zurück zur Übersicht

Test: Endpoint Protection Solutions Report 07/2017

Die Infektion beginnt am Endpoint – in der Business-Welt bedeutet das: am Arbeitsrechner eines Mitarbeiters, einem Server oder einfach irgendeinem Gerät, das mit dem Internet verbunden ist. Um sich zu schützen können Awareness-Kampagnen und Schulungen des Personals in gewissem Umfang weiterhelfen. Aber insbesondere WannaCry hat gezeigt: moderne Malware ist nicht zwingend auf Nutzerinteraktion angewiesen.

Welche Auswirkungen ein schwacher Endpoint-Schutz haben kann, zeigten die letzten Ransomware Kampagnen in diesem Jahr: NotPetya/Petwrap und WannCry konnten durch eine längst bekannte und eigentlich bereits durch Updates geschlossene Sicherheitslücke erheblichen Schaden anrichten.

Zum Schutz von Endpoints stehen verschiedene Lösungen zur Auswahl, doch welche davon sind wirklich alltagstauglich? Hersteller werben gern mit hochprozentigen Erkennungsquoten – verschweigen dabei aber gern, dass dabei auch längst veraltete Malware in die Tests einfließt, die so „in freier Wildbahn“ längst kaum mehr vorkommt und allenfalls ein marginales Risiko darstellt. Auch das genaue Testsetup bleibt meistens ein Mysterium.

Wenn die Produktion steht ist das existenzbedrohend

Dabei ist ein funktionierender Endpoint-Schutz die Grundsicherung der IT eines jeden Unternehmens. Kompromittierte Systeme und teilweise komplette Ausfälle der IT bestimmter Opfer forderten auch vor Kurzem ihren Tribut: Der Schaden geht in die Millionenhöhe, ganz zu schweigen vom entstandenen Image-Verlust. Besonders bei betroffenen Firmen aus dem Mittelstand kann das durchaus kritische Auswirkungen haben. Der wichtigste Schutz gegen Ransomware-Kampagnen oder allgemein Malware liegt beim Endpoint selbst. Er ist das Einfallstor zum Unternehmensnetzwerk und damit zu sensiblen Daten eines Betriebs.

Ist die Malware einmal auf einem Computer gelandet kann sie sich durch „lateral Movement“, also das progressive verbreiten im Netzwerk (wie es bei NotPetya durch PsExec praktiziert wurde) überall einnisten.

Endpoints sollten also dauerhaft gesichert sein, selbst wenn sie nur gelegentlich mit dem Netzwerk verbunden sind, oder über keinen direkten Internetzugang verfügen. Es spielt dabei auch keine Rolle, ob die verwendete Lösung online oder offline betrieben wird, als On-Premises oder in der Cloud realisiert ist.

Absichern ist das Gebot der Stunde, aber womit?

Die Gefahr ist inzwischen den meisten bewusst. Jetzt ist ein guter Zeitpunkt, um Geld in Schutzmaßnahmen zu investieren. Das ist allemal besser als später einen Cybererpresser zu bezahlen – oder eine dubiose Versicherung abzuschließen (hierzu mehr im Artikel „Sichern oder Versichern?„). Der Eindruck, die Bezahlung des Lösegeldes (beispielsweise im Falle einer Ransomware-Attacke) sei günstiger, als die schwerwiegenden Konsequenzen, wenn mehrere Standorte für einige Tage lahm gelegt sind, ist trügerisch. Längst halten sich viele nicht mehr an den „Ransomware-Ehrenkodex“, der im Sinne des Geschäftsmodells vorschreibt, den Entschlüsselungskey tatsächlich zu liefern wenn die Opfer zahlen. Matthias Röhr hat dazu in seinem Artikel von Dienstag einige interessante Gedanken formuliert.

Die quälende Frage ist: Womit schützt man sich wirklich? Was können die Anbieter wirklich leisten – jenseits von Marketing-Claims und geschönten Statistiken? Hier soll der Endpoint Protection Solutions Report (EPSR) besseren Aufschluss geben. Der Test wurde herstellerunabhängig durchgeführt, von qualifizierten Cyberanalysten und Sicherheitsexperten.

Endpoint Protection Solutions Report – Der große Test geht in die zweite Runde

Der jetzt vorliegende Report ist mehr als nur eine Wiederholung des vorherigen Tests mit neuen Versionen. Das Testsetup, bei dem aktuelle Malwaresamples mutiert und auf Test-Rechnern aufgespielt und ausgeführt wurde, wurde in mehrerlei Hinsicht erweitert. Zum einen wurden mehr Malware-Samples aus mehr verschiedenen Quellen verwendet, um eine größere Bandbreite an unterschiedlichen Angriffen zu simulieren.

Zum anderen sind diesmal neue Kandidaten hinzugekommen: In der ersten Ausgabe wurden lediglich Kaspersky Endpoint Security for Business Advanced, Symantec Endpoint Protection, Palo Alto Networks Traps SOPHOS Endpoint Protection (mit Intercept X) und CylanceProtect verglichen. Diesmal sind auch McAfee ENS, TrendMicro OfficeScan Endpoint Protection sowie der Windows Defender von Microsoft mit im Test.

Außerdem wurde ein zusätzlicher Test eingeführt: Im sogenannten „Holiday Test“ wurden die Clients für fünf Tage vom Netz getrennt, und anschließend mit frischer Malware versorgt. Dieses Szenario soll den Fall simulieren, dass beispielsweise ein Mitarbeiter aus dem Urlaub zurückkommt, und beginnt seinen Rechner zu benutzen, ohne den Malwareschutz sofort zu aktualisieren.

Übrigens, Sie finden die detaillierten Testergebnisse als Whitepaper auf der Seite von iT-CUBE SYSTEMS zum kostenlosen download.

Hier gehts zu den Testergebnissen >>

 


Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer