Erkennung neuer Viren - Welcher Hersteller ist der schnellste?

Oder frag mal die Überprofis von Stiftung Vasentest.

Gruß
ANKH

Hallo,

Ok

Naja das ist aber auch immer eine Sache der Schulung und der
Sensibilisierung der Mitarbeiter.

Hm, nicht gelöscht oder in die "Infecteds Items" verschoben?

Diesmal diese und nächstes mal die anderen?

Und Kaspersky und TrendMicro waren nicht mit dabei?
Die sind eigentlich auch immer recht zuverlässig.

Bestimmt nur das kann man eben auch nur bedingt glauben was dort steht!
Wer will mir denn garantieren, das der nächste Virus nicht von einem anderen
Anbieter bzw. überhaupt gefunden wird???

Nur dort jedes Mal aufzutauchen ist auch nicht das Wahre, oder?
Welchen AV Schutz und wo denn genau benutzt Ihr denn?

Gruß
Dobby

Nichts, nur wer sagt Dir denn nun das morgen um 09:00 Uhr das ganze nicht schon
wieder völlig anders aussieht und übermorgen dann schon wieider ein ganz anderer
Scanner die Nase vorne hat?

Noch einmal, was nützt es Dir wenn Du nun ein Liste siehst wo drauf steht, wer denn
eine gute Erkennungsrate hat und dann wechselst und dann wieder ein ganz anderer
Virus die Liste völlig alt aussehen lässt? Nichts.

Das kann sicherlich sein, nur was nützt es Dir dann umzustellen und dann ist es das
nächste mal wieder Dein AV Schutz der es nicht "gebacken" bekommt!?

Ja und zwar Kaspersky auf der UTM vorne am WAN Interface und ESET oder TrendMicro
auf den MS Servern und MS Klienten und ClamAV auf den Linux Servern! Gefühlt!!!
Und stündliches Signaturupdate der AV Definitionen.

Klar kann ich damit auch auf die Schn... fallen und das nächste Mal ist dann eben
wieder ein anderer besser gewesen, aber irgend einen Schutz muss man eben
haben.

Ich will Dich nicht angreifen, nur ist es eben so das solche Listen nach denen
Du explizit fragst, nach einem Tag schon wieder veraltet sind und somit nichts aussagen!


Gruß
Dobby

Alles klar, es gibt da wohl mehrere Anlaufstellen:
- VHM
- BSI Quartalsbericht

Es macht aber auch durchaus Sinn mehrere AV Tests von verschiedenen Anbietern
regelmäßig im Internet zu durchsuchen und dann bekommt man schon eher ein Gefühl
dafür wo denn genau die selbst eingesetzte AV Schutz Variante, im Vergleich
zu anderen Lösungen, steht.

Es kann durchaus auch Sinn machen den AV Schutz zu erweitern, in dem man mehrere
AV Lösungen an verschiedenen Stellen kombiniert! z.B.
AV Lösung 1 auf UTM am WAN interface und AV Lösung 2 auf den Servern und Klienten

Muss halt auch jeder wissen was sein Budget sagt.


Gruß
Dobby

Mahlzeit.

Schnelligkeit ist ja nicht unbedingt alles - ich denke da zurück an (zu) schnell herausgegebene Pattern-Updates, die die Ausbreitung der anvisierten Malware sehr gut durch das komplette Lahmlegen des Rechners verhindert haben.... Aber ob das so im Sinne des Erfinders war und ist?

Und selbst wenn du den "schnellsten" aller Hersteller findest, sagt doch noch lange nichts darüber aus, ob deine Clients in dem Moment, in dem der User die böse Malware angeklickt hat, auch bereits das entsprechende Pattern-Update installiert haben. Daher würde ich mir darüber gleich gar nicht den Kopf zerbrechen, es wird immer (wieder) den Moment geben, in dem Malware tatsächlich nicht erkannt wird - das hatte ich bisher in jedem Unternehmen, ganz gleich, welche Antiviren-Software dort zum Einsatz gekommen ist.

Cheers,
jsysde

Kann es sein, dass hier mal wieder jemand nach dem 100%-Konzept sucht? Also das, welches es nicht gibt ...

Kurzzeit-Statistik hat wenig Aussagekraft, da sie sich schneller verändert, als sie erstellt wurde.
Langzeit-Statistik führt zu der Aussage, dass jede AV-Software schon mal in die Tonne gegriffen hat.

Also was solls. Lass die Sache ruhen und schließ den Beitrag.

Gruß
ANKH

Hallo,

Das Problem ist wie ja hier schon angesprochen.
Die Reaktionszeit wird sehr stark schwanken. Sprich heute so morgen so.
Beim nächsten Virus wird es anders aussehen.

Wen ich runde 5 Jahre meinen oder meine AV Scanner immer im oberen drittel sehe
und/oder sogar immer an der Spitze, ist das natürlich auch eine Aussage zu dem AV
Schutz und je länger man etwas beobachtet um so mehr Gefühl bekommt man dafür!

Also nach den letzten Aussagen, Erfahrungen und auch Beobachtungen, würde ich
Kaspersky nur noch vorne am WAN Bereich auf einer UTM nutzen wollen und entweder
Trend Micro oder ESET auf den Servern und Klienten, aber das ist eben nur meine
Meinung zu d er Sache und die ändert sich sicherlich auch wieder, nicht zuletzt bei
einem Upgrade oder update bzw. einem Versionswechsel.

Das macht aber auch jeder für sich ab, aber sicher ist für mich auch das ich mein
Fähnchen nicht nach dem Wind hänge wegen nur einem Virus, der mal nicht erkannt
wurde. Das bringt nichts und wen es noch so ärgerlich ist.

Gruß
Dobby

Was ich meine ist dies: Wenn jede AV Software mal in die Grütze greift, und ich daraus eine "Statistik" mache, kommt eine horizontale Linie heraus. Und was sagt mir die?

Nana, mal nicht gleich so ... War ja nicht böse gemeint.

Gruß
ANKH

Vielleicht noch dies: Das A und O beim Vergleich von Tests sind die Testkriterien, die aber sicher nicht einheitlich sind.

Vor einiger Zeit hatte die Stiftung Warentest einen solchen Vergleich angestellt. Die Kritik (ich meine sie kam vom CCC) war, dass
a) bei Weitem nicht genug Viren mit von der Partie waren,
b) die auch schon im Rentenalter und
c) die Heuristik deaktiviert wurde.
Und genau das wird einen Vergleich immer hinken lassen.

Und schließlich: Wenn ein Vergleich über mehrere Jahre gemacht wird, muss (irgendwie) die Weiterentwicklung der Erkennungsstrategien berücksichtigt werden. Dann hinkt er schon wieder

Ich finde, das sind echte k.o-Kriterien

2 c't from
ANKH

Hi zusammen,

hier sind für ein Expertenforum erstaunlich viele Antworten, die auf die Frage gar keine Antwort geben, und Ratschläge, die dem Threadopener nahelegen, daß seine Frage nicht sinnvoll sei. Ich finde seine Frage dagegen außerordentlich interessant.

Und seine Beobachtung, daß derzeit virenverseuchte "cab"-Dateien unterwegs sind, hat mich veranlaßt, diese in Spamihilators Attachmentfilter ebenfalls sperren zu lassen (nach meiner Kenntnis ist das keine Pack-Methode, die man üblicherweise für den Versand von Dateien anwendet).

Ich kann jetzt leider kein konkretes Zitat liefern (das ist sicher zu kritisieren), aber ich verfolge seit Jahren als interessierter Laie verschiedene Antivirentests, beispielsweise der Zeitschrift c't, der AV-Comparatives-Organisation und anderer. Diese haben eine Zeitlang die Reaktionszeiten der AV-Schmieden an exponierter Stelle genannt und bewertet.

Die Frage nach der Reaktionszeit der Antivirenhersteller spielte noch vor wenigen Jahren eine große Rolle. Ich erinnere mich an recht große Unterschiede. Damals waren beispielsweise Avira und Norton nicht ganz so reaktionsschnell wie etwa Bitdefender oder Kaspersky. Es konnte vorkommen, daß ein ganzes Wochenende verging, bis die Avira-Programmierer wieder neue Virensignaturen zur Verfügung stellten. Inzwischen sind alle AV-Hersteller sehr schnell. Ich habe den Eindruck, daß die meisten Hersteller inzwischen stündlich neue Informationen in ihren Virensignaturdateien bereitstellen. Cloudbasierte Outbreak-Erfassungen sind bei fast allen Security-Programmen dabei.

Daneben könnten aber aktuell auch die heuristischen, proaktiven, verhaltensbasierten etc. Komponenten immer mehr Bedeutung erlangen. Auch deshalb, weil diese Komponenten inzwischen immer besser funktionieren, wenn auch im Vergleich zu den signaturbasierten Erkennungsmethoden immer noch wesentlich zu unsicher. Bei AV-Comparatives werden sie in eigenen Untersuchungen auf die Probe gestellt. Ein beachtenswerter Bericht!

Viele Grüße,
red-eye

Moin.
Ähhm, entschuldige, aber auf die Frage des TO gibt es nun mal nicht "die" Antwort und den Sinn einer solchen Statistik halte ich tatsächlich für fragwürdig, da deren Aussagekraft gleich null ist - es gibt zu viele Parameter, die berücksichtigt werden müssten und zu viele "Lesarten", daher ist es schlicht Zeitverschwendung, sich damit auseinanderzusetzen.

Die (langjährige) Praxis zeigt einfach, dass es nicht (nur) auf die Geschwindigkeit ankommt, mit der Pattern-Updates ausgeliefert werden, sondern dass viel mehr Wert auf deren Qualität gelegt werden muss - und da hat jeder der "großen" AV-Hersteller in den letzten Jahren mindestens einmal "ins Klo gegriffen".

Letztlich gilt hier umso mehr: Traue keiner Statistik, die du nicht selbst gefälscht hast...

Cheers,
jsysde

Das ist so nicht richtig, die Antworten mögen Dir eventuell nicht gefallen, aber sie sind konkrete Antworten auf seine Frage. Das Problem stellt sich nicht per se bei Frage und Antwort, sondern bei dem Thema als solches.


auf einem Webserver/Exchange-Server sollten generell Dateiendungen gesperrt werden, die für das betroffene System ausführbar sein können.
Bei der Installation von Exchange wird schon darauf hingewiesen, das es nur eine Grundeinstellung der gängigen Datei- und Skriptendungen enthält, CAB ist dabei nur eine weitere von vielen. Spätestens wenn Du auf den Computern der Anwender noch Java u. ä. freigibst, kannst Du fleißig den Schutz erweitern, da hierdurch auch immer mehr Spam angelangen kann, der ausführbar ist.


Leider sind auch die von Dir beobachteten Antivirentests nicht frei von Fehl und Tadel und je nachdem wer mehr Sponsoring in einen Test investiert, erhält auch bessere Ergebnisse. Als Beispiel, Microsoft mit seiner Freeware erhielt bei c't eine schlechte Bewertung beim Handling/Userinterface - gleichzeitig Kaspersky eine wesentlich bessere Beurteilung. Wenn man nur von diesem Aspekt mal ausgeht, stellt sich schon die Frage, wie die Bewertungen bei den Redaktionen zu Stande kommen - den MS mag eventuell eine schlechte Erkennungsrate haben, aber was Fehleinschätzungen von eigenen Systemdateien angeht oder z. Bsp. dem Interface, können viele andere AV's sich daran schon wieder eine Scheibe abschneiden.

Aber wie bei allem, wenn es um das große Geld verdienen geht, wer gut schmiert, ....


Die Reaktionszeiten sind zwar nett, helfen Dir aber präventiv bei neuen Viren erstmal gar nichts. Selbst die besten Virenscanner schaffen es nicht einen ganz neu agierenden Virus zu erkennen. Genug Zeit für einen gefährlichen Virus aber um das Firmennetzwerk binnen Sekunden lahmzulegen.


Tja, Heuristiken sind eine feine Sache und der Grund, wie oben schon erwähnt, warum plötzlich MS-Systemdateien im Qurantäne-Ordner landen und der Anwender in voller Panik, weil der böse Virus ja schon sich verbreitet und demzufolge sein PC's abschmiert - gleich die Kiste neuinstalliert.

Würde mal zu gerne eine Statistik sehen über Fehlalarme von Virenscannern und deren wirtschaftlichen Folgen/Schäden.

Hi,

vielen Dank für Eure Antworten!

"Auf einem Webserver/Exchange-Server sollten generell Dateiendungen gesperrt werden, die für das betroffene System ausführbar sein können."
- Das ist nochmal ein sehr guter Tipp.

"MS mag eventuell eine schlechte Erkennungsrate haben, aber was Fehleinschätzungen von eigenen Systemdateien angeht oder z. Bsp. dem Interface, können viele andere AV's sich daran schon wieder eine Scheibe abschneiden."
- Das kann ich nur unterschreiben. Auch die Antivirensoftware, die ich gerade für mich neu erprobe, hat relativ viele Erkennungen, die eine Benutzerentscheidung verlangen. Das führt leicht zu Fehlern, sodaß ich bei den Rechnern meiner Familie wieder zu einer anderen Security-Software zurückkehren mußte.

Beste Grüße,
red-eye

Hallo,

Du darfst bei der ganzen Sache hier auch nicht vergessen das in Unternehmen kpl. andere Kriterien herrschen als für Privatpersonen.

In einem Unternehmen setzt man z.b schnell mal verschiedene Scann Lösungen ein um schwächen gegenseitig auszugleichen. Bei einem Gateway/Proxy währe eine gute Heuristik besser/wichtiger als schnelle Updates.
Benutzerentscheidungen sollte es eigentlich nicht geben.
Ausführbare Dateien sollten als Mailanhang grundsätzlich geblockt sein.
Für Phishing Links gibt es Contentfilter und viele Webseiten sind gesperrt.

Und wie schon geschrieben. Es ist da eher ein Glücksfall welcher Hersteller als erstes auf einen Virus aufmerksam wird. Und der wird in der Regel auch als erstes ein passendes Pattern File Bereitstellen.

Aus diesen gründen ist Sowas in einen Test aufzunehmen nicht so einfach.

Und das mit dem Testsponsering ist natürlich auch so ne Sache warum die oft nicht so objektiv sind.
Und der Letzte Test von Stiftung Warentest. naja da hat's dann sogar einen Beschwerdebrief von den Herstellen gegeben (auch von denen die gut weggekommen sind) das die Rahmenbedingungen nicht die Wirklichkeit widerspiegeln.