AV-Test: Sicherheitssoftware mangelt es an Selbstschutz

Sicherheitssoftware ist nur ungenügend gegen Angriffe geschützt. Zu diesem Ergebnis kommt das Magdeburger Sicherheitsinstitut AV-Test. Es hat im vergangenen Monat 32 Antiviren-Lösungen auf den Einsatz zusätzlicher Selbstschutzmechanismen geprüft.

Die Schutzmechanismen ASLR und DEP werden in der Kategorie Consumer-Antiviren-Software nur in Eset Smart Security 8 zu 100 Prozent eingesetzt (Diagramm: AV-Test).

Untersucht hat das Institut, ob sich die Security-Suiten durch die im Betriebssystem integrierten Techniken ASLR und DEP selbst vor Angriffen schützten. Dabei kam AV-Test zu einem enttäuschenden Ergebnis. Lediglich zwei der getesteten Lösungen nutzten zu 100 Prozent diese Techniken.

Der Test umfasste 24 Suiten für Endverbraucher sowie acht Security-Lösungen für Unternehmen. Dabei erfasste AV-Test 32- und 64-Bit-Varianten der in einem Antiviren-Paket enthaltenen Dateien jeweils getrennt. Bei den untersuchten Dateien handelte es sich unter anderem um ausführbare Programme (.exe) und Programmbibliotheken (.dll).

Was machen ASLR und DEP?

Durch die Technik ASLR (Address Space Layout Randomization) fällt es Angreifern schwerer Sicherheitslücken auszunutzen. Dafür weist sie Anwendungen Adressbereiche im Arbeitsspeicher zufällig zu. Auf diese Weise sollen Angriffe per Pufferüberlauf verhindert werden.

DEP (Data Execution Prevention) blockiert hingegen den Start beliebiger Daten als Programm und somit die Ausführung von Schadcode. Bereits seit zehn Jahren nutzen AMD und Intel diese Technik in sämtlichen Prozessoren.

AV-Test zufolge ist die Implementierung von ASLR und DEP in den Quelltext ohne Einfluss auf den Codeumfang und die Programmlaufzeit möglich. Es handele sich dabei um aktivierbare Compiler Funktionen.

Nur zwei Produkte verwenden ASLR und DEP zu 100 Prozent

Das Resultat der Überprüfung der 32 Security-Suiten ist nach Angaben von AV-Test etwas überraschend, da einige Hersteller ASLR und DEP zwar komplett oder teilweise einsetzten, andere Anbieter aber fast vollständig darauf verzichteten. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent nutzen, stammen dem Sicherheitsinstitut zufolge von Eset (Consumer-Variante Smart Security) und Symantec (Business-Variante Endpoint Protection).

Insgesamt setzt bei den Consumer-Lösungen fast die Hälfte aller Schutzpakete zu über 90 Prozent auf ASLR und DEP. Schlusslichter in dieser Rangliste sind die Anbieter Kingsoft und eScan mit 19 respektive 17,5 Prozent. Avira, G Data, McAfee sowie AVG setzen den Zusatzschutz nur in den 64-Bit-Dateien ihrer Produkte zu 100 Prozent ein.

Bei den 32-Bit-Versionen schwankt der Wert zwischen 90 und nahezu 100 Prozent. Der Trend geht AV-Test zufolge alles in allem dahin, dass die Einsatzrate von ASLR und DEP bei 64-Bit-Dateien höher ist als bei den 32-Bit-Versionen. Dies sei jedoch nicht die Regel.

Bei den Endpoint-Security-Lösungen nutzt lediglich die Suite Symantec Endpoint Protection ASLR und DEP zu 100 Prozent (Diagramm: AV-Test).

Business-Lösungen setzen stärker auf zusätzlichen Selbstschutz

Ebenfalls auffällig ist laut dem Sicherheitsinstitut, dass die Hersteller bei den Firmenlösungen viel stärker auf den zusätzlichen Selbstschutz setzen. Wie erwähnt, nutzt in dem Kontext jedoch lediglich Symantec zu 100 Prozent ASLR und DEP.

Sophos tut dies dagegen nur bei eigenen 64-Bit-Dateien, weist aber darauf hin, dass bei seinen 32-Bit-Dateien eine Vielzahl der nicht via ASLR und DEP geschützten Dateien DLLs sind, die nur Daten enthielten und somit keine Gefahr darstellten.

Addiert man für jedes Business-Security-Produkt die 32- und 64-Bit-Werte, so liegt bei 6 von 8 Produkten die Einsatzquote zwischen 81,5 und über 97 Prozent. Von den bekannten Anbietern fällt hier nur Trend Micro aus dem Raster: Im Durchschnitt erzielt dessen Enterprise-Lösung Trend Micro Office Scan lediglich knapp 19 Prozent.

Grundsätzlich empfiehlt AV-Test den Einsatz der Schutzmechanismen ASLR und DEP, da eine Überlistung dieser Techniken einen Exploit-Autor Zeit, Ressourcen und zusätzliche Arbeitsschritte kostet. Letztere bedeuteten nicht nur einen erhöhten Aufwand, sondern könnten durch die jeweilige Sicherheitssoftware unter Umständen auch leichter als Angriff analysiert werden.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago