Im Test mit realen Angriffsszenarien zeigen im Labor von AV-TEST 26 Schutzlösungen für private Nutzer und Unternehmen ihre Leistung. In der Reihe der Advanced Threat Protection-Tests untersucht das Labor, wie gut die Produkte gegen Ransomware schützen.
Dabei wird jeder Angriffsschritt der Malware protokolliert und bewertet, bis hin zu einer Verschlüsselung. Viele Lösungen halten, was sie versprechen: sie bieten Schutz gegen Ransomware. Aber nicht alle Lösungen liefern eine Glanzleistung.
Ransomware – die Pest des 21. Jahrhunderts
Ransomware ist wohl die Pest des 21. Jahrhunderts. Die Meldungen in den Medien zu teilweisen oder ganz erfolgreichen Attacken wollen gar nicht mehr abreißen. Dass dieses Gefühl nicht trügt, zeigt auch die interessante Sophos-Studie „The State of Ransomware 2022“. Eine der ersten Kernaussagen der Studie ist „Lösegeldangriffe sind häufiger – 66 % der befragten Unternehmen wurden im Jahr 2021 von Ransomware getroffen, gegenüber 37 % im Jahr 2020“.
🔎 Im erweiterten Live-Test gegen Ransomware behaupten sich die meisten Lösungen (Bild: AV-Test).
26 Produkte im Advanced Threat Protection-Test
Die Advanced Threat Protection-Tests liefern eine gewichtige Erkenntnis für Hersteller und Nutzer, wie sicher ein Produkt in realen Szenarien gegen Ransomware schützt. An dem Test nehmen 14 Schutzlösungen für Unternehmen und 12 Endanwender-Produkte teil. Die Hersteller der Endanwender-Produkte sind: Avast, AVG, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Microsoft, Microworld, NortonLifeLock, PC Matic und VIPRE Security.
Bei den Lösungen für Unternehmen stellen sich Produkte dieser Hersteller: Acronis, Avast, Bitdefender (zwei Versionen), Comodo, F-Secure, G DATA, Kaspersky (zwei Versionen), Microsoft, Seqrite, Symantec, Trellix und VMware.
Alle Produkte müssen in 10 realen Szenarien unter Windows 10 gegen Ransomware bestehen. Dabei kommen zum Beispiel Dateien mit versteckter Malware in Archiven, Powerpoint-Dateien mit Scripten oder HTML-Dateien mit gefährlichen Inhalten zum Einsatz. Die 10 Grafiken zu den „Testszenarien“ listen die Art des Angriffs und jeden Schritt dazu auf. Dabei gibt das Labor sogar die Definitionen in MITRE ATT&CK Technikcodes an. Die genauen technischen Schritte eines Advanced Threat Protection-Tests erklärt das Labor für Interessierte auch in dem bereits erschienen Artikel Neue Abwehrkräfte: EPPs und EDRs im Test gegen APT- und Ransomware-Attacken.
Unternehmen: Live-Attack-Test mit Ransomware
Das Labor testet 14 Schutz-Lösungen für Unternehmensnetzwerke in 10 realen Szenarien mit Ransomware. In diesem Test werden 10 definierten Szenarien genutzt. Der primäre Angriffsweg ist eine E-Mail mit einem verseuchten Anhang. Im Anhang befinden sich immer gefährliche Angreifer, zum Beispiel in Form von Office-Dateien mit Skripten, die dann etwa per PowerShell weitere Schritte ausführen.
Im Test erkennen alle Produkte ausnahmslos die Angreifer bereits in den ersten Schritten (initial access oder execution). Allerdings ist damit nur bei 10 von 14 Produkten die Attacke erkannt und auch vollständig geblockt. Im Endergebnis stehen 10 Unternehmensprodukte mit den vollen 40 Punkten da. Symantec folgt mit 39,5 Punkten, Seqrite und VMware mit jeweils 39 Punkten und Trellix mit 36,5 Punkten.
🔎 Ransomware gegen Nutzer: auch Einzelplätze sind mit den Testkandidaten gut geschützt (Bild: AV-TEST).
Privatanwender: Live-Attack-Test mit Ransomware
Im Test stellen sich 12 Endanwenderprodukte den Prüfungen der Experten im Labor. Alle Produkte müssen sich in den 10 Szenarien mit verschiedenen Angriffswegen behaupten. Bei allen Angriffen erhält der Anwender eine E-Mail mit einem Anhang. Dieser ist in allen Fällen gefährlich: zum Beispiel verseuchte Powerpoints, Skripte oder gepackte Archive mit Malware. Der Test zeigt, dass alle Produkte bereits bei den ersten Schritten (initial access oder execution) die Angreifer erkennen. 11 der 12 Schutzpakete beenden an dieser Stelle auch jegliche weitere Ausführung der Attacke und bekommen somit die volle Wertung von 40 Punkten. Lediglich K7 Computing hat ein Problem: der Angriff wird zwar erkannt, aber im weiteren Verlauf schafft es der Angreifer bei Szenario Nr. 6 eine Datei zu erstellen. Auch wenn diese ungefährlich ist, gibt es dafür einen Abzug von 0,5 Punkten.
Mehr bei AV-TEST.org
Über AV-TEST Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.
Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.