Das zeigt ein aktueller Bericht von AV-Test. Beim ersten Test des Instituts vor einem Jahr offenbarten sich noch erhebliche Lücken. Bei ihren Consumer-Produkten setzten nun Avira, Bullguard, ESET, Kaspersky, McAfee und Symantec die Schutztechniken DEP und ASLR am umfassendsten ein, Signieren von Dateien können ESET, McAfee und Symantec am besten.

AV-Test hat in einer neuerlichen Testrunde den Selbstschutz von Antiviren-Software überprüft. Damit wollte das Magdeburger Labor der Frage nachgehen, ob die Hersteller ihr im vergangen Jahr gegebenes Versprechen, in dem Bereich nachzubessern, auch tatsächlich erfüllt haben. Anlass der Beteuerungen war ein damals veröffentlichter Test, dessen Ergebnissen zufolge insbesondere die Schutzmechanismen ASLR und DEP nicht in dem Umfang eingesetzt wurden, wie man das erwarten dürfte.

Im aktuellen Test, mit insgesamt 31 getesteten Produkten, zeigte sich, dass zumindest wichtige Hersteller deutlich nachgebessert haben. Avira, Bullguard, ESET, Kaspersky, McAfee und Symantec setzen die Schutztechniken DEP und ASLR laut AV-Test nun zu 100 Prozent ein. Bei den getesteten Produkten von G Data und F-Secure waren es 99,5 respektive 99,4 Prozent.

Selbstschutz von Sicherheitssoftware bei Antiviren-Software für Consumer, Stand 2015 (Grafik: AV-Test)

ASLR (Address Space Layout Randomization) erschwert das Ausnutzen von Sicherheitslücken, indem Programmen Adressbereiche im Arbeitsspeicher nach dem Zufallsprinzip zugewiesen werden. Dies soll Angriffe per Pufferüberlauf ausbremsen. DEP (Data Execution Prevention) soll verhindern, dass beliebige Dateien als Programm ausgeführt werden und auf diese Weise Schadcode starten. AMD und Intel haben diese Technik bereits seit zehn Jahren in allen ihren Prozessoren integriert. Da es sich um aktivierbare Compiler-Funktionen handelt, lassen sich ASLR und DEP ohne Auswirkungen auf den Codeumfang und die Programmlaufzeit in den Quelltext implementieren.

Von den für Unternehmen gedachten Produkten im Testfeld setzen drei DEP und ASLR zu 100 Prozent ein: Kaspersky Lab in der Small-Office-Version und der Endpoint-Version, sowie Symantec. Weitere sechs Produkte liegen zwischen 95,7 und 90,5 Prozent. Dazu muss man wissen, dass einige Anbieter erklären, nie 100 Prozent erreichen zu können, da sie eigene Schutztechniken verwenden, die teilweise nicht zu DEP und ASLR kompatibel sind.

Selbstschutz von Sicherheitssoftware bei Endpoint-Security-Produkten, Stand 2015 (Grafik: AV-Test)

Im aktuellen Test hat AV-Test zudem untersucht, ob die Security-Anbieter ihre Dateien signieren und dazu ein gültiges Zertifikat verwenden. Unsignierte Dateien in Sicherheitsprodukten sind AV-Test zufolge zwar keine akute, aber immerhin eine potenzielle Sicherheitslücke. In der neu eingeführten Testkategorie fallen die Ergebnisse aber deutlich schlechter aus, als in der Wiederholung des Vorjahrestests.

Offensichtlich wurden hier einige Hersteller auf dem falschen Fuß erwischt: Die Hälfte der Unternehmen angebotenen Produkte bringen unsignierte Dateien mit. Immerhin sind bei den signierten Dateien alle Zertifikate gültig. Von den Consumer-Produkten arbeiten 60 Prozent mit unsignierten Dateien. Bei Avast, Check Point und ThreatTrack fanden die Forscher zudem Dateien mit ungültigen Zertifikaten.

Die Testergebnisse reißen daher laut AV-Test “bei einigen Herstellern neue Baustellen auf.” Sie müssten dringend nachbessern. Denn von ihnen als Sicherheitsanbieter könne man erwarten, dass sie mit gutem Beispiel vorangehen. Die gute Nachricht: Die Nachbesserungen sollten eigentlich eine Standardaufgabe und damit leicht umsetzbar sein.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen