Welche Schutz-Software auch neueste Ransomware-Angriffe erfolgreich abwehrt
Im Rahmen von Ransomware-Angriffen setzen APT-Gruppen eine Vielzahl von Taktiken ein, um ihre Ziele zu erreichen. AV-TEST hat kürzlich Schutzprodukte für private Anwender und Unternehmen in zehn gängigen Szenarien getestet, die die Techniken " .Net Reflective Assembly loading", " .Net Dynamic P/Invoke" und "AMSI-Bypass" umfassen.
Die Ergebnisse der Advanced Threat Protection-Tests waren stark umstritten, da einige Programme nicht gegen alle Angriffstechniken bestehen konnten.
Ein Ransomware-Angriff kann für Unternehmen verheerende Folgen haben, wenn die Systeme verschlüsselt werden und die APT-Gruppen ihre Erpressungstaktiken einsetzen. Eine schnelle Erkennung und Abwehr der Angriffe ist daher entscheidend, um Schäden zu begrenzen. In einem Advanced Threat Protection-Test hat das unabhängige Prüflabor AV-TEST kürzlich verschiedene Endpoint-Security-Lösungen für Unternehmen unter die Lupe genommen, um zu überprüfen, wie gut sie gegen die Angriffstechniken von Ransomware gewappnet sind.
Um ein besonderes Schutz-Zertifikat zu erhalten, muss eine Lösung am Ende des Tests einen Schutz-Score erreichen, der mindestens 75 Prozent der maximalen Punktzahl von 30 Punkten entspricht, also 22,5 Punkte. Die Produkte für Privatanwender erhalten dann das Zertifikat „Advanced Certified“, während die Lösungen für Unternehmen das Zertifikat „Advanced Approved Endpoint Protection“ erhalten.
Im Test mussten die Produkte in zehn verschiedenen Szenarien die Angriffstechniken erkennen und die Ransomware abwehren. Jede vollständige Abwehr wurde mit drei Punkten belohnt. Die Ergebnisse waren unterschiedlich, wobei einige Produkte gut abschnitten und andere Schwächen aufwiesen.
Teils überraschende Testergebnisse
Die Endpoint-Security-Lösungen von Bitdefender (in den Versionen Endpoint und Ultra), Check Point, G DATA, Kaspersky (in den Versionen Endpoint und Small Office Security) sowie Xcitium konnten alle Angriffsszenarien erkennen und die Ransomware erfolgreich abwehren. Diese Produkte erhielten die volle Punktzahl von 30 Punkten für den Schutz-Score.
Symantec und Microsoft konnten ebenfalls alle zehn Angriffsszenarien erkennen, aber in einem Fall gab es Probleme: Sie erkannten den Angriff und auch die Ransomware, aber bei Symantec wurden einzelne Dateien verschlüsselt, und bei Microsoft wurde das gesamte System verschlüsselt. Symantec erhielt 29 Punkte und Microsoft 28,5 Punkte für den Schutz-Score.
Die Lösungen von AhnLab, Sangfor und WithSecure konnten in einem Fall weder die Angriffstechnik noch die Ransomware erkennen. Das System wurde am Ende verschlüsselt, und alle Produkte verloren die vollen drei Punkte für diesen Fall, was zu einem Schutz-Score von 27 Punkten führte.
Trellix und VMware schnitten am schlechtesten ab. Trellix konnte neun von zehn Angriffsszenarien erkennen, aber in einem Fall konnte sich die Ransomware sofort voll entfalten, und in zwei weiteren Fällen ließ sich eine Teilverschlüsselung der Daten nicht verhindern. Insgesamt erhielt Trellix 24 Punkte als Schutz-Score.
VMware konnte in zwei Fällen den Angriff nicht erkennen. In einem dritten Fall wurden Angriff und Ransomware erkannt, aber am Ende blieb ein gefährliches VB-Script im Autostart des Systems. Wenigstens wird nichts verschlüsselt. Im Endergebnis erhielt VMware nur 22,5 Punkte für den Schutz-Score und erreichte damit nur knapp das erforderliche Niveau für das Advanced-Schutz-Zertifikat.
Den vollständigen Bericht mit allen Erläuterungen und detaillierten Ergebnissen gibt es hier.
Die Hälfte der getesteten Lösungen konnte nicht ganz überzeugen. Aber auch der schwächste Teilnehmer erhielt noch knapp das Advances-Schutz-Zertifikat.