Secunia

Mittlerweile haben die meisten Interessierten die Testergebnisse von Secunia gesehen („http://secunia.com/blog/29„) – wie auch die dadurch ausgelösten Diskussionen verfolgt. Ich war, ehrlich gesagt, ein wenig überrascht angesichts der absolut negativen Reaktion vieler AV-Anbieter.
Und anscheinend liegt der Grund hierfür auch nicht allein in den 20% Differenz zwischen dem Testsieger und dem ganzen Rest. Die Kritik konzentriert sich im Wesentlichen auf die Testmethode, die vielen zweifelhaft erscheint. Einige Anregungen waren sehr hilfreich – besonders die von Andreas Marx, dem bekannten AV-Tester aus Deutschland. Der Grundtenor schien aber zu sein, dass die meisten AV-Anbieter der Meinung sind, sie hätten wesentlich besser abgeschnitten, wenn eine andere Testmethode verwendet worden wäre. Vielleicht haben sie sogar recht.
Aber ich denke, die Betroffenen sind zu sehr darauf fixiert, nach Fehlern in den Tests zu suchen und/oder ihre schlechten PoC-Erkennungsraten zu rechtfertigen. Sicherlich ist Kritik an den Testmethoden von Secunia berechtigt; allerdings nur dann, wenn es um Testmethoden geht und um nichts anderes.
Meiner Meinung nach ging es Secunia nicht darum, die Schwächen von AV-Lösungen bloßzustellen. Ich glaube, sie hatten etwas ganz anderes im Blick …
Bei Kaspersky haben wir uns entschlossen, keine Proof-of-Concept-Schwachstellen zu erkennen – es ist weitaus sinnvoller, sich auf den Schutz der Anwender vor den realen Bedrohungen und Exploits zu konzentrieren, die von Malware-Autoren im wirklichen Leben benutzt werden. Genau dazu sind unsere Antiviren-Datenbanken da. Es geht nicht unbedingt darum, dass es reichlich kompliziert ist, PoC-Schwachstellen aufzuspüren – obgleich der Test mehr als deutlich gemacht hat, dass selbst Microsoft und Symantec mit all ihren Möglichkeiten nicht allzu gut abgeschnitten haben -, sondern dass die Erkennung von PoCs in eine Sackgasse führt und das eigentliche Problem so nicht gelöst wird.
Aber was ist das eigentliche Problem?
Eine Fülle von angreifbaren Anwendungen. Die Lösung dieses Problems liegt nicht darin, 65% oder gar 99% der Proof-of-Concepts zu finden. Sie liegt auch nicht in einer guten oder schlechten AV-Testmethode. Die einzig wirklich sinnvolle Lösung liegt in einem guten Patch-Management. Im Zusammenhang mit der von den Tests ausgelösten Diskussion habe ich das Gefühl, dass viele Leute die “To-do-Liste” von Secunia verdrängen oder einfach ignorieren:

Heimanwender und Geschäftsleute sollten die Bedrohung ernst nehmen und sich bewusst machen, dass Firewalls und traditionelle Sicherheitssoftware wie sie Internet Security Suites enthalten ist, nicht geeignet sind, um PCs und Unternehmensnetzwerke zu schützen.
Da die Sicherheitsindustrie nie einen Schutz anbieten kann, der dem eines umfassend gepatchten Systems gleichkommt, müssen Anwender mehr Mühe auf das Patchen ihrer Programme verwenden. Sind die Programme angreifbar und nicht gepatcht, dann setzt man sie mit großer Wahrscheinlichkeit neuen Angriffen aus.
Dabei ist Patchen umso angenehmer, als dass es völlig umsonst ist. Es kostet nicht mehr als die Zeit, die für den Download und die Installation des Patches/Updates benötigt wird. Tools wie der kostenlose Secunia Personal Software Inspector (PSI) und die ähnliche in Kaspersky Internet Security 2009 angebotenen Funktion machen das Identifizieren von Programmen, die gepatcht werden müssen, überaus einfach.

Glücklicherweise unternimmt die AV-Industrie bereits erste notwendige Schritte, um mit dem Patch-Problem fertig zu werden. Unser Produkt, Kaspersky Internet Security 2009, ist die erste und bisher einzige Lösung, die einen Schwachstellen-Scanner enthält. Es erkennt Anwendungen mit ungepatchten Schwachstellen, wobei in einem Protokoll Details zu den Schwachstellen geliefert werden, unter anderem Name, Bedrohungsstufe und Informationen dazu, wie die nötigen Patches installiert werden können.
Das ist nur ein erster Schritt hin zu einem voll funktionsfähigen System des Risikomanagements auf PCs und wir werden unsere aktive Arbeit auf diesem Gebiet fortsetzen.
Wir müssen die Krankheit bekämpfen, nicht die Symptome. In diesem Fall sind die angreifbaren Anwendungen die Krankheit. Sie sind ein potentielles Risiko, das durch die Unwissenheit der Anwender noch verschärft wird. Dieses Problem kann und muss die AV-Industrie nicht allein bekämpfen – es ist eine ganz allgemeine Sicherheitsfrage.
Außerdem hat kein AV-Anbieter – egal, wie gut er bei solchen Tests abschneidet – das Recht zu sagen: „Alles klar, wir schützen Sie vor allen Exploits, Patchen ist nicht notwendig.“ Kein Unternehmen würde es wagen, etwas Derartiges zu behaupten; alle sind sich einig, dass Patchen unumgänglich ist. Allein diese Tatsache entzieht allen Diskussionen über die Testergebnisse und Testmethoden von Secunia die Grundlage.
Wir sind froh, dass das Bewusstsein für Schwachstellen und die Verantwortlichkeit der AV-Anbieter gestiegen ist. Wenn’s nach mir geht, kann sich die AV-Industrie gar nicht früh genug des Problems Patchen annehmen. Dafür sind sowohl neue Technologien als auch Anwender-Schulungen nötig. Wir müssen so lange über Patch-Management sprechen, bis allen Heimanwendern klar ist, dass das Patchen für die Sicherheit eine ebenso große Rolle spielt wie Antiviren-Software.
Patch-Management beginnt im Kopf, nicht in der Software.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.