knorkator
Goto Top

Erkennung neuer Viren - Welcher Hersteller ist der schnellste?

Hallo,

wir haben gestern eine rechnung.cab geschickt bekommen.
Unser Filter hat die Datei nicht umbenannt sodass ein Mitarbeiter diese prompt geöffnet hat.
.Cab Dateien werden zukünftig auch umbenannt..

Ich habe die Datei gestern mehrfach von Virustotal.com prüfen lassen.
Anfänglich haben nur Antivir,Sophos und Eset den Virus erkannt, im laufe des Tages kamen die anderen Hersteller dann nach.
6 Stunden nach Eset usw. hat Gdata den Virus dann auch erkannt...


Zur Frage:
Gibt es eigentlich Statistiken darüber, welcher Hersteller am "flottesten" bei der Erkennung neuer Viren ist?
Webseiten wie Virustotal sollten dies ja locker auswerten können.


Edit:
FAQ von Virustotal.com dazu:
https://www.virustotal.com/de/faq/#statistics

Content-ID: 241109

Url: https://administrator.de/contentid/241109

Ausgedruckt am: 26.11.2024 um 02:11 Uhr

MrNetman
MrNetman 17.06.2014 um 07:41:26 Uhr
Goto Top
Der Virenhersteller ist immer der Sieger!

Gruß
Netman
AnkhMorpork
AnkhMorpork 17.06.2014 um 07:43:48 Uhr
Goto Top
Oder frag mal die Überprofis von Stiftung Vasentest.

Gruß
ANKH
108012
108012 17.06.2014 um 09:49:02 Uhr
Goto Top
Hallo,

wir haben gestern eine rechnung.cab geschickt bekommen.
Ok

Unser Filter hat die Datei nicht umbenannt sodass ein Mitarbeiter
diese prompt geöffnet hat.
Naja das ist aber auch immer eine Sache der Schulung und der
Sensibilisierung der Mitarbeiter.

.Cab Dateien werden zukünftig auch umbenannt..
Hm, nicht gelöscht oder in die "Infecteds Items" verschoben?

Ich habe die Datei gestern mehrfach von Virustotal.com prüfen lassen.
Anfänglich haben nur Antivir,Sophos und Eset den Virus erkannt, im
laufe des Tages kamen die anderen Hersteller dann nach.
Diesmal diese und nächstes mal die anderen?

6 Stunden nach Eset usw. hat Gdata den Virus dann auch erkannt...
Und Kaspersky und TrendMicro waren nicht mit dabei?
Die sind eigentlich auch immer recht zuverlässig.

Zur Frage:
Gibt es eigentlich Statistiken darüber, welcher Hersteller am
"flottesten" bei der Erkennung neuer Viren ist?
Bestimmt nur das kann man eben auch nur bedingt glauben was dort steht!
Wer will mir denn garantieren, das der nächste Virus nicht von einem anderen
Anbieter bzw. überhaupt gefunden wird???

Webseiten wie Virustotal sollten dies ja locker auswerten können.
Nur dort jedes Mal aufzutauchen ist auch nicht das Wahre, oder?
Welchen AV Schutz und wo denn genau benutzt Ihr denn?

Gruß
Dobby
Knorkator
Knorkator 17.06.2014 um 10:22:45 Uhr
Goto Top
Naja das ist aber auch immer eine Sache der Schulung und der
Sensibilisierung der Mitarbeiter.
Natürlich, aber wenn wir als Industrieunternehmen eine Rechnung vom Fleischerfachverband bekommen... welche zusätzlich noch in mäßigem Deutsch formuliert ist... dann kann man der Empfangsdame doch nicht böse sein, oder?
;)

> .Cab Dateien werden zukünftig auch umbenannt..
Hm, nicht gelöscht oder in die "Infecteds Items" verschoben?
Wenn das Teil nicht als Virus erkannt wird..?
Folgende Dateiendungen werden per se umbenannt:
*.exe;*.com;*.bat;*.reg;*.scr;*.vbs;*.js;*.pif;*.cmd
*.cab ist frisch hinzugekommen...


> Ich habe die Datei gestern mehrfach von Virustotal.com prüfen lassen.
> Anfänglich haben nur Antivir,Sophos und Eset den Virus erkannt, im
> laufe des Tages kamen die anderen Hersteller dann nach.
Diesmal diese und nächstes mal die anderen?
Natürlich.. aber trotzdem wäre langfristig doch interessant und sollte mit in die Produktbewertung einfließen oder?
Was bringt es mir, wenn der Scanner 99,9% der ITW Viren erkennt, neue Viren aber erst 12h nach allen anderen findet?

Um 13:30 waren es 10 von 54 Scannern die den Virus erkannten:
AVG, Antivir, Bitdefender, Eset, Emsisoft, F-Secure, Gdata, Ikarus, Qihoo-360, Sophos

Einen Tag später sind übrigens immer noch 30 von 53 Scannern der Meinung, dass die Datei sauber ist.
u.a. ClamAV, McAfee-GW-Edition,Symantec,Trendmicro


> 6 Stunden nach Eset usw. hat Gdata den Virus dann auch erkannt...
Und Kaspersky und TrendMicro waren nicht mit dabei?
Gestern um 13:30 (die mail war von 7:49) war Kaspersky noch nicht unter denen, die die Datei erkannten.

Die sind eigentlich auch immer recht zuverlässig.
Gefühlt....


Bestimmt nur das kann man eben auch nur bedingt glauben was dort steht!
Wer will mir denn garantieren, das der nächste Virus nicht von einem anderen
Anbieter bzw. überhaupt gefunden wird???
Niemand?

Nur dort jedes Mal aufzutauchen ist auch nicht das Wahre, oder?
Versteh ich jetzt nicht? Was meinst Du?

Welchen AV Schutz und wo denn genau benutzt Ihr denn?
Gdata Client AV und Gdata Exchange Mailgateway

Grundsätzlich sind unsere User auch dahingehend sensibilisiert, arbeiten ohne Admin Rechte usw.
Der Spam Filter ist auch sehr hart konfiguriert, nur die .cab Dateien.. die hatte ich bisher nicht auf´m Schirm.
108012
108012 17.06.2014 um 10:54:44 Uhr
Goto Top
Was bringt es mir, wenn der Scanner 99,9% der ITW Viren erkennt, neue Viren
aber erst 12h nach allen anderen findet?
Nichts, nur wer sagt Dir denn nun das morgen um 09:00 Uhr das ganze nicht schon
wieder völlig anders aussieht und übermorgen dann schon wieider ein ganz anderer
Scanner die Nase vorne hat?

Um 13:30 waren es 10 von 54 Scannern die den Virus erkannten:
AVG, Antivir, Bitdefender, Eset, Emsisoft, F-Secure, Gdata, Ikarus, Qihoo-360, Sophos
Noch einmal, was nützt es Dir wenn Du nun ein Liste siehst wo drauf steht, wer denn
eine gute Erkennungsrate hat und dann wechselst und dann wieder ein ganz anderer
Virus die Liste völlig alt aussehen lässt? Nichts.

Einen Tag später sind übrigens immer noch 30 von 53 Scannern der Meinung,
dass die Datei sauber ist. u.a. ClamAV, McAfee-GW-Edition,Symantec,Trendmicro
Das kann sicherlich sein, nur was nützt es Dir dann umzustellen und dann ist es das
nächste mal wieder Dein AV Schutz der es nicht "gebacken" bekommt!?

Gefühlt....
Ja und zwar Kaspersky auf der UTM vorne am WAN Interface und ESET oder TrendMicro
auf den MS Servern und MS Klienten und ClamAV auf den Linux Servern! Gefühlt!!!
Und stündliches Signaturupdate der AV Definitionen.

Klar kann ich damit auch auf die Schn... fallen und das nächste Mal ist dann eben
wieder ein anderer besser gewesen, aber irgend einen Schutz muss man eben
haben.

Ich will Dich nicht angreifen, nur ist es eben so das solche Listen nach denen
Du explizit fragst, nach einem Tag schon wieder veraltet sind und somit nichts aussagen!


Gruß
Dobby
Knorkator
Knorkator 17.06.2014 um 11:04:19 Uhr
Goto Top
Ich will Dich nicht angreifen, nur ist es eben so das solche Listen nach denen
Du explizit fragst, nach einem Tag schon wieder veraltet sind und somit nichts aussagen!

Habe nochmal nach oben gescrollt... ich hätte wohl erwähnen sollen, dass es mir um Langzeitstatistiken geht!
face-smile

Tägliche Auswertungen mach natürlich keinen Sinn!
108012
108012 17.06.2014 um 12:20:29 Uhr
Goto Top
Habe nochmal nach oben gescrollt... ich hätte wohl erwähnen sollen,
dass es mir um Langzeitstatistiken geht!
Alles klar, es gibt da wohl mehrere Anlaufstellen:
- VHM
- BSI Quartalsbericht

Es macht aber auch durchaus Sinn mehrere AV Tests von verschiedenen Anbietern
regelmäßig im Internet zu durchsuchen und dann bekommt man schon eher ein Gefühl
dafür wo denn genau die selbst eingesetzte AV Schutz Variante, im Vergleich
zu anderen Lösungen, steht.

Es kann durchaus auch Sinn machen den AV Schutz zu erweitern, in dem man mehrere
AV Lösungen an verschiedenen Stellen kombiniert! z.B.
AV Lösung 1 auf UTM am WAN interface und AV Lösung 2 auf den Servern und Klienten

Muss halt auch jeder wissen was sein Budget sagt.


Gruß
Dobby
jsysde
jsysde 17.06.2014 um 12:58:04 Uhr
Goto Top
Mahlzeit.

Schnelligkeit ist ja nicht unbedingt alles - ich denke da zurück an (zu) schnell herausgegebene Pattern-Updates, die die Ausbreitung der anvisierten Malware sehr gut durch das komplette Lahmlegen des Rechners verhindert haben.... Aber ob das so im Sinne des Erfinders war und ist?

Und selbst wenn du den "schnellsten" aller Hersteller findest, sagt doch noch lange nichts darüber aus, ob deine Clients in dem Moment, in dem der User die böse Malware angeklickt hat, auch bereits das entsprechende Pattern-Update installiert haben. Daher würde ich mir darüber gleich gar nicht den Kopf zerbrechen, es wird immer (wieder) den Moment geben, in dem Malware tatsächlich nicht erkannt wird - das hatte ich bisher in jedem Unternehmen, ganz gleich, welche Antiviren-Software dort zum Einsatz gekommen ist.

Cheers,
jsysde
AnkhMorpork
AnkhMorpork 17.06.2014 um 13:09:27 Uhr
Goto Top
Kann es sein, dass hier mal wieder jemand nach dem 100%-Konzept sucht? Also das, welches es nicht gibt ...

Kurzzeit-Statistik hat wenig Aussagekraft, da sie sich schneller verändert, als sie erstellt wurde.
Langzeit-Statistik führt zu der Aussage, dass jede AV-Software schon mal in die Tonne gegriffen hat.

Also was solls. Lass die Sache ruhen und schließ den Beitrag.

Gruß
ANKH
Knorkator
Knorkator 17.06.2014 um 13:22:33 Uhr
Goto Top
@108012

Es macht aber auch durchaus Sinn mehrere AV Tests von verschiedenen Anbietern
regelmäßig im Internet zu durchsuchen und dann bekommt man schon eher ein Gefühl
dafür wo denn genau die selbst eingesetzte AV Schutz Variante, im Vergleich
zu anderen Lösungen, steht.

Man darf jedoch hinterfragen, wie und ob Reaktionszeiten getestet werden und wie diese in die Bewertung einfließen.
Lt. http://www.computerwoche.de/a/sicherheitsloesungen-fuer-windows-8-1-im- ... erkannte Gdata (u.a.) 100% aller bis dato unbekannten Viren. Unnötig zu erwähnen, dass sich das mit jedem neuen Virus ändern kann.

Wir haben ja Gdata im Einsatz, deren Lösung i.d.R. immer recht positiv bewertet wird (von der Performance abgesehen).
Grund für diese Diskussion war ja, dass dieser Hersteller 7 Stunden benötigte, bis der Virus erkannt wurde, während andere wesentlich flotter waren.
Das kann natürlich ein Einzelfall sein, das bestreite ich ja nicht. Bei der nächsten Infkektion kann es wieder anders aussehen.
Virustotal testet nur On-Demand wenn ich mich nicht irre, evtl. Sandbox Funktionen bzw. Heuristische Fähigkeiten werden außen vorgelassen.


Es kann durchaus auch Sinn machen den AV Schutz zu erweitern, in dem man mehrere
AV Lösungen an verschiedenen Stellen kombiniert! z.B.
AV Lösung 1 auf UTM am WAN interface und AV Lösung 2 auf den Servern und Klienten
Mehrstufig ist natürlich am sinnvollsten, je nach Budget.


Habe übrigens einen Artikel gefunden der in die gewünschte Richtung geht.. leider von 2004 und somit nicht mehr relevant.
http://www.av-test.org/fileadmin/pdf/publications/vb_2004_avtest_presen ...
Knorkator
Knorkator 17.06.2014 um 13:27:42 Uhr
Goto Top
Kann es sein, dass hier mal wieder jemand nach dem 100%-Konzept sucht? Also das, welches es nicht gibt ...
Nein?!
Ich zweifle nur an, dass dieser nicht ganz unwichtige Aspekt der Reaktionszeit in die Test einfließt und ich so eine Statistik für nicht unwichtig halte.
Was man damit macht ist was ein anderes Thema.


Kurzzeit-Statistik hat wenig Aussagekraft, da sie sich schneller verändert, als sie erstellt wurde.
Richtig.

Langzeit-Statistik führt zu der Aussage, dass jede AV-Software schon mal in die Tonne gegriffen hat.
Falsch, da das "in die Tonne greifen" nicht ins Gewicht fällt wenn über einen längeren Zeitraum protokolliert wird, oder?

Also was solls. Lass die Sache ruhen und schließ den Beitrag.
Entschuldige bitte die Störung..
wiesi200
wiesi200 17.06.2014 um 13:41:11 Uhr
Goto Top
Hallo,

Das Problem ist wie ja hier schon angesprochen.
Die Reaktionszeit wird sehr stark schwanken. Sprich heute so morgen so.
Beim nächsten Virus wird es anders aussehen.
108012
108012 17.06.2014 um 13:43:51 Uhr
Goto Top
Man darf jedoch hinterfragen, wie und ob Reaktionszeiten getestet werden und
wie diese in die Bewertung einfließen.
Wen ich runde 5 Jahre meinen oder meine AV Scanner immer im oberen drittel sehe
und/oder sogar immer an der Spitze, ist das natürlich auch eine Aussage zu dem AV
Schutz und je länger man etwas beobachtet um so mehr Gefühl bekommt man dafür!

Also nach den letzten Aussagen, Erfahrungen und auch Beobachtungen, würde ich
Kaspersky nur noch vorne am WAN Bereich auf einer UTM nutzen wollen und entweder
Trend Micro oder ESET auf den Servern und Klienten, aber das ist eben nur meine
Meinung zu d er Sache und die ändert sich sicherlich auch wieder, nicht zuletzt bei
einem Upgrade oder update bzw. einem Versionswechsel.

Das macht aber auch jeder für sich ab, aber sicher ist für mich auch das ich mein
Fähnchen nicht nach dem Wind hänge wegen nur einem Virus, der mal nicht erkannt
wurde. Das bringt nichts und wen es noch so ärgerlich ist.

Gruß
Dobby
Knorkator
Knorkator 17.06.2014 um 13:57:35 Uhr
Goto Top
Das macht aber auch jeder für sich ab, aber sicher ist für mich auch das ich mein
Fähnchen nicht nach dem Wind hänge wegen nur einem Virus, der mal nicht erkannt
wurde. Das bringt nichts und wen es noch so ärgerlich ist.
In diesem Sinne.. danke für Eure Beiträge!
face-smile
AnkhMorpork
AnkhMorpork 17.06.2014 aktualisiert um 15:02:31 Uhr
Goto Top
Zitat von @Knorkator:
> Langzeit-Statistik führt zu der Aussage, dass jede AV-Software schon mal in die Tonne gegriffen hat.
Falsch, da das "in die Tonne greifen" nicht ins Gewicht fällt wenn über einen längeren Zeitraum
protokolliert wird, oder?
Was ich meine ist dies: Wenn jede AV Software mal in die Grütze greift, und ich daraus eine "Statistik" mache, kommt eine horizontale Linie heraus. Und was sagt mir die?

> Also was solls. Lass die Sache ruhen und schließ den Beitrag.
Entschuldige bitte die Störung..
Nana, mal nicht gleich so ... War ja nicht böse gemeint.face-wink

Gruß
ANKH
Knorkator
Knorkator 17.06.2014 um 15:09:37 Uhr
Goto Top
Was ich meine ist dies: Wenn jede AV Software mal in die Grütze greift, und ich daraus eine "Statistik" mache,
kommt eine horizontale Linie heraus. Und was sagt mir die?
Na die Linie würde halt anzeigen, dass der eine viele Schnellschüsse hat und der andere weniger?!
Was dann auch wieder in die Produktbeurteilung fließen könnte / würde.

Ich kann auch mit 450 Anschlägen pro Minute schreiben.. aber ob das Ergebnis dann leserlich ist?
Gut, dass wir keine Schreibmaschinen mehr haben...
face-smile

> > Also was solls. Lass die Sache ruhen und schließ den Beitrag.
> Entschuldige bitte die Störung..
Nana, mal nicht gleich so ... War ja nicht böse gemeint.face-wink
Von mir auch nicht.
face-smile
AnkhMorpork
AnkhMorpork 17.06.2014 um 15:34:09 Uhr
Goto Top
Vielleicht noch dies: Das A und O beim Vergleich von Tests sind die Testkriterien, die aber sicher nicht einheitlich sind.

Vor einiger Zeit hatte die Stiftung Warentest einen solchen Vergleich angestellt. Die Kritik (ich meine sie kam vom CCC) war, dass
a) bei Weitem nicht genug Viren mit von der Partie waren,
b) die auch schon im Rentenalter und
c) die Heuristik deaktiviert wurde.
Und genau das wird einen Vergleich immer hinken lassen.

Und schließlich: Wenn ein Vergleich über mehrere Jahre gemacht wird, muss (irgendwie) die Weiterentwicklung der Erkennungsstrategien berücksichtigt werden. Dann hinkt er schon wieder

Ich finde, das sind echte k.o-Kriterien

2 c't from
ANKH
red-eye
Lösung red-eye 17.06.2014, aktualisiert am 18.06.2014 um 07:06:37 Uhr
Goto Top
Hi zusammen,

hier sind für ein Expertenforum erstaunlich viele Antworten, die auf die Frage gar keine Antwort geben, und Ratschläge, die dem Threadopener nahelegen, daß seine Frage nicht sinnvoll sei. Ich finde seine Frage dagegen außerordentlich interessant.

Und seine Beobachtung, daß derzeit virenverseuchte "cab"-Dateien unterwegs sind, hat mich veranlaßt, diese in Spamihilators Attachmentfilter ebenfalls sperren zu lassen (nach meiner Kenntnis ist das keine Pack-Methode, die man üblicherweise für den Versand von Dateien anwendet).

Ich kann jetzt leider kein konkretes Zitat liefern (das ist sicher zu kritisieren), aber ich verfolge seit Jahren als interessierter Laie verschiedene Antivirentests, beispielsweise der Zeitschrift c't, der AV-Comparatives-Organisation und anderer. Diese haben eine Zeitlang die Reaktionszeiten der AV-Schmieden an exponierter Stelle genannt und bewertet.

Die Frage nach der Reaktionszeit der Antivirenhersteller spielte noch vor wenigen Jahren eine große Rolle. Ich erinnere mich an recht große Unterschiede. Damals waren beispielsweise Avira und Norton nicht ganz so reaktionsschnell wie etwa Bitdefender oder Kaspersky. Es konnte vorkommen, daß ein ganzes Wochenende verging, bis die Avira-Programmierer wieder neue Virensignaturen zur Verfügung stellten. Inzwischen sind alle AV-Hersteller sehr schnell. Ich habe den Eindruck, daß die meisten Hersteller inzwischen stündlich neue Informationen in ihren Virensignaturdateien bereitstellen. Cloudbasierte Outbreak-Erfassungen sind bei fast allen Security-Programmen dabei.

Daneben könnten aber aktuell auch die heuristischen, proaktiven, verhaltensbasierten etc. Komponenten immer mehr Bedeutung erlangen. Auch deshalb, weil diese Komponenten inzwischen immer besser funktionieren, wenn auch im Vergleich zu den signaturbasierten Erkennungsmethoden immer noch wesentlich zu unsicher. Bei AV-Comparatives werden sie in eigenen Untersuchungen auf die Probe gestellt. Ein beachtenswerter Bericht!

Viele Grüße,
red-eye
jsysde
jsysde 18.06.2014 um 11:00:00 Uhr
Goto Top
Moin.
Zitat von @red-eye:
[...]hier sind für ein Expertenforum erstaunlich viele Antworten, die auf die Frage gar keine Antwort geben, und Ratschläge,
die dem Threadopener nahelegen, daß seine Frage nicht sinnvoll sei. Ich finde seine Frage dagegen außerordentlich
interessant.[...]
Ähhm, entschuldige, aber auf die Frage des TO gibt es nun mal nicht "die" Antwort und den Sinn einer solchen Statistik halte ich tatsächlich für fragwürdig, da deren Aussagekraft gleich null ist - es gibt zu viele Parameter, die berücksichtigt werden müssten und zu viele "Lesarten", daher ist es schlicht Zeitverschwendung, sich damit auseinanderzusetzen.

Die (langjährige) Praxis zeigt einfach, dass es nicht (nur) auf die Geschwindigkeit ankommt, mit der Pattern-Updates ausgeliefert werden, sondern dass viel mehr Wert auf deren Qualität gelegt werden muss - und da hat jeder der "großen" AV-Hersteller in den letzten Jahren mindestens einmal "ins Klo gegriffen".

Letztlich gilt hier umso mehr: Traue keiner Statistik, die du nicht selbst gefälscht hast... face-wink

Cheers,
jsysde
Forseti2003
Forseti2003 18.06.2014 um 17:47:57 Uhr
Goto Top
Zitat von @red-eye:

Hi zusammen,

hier sind für ein Expertenforum erstaunlich viele Antworten, die auf die Frage gar keine Antwort geben, und Ratschläge,
die dem Threadopener nahelegen, daß seine Frage nicht sinnvoll sei. Ich finde seine Frage dagegen außerordentlich
interessant.

Das ist so nicht richtig, die Antworten mögen Dir eventuell nicht gefallen, aber sie sind konkrete Antworten auf seine Frage. Das Problem stellt sich nicht per se bei Frage und Antwort, sondern bei dem Thema als solches.

Und seine Beobachtung, daß derzeit virenverseuchte "cab"-Dateien unterwegs sind, hat mich veranlaßt, diese
in Spamihilators Attachmentfilter ebenfalls sperren zu lassen (nach meiner Kenntnis ist das keine Pack-Methode, die man
üblicherweise für den Versand von Dateien anwendet).

auf einem Webserver/Exchange-Server sollten generell Dateiendungen gesperrt werden, die für das betroffene System ausführbar sein können.
Bei der Installation von Exchange wird schon darauf hingewiesen, das es nur eine Grundeinstellung der gängigen Datei- und Skriptendungen enthält, CAB ist dabei nur eine weitere von vielen. Spätestens wenn Du auf den Computern der Anwender noch Java u. ä. freigibst, kannst Du fleißig den Schutz erweitern, da hierdurch auch immer mehr Spam angelangen kann, der ausführbar ist.

Ich kann jetzt leider kein konkretes Zitat liefern (das ist sicher zu kritisieren), aber ich verfolge seit Jahren als
interessierter Laie verschiedene Antivirentests, beispielsweise der Zeitschrift c't, der AV-Comparatives-Organisation und
anderer. Diese haben eine Zeitlang die Reaktionszeiten der AV-Schmieden an exponierter Stelle genannt und bewertet.

Leider sind auch die von Dir beobachteten Antivirentests nicht frei von Fehl und Tadel und je nachdem wer mehr Sponsoring in einen Test investiert, erhält auch bessere Ergebnisse. Als Beispiel, Microsoft mit seiner Freeware erhielt bei c't eine schlechte Bewertung beim Handling/Userinterface - gleichzeitig Kaspersky eine wesentlich bessere Beurteilung. Wenn man nur von diesem Aspekt mal ausgeht, stellt sich schon die Frage, wie die Bewertungen bei den Redaktionen zu Stande kommen - den MS mag eventuell eine schlechte Erkennungsrate haben, aber was Fehleinschätzungen von eigenen Systemdateien angeht oder z. Bsp. dem Interface, können viele andere AV's sich daran schon wieder eine Scheibe abschneiden.

Aber wie bei allem, wenn es um das große Geld verdienen geht, wer gut schmiert, ....

Die Frage nach der Reaktionszeit der Antivirenhersteller spielte noch vor wenigen Jahren eine große Rolle. Ich erinnere mich
an recht große Unterschiede. Damals waren beispielsweise Avira und Norton nicht ganz so reaktionsschnell wie etwa
Bitdefender oder Kaspersky. Es konnte vorkommen, daß ein ganzes Wochenende verging, bis die Avira-Programmierer wieder neue
Virensignaturen zur Verfügung stellten. Inzwischen sind alle AV-Hersteller sehr schnell. Ich habe den Eindruck, daß die
meisten Hersteller inzwischen stündlich neue Informationen in ihren Virensignaturdateien bereitstellen. Cloudbasierte
Outbreak-Erfassungen sind bei fast allen Security-Programmen dabei.

Die Reaktionszeiten sind zwar nett, helfen Dir aber präventiv bei neuen Viren erstmal gar nichts. Selbst die besten Virenscanner schaffen es nicht einen ganz neu agierenden Virus zu erkennen. Genug Zeit für einen gefährlichen Virus aber um das Firmennetzwerk binnen Sekunden lahmzulegen.


Daneben könnten aber aktuell auch die heuristischen, proaktiven, verhaltensbasierten etc. Komponenten immer mehr Bedeutung
erlangen. Auch deshalb, weil diese Komponenten inzwischen immer besser funktionieren, wenn auch im Vergleich zu den
signaturbasierten Erkennungsmethoden immer noch wesentlich zu unsicher. Bei AV-Comparatives werden sie in eigenen Untersuchungen
auf die Probe gestellt. Ein beachtenswerter Bericht!

Viele Grüße,
red-eye

Tja, Heuristiken sind eine feine Sache und der Grund, wie oben schon erwähnt, warum plötzlich MS-Systemdateien im Qurantäne-Ordner landen und der Anwender in voller Panik, weil der böse Virus ja schon sich verbreitet und demzufolge sein PC's abschmiert - gleich die Kiste neuinstalliert.

Würde mal zu gerne eine Statistik sehen über Fehlalarme von Virenscannern und deren wirtschaftlichen Folgen/Schäden.
red-eye
red-eye 18.06.2014 um 20:06:34 Uhr
Goto Top
Hi,

vielen Dank für Eure Antworten!

"Auf einem Webserver/Exchange-Server sollten generell Dateiendungen gesperrt werden, die für das betroffene System ausführbar sein können."
- Das ist nochmal ein sehr guter Tipp.

"MS mag eventuell eine schlechte Erkennungsrate haben, aber was Fehleinschätzungen von eigenen Systemdateien angeht oder z. Bsp. dem Interface, können viele andere AV's sich daran schon wieder eine Scheibe abschneiden."
- Das kann ich nur unterschreiben. Auch die Antivirensoftware, die ich gerade für mich neu erprobe, hat relativ viele Erkennungen, die eine Benutzerentscheidung verlangen. Das führt leicht zu Fehlern, sodaß ich bei den Rechnern meiner Familie wieder zu einer anderen Security-Software zurückkehren mußte.

Beste Grüße,
red-eye
wiesi200
wiesi200 18.06.2014 um 22:18:07 Uhr
Goto Top
Hallo,

Du darfst bei der ganzen Sache hier auch nicht vergessen das in Unternehmen kpl. andere Kriterien herrschen als für Privatpersonen.

In einem Unternehmen setzt man z.b schnell mal verschiedene Scann Lösungen ein um schwächen gegenseitig auszugleichen. Bei einem Gateway/Proxy währe eine gute Heuristik besser/wichtiger als schnelle Updates.
Benutzerentscheidungen sollte es eigentlich nicht geben.
Ausführbare Dateien sollten als Mailanhang grundsätzlich geblockt sein.
Für Phishing Links gibt es Contentfilter und viele Webseiten sind gesperrt.

Und wie schon geschrieben. Es ist da eher ein Glücksfall welcher Hersteller als erstes auf einen Virus aufmerksam wird. Und der wird in der Regel auch als erstes ein passendes Pattern File Bereitstellen.

Aus diesen gründen ist Sowas in einen Test aufzunehmen nicht so einfach.

Und das mit dem Testsponsering ist natürlich auch so ne Sache warum die oft nicht so objektiv sind.
Und der Letzte Test von Stiftung Warentest. naja da hat's dann sogar einen Beschwerdebrief von den Herstellen gegeben (auch von denen die gut weggekommen sind) das die Rahmenbedingungen nicht die Wirklichkeit widerspiegeln.
red-eye
red-eye 20.06.2014 um 05:26:42 Uhr
Goto Top
„in Unternehmen kpl. andere Kriterien herrschen als für Privatpersonen […] Benutzerentscheidungen sollte es eigentlich nicht geben“
- Vielen Dank für Deine weiteren guten Hinweise! face-smile