Business Security Test 2019 (August - November)

Datum	November 2019
Sprache	English
Letzte Revision	15. Dezember 2019

Mit Real-World-Schutz, Malware-Schutz, Leistung und verbesserten Real-World-Tests & Produktbewertungen

Datum der Veröffentlichung	2019-12-16
Datum der Überarbeitung	2019-12-15
Prüfzeitraum	August - November 2019
Anzahl der Testfälle	844 Real-World 1.278 Schutz vor Malware
Online mit Cloud-Konnektivität
Update erlaubt
False-Alarm Test inklusive
Plattform/OS	Microsoft Windows

Geprüfte Produkte
Test-Ergebnisse
Produkt Reviews
Awards

Einführung

Dies ist der zweite Halbjahresbericht unserer Business-Haupttestreihe 2019, der die Ergebnisse des Business-Real-World-Protection-Tests (August-November), des Business-Malware-Protection-Tests (September), des Business-Performance-Tests (Oktober) sowie die Produktbewertungen enthält.

Management Summary

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Sie müssen sich entscheiden, ob Sie ein Paket für ein lokales Netzwerk mit Server-Installation oder eine vollständig cloudbasierte Lösung wählen. Beides hat seine Vor- und Nachteile, und vieles hängt von Ihrer bestehenden Infrastruktur und Ihren Arbeitsmethoden ab. Es gibt keinen Grund, warum ein Ansatz von Natur aus besser ist als ein anderer.

Am größeren Ende des Marktes bieten CrowdStrike, Endgame und FireEye allesamt außergewöhnlich leistungsfähige Werkzeuge. Wie gut sie zu Ihrem Unternehmen passen, sowohl wie es heute ist als auch wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet. Endgame bietet gleichwertige High-End-Fähigkeiten für große Unternehmen.

McAfee bietet eine Konsole mit umfangreichen Funktionen, die neben dem Endpunktschutz auch zur Verwaltung vieler anderer Produkte verwendet werden kann. Dies bedeutet, dass eine gewisse Schulung und Einarbeitung erforderlich ist, um das Beste daraus zu machen, aber die investierte Zeit wird sich lohnen. Daher wird sie am besten in Unternehmen eingesetzt, die über die entsprechenden IT-Ressourcen verfügen, um die Vorteile der Konsole voll auszuschöpfen.

Microsoft's Intune deckt den Bereich vom KMU-Markt bis zum größten globalen Unternehmen ab, wie man es erwarten würde, da Microsoft es intern einsetzt. Es verfügt über eine übersichtliche, leicht verständliche Benutzeroberfläche und lässt sich hervorragend in Active Directory und die gesamte Palette der richtliniengesteuerten AD-Lösungen integrieren. Für viele Kunden, die sich auf die Microsoft-Unternehmensplattform konzentrieren, bietet diese Lösung als Teil einer vollständig verwalteten Gesamtlösung erhebliche Vorteile.

Cisco bietet ein Produkt mit einer Fülle von Funktionen. Die gut gestaltete Konsole macht es leicht, das Wesentliche zu finden, auch wenn es etwas Einarbeitungszeit braucht, um das Produkt optimal zu nutzen.

SparkCognition präsentiert anspruchsvolle Funktionen in einer übersichtlichen, leicht zu navigierenden Konsole.

Kaspersky und Sophos bieten leistungsstarke, einfach zu verwaltende Produkte, die sich für KMUs und größere Unternehmen gleichermaßen eignen.

Für kleinere Unternehmen bieten Avast, Bitdefender, ESET, Fortinet, K7, Panda und Seqrite starke und kohärente Lösungen. Sie alle sind auch für größere Unternehmen geeignet und ermöglichen so ein Wachstum des Unternehmens.

Die Einfachheit und Übersichtlichkeit von VIPRE macht es zu einer sehr guten Wahl für kleinere Unternehmen mit begrenzten IT-Ressourcen, obwohl es viel Raum für Wachstum lässt.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1903 64-bit getestet:

Produkt-Einstellungen

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und so haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren. Etwa die Hälfte der Hersteller liefert ihre Produkte mit optimalen Standardeinstellungen aus, die sofort einsatzbereit sind, und wir haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung war bei allen Produkten aktiviert. Wir beziehen derzeit keine PUA in unsere Malware-Tests ein.

Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen) aufgeführt:

Bitdefender: "HyperDetect", "Device Sensor" und "EDR-Sensor" deaktiviert.

Cisco: alles aktiviert.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive".

Endgame: Aktivierte Software- und Hardware-Schutzoptionen: alle aktiviert; Geschützte Anwendungen: "Browser", "Microsoft Suite" (einschließlich Fltdr.exe und EQNEDT32.exe), "Java" und "Adobe". Malware (beim Ausführen und beim Schreiben): On – Prevent mode; Process Injection: “On – Prevent mode”; Optionen: alle aktiviert; Schwellenwert "Aggressiv". Schädliche Verhaltensweisen: alle aktiviert; Credential Dumping: aktiviert; Ransomware: deaktiviert. Beachten Sie, dass die Einstellungen in der neueren Version umbenannt/neu geordnet wurden.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Real-Time protection, FortiSandbox, Webfilter und Application Firewall (für die Verwendung von Detect & Block Exploits) aktiviert.

McAfee: "Email attachment scanning" aktiviert; "Real Protect" aktiviert und auf Empfindlichkeit "high" eingestellt, "read/write scan of Shadow Copy Volumes" deaktiviert, "Access Protection" und "Exploit Prevention" deaktiviert.

Microsoft: Cloud-Schutzniveau auf "High" eingestellt.

Sophos: "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors" Einstellungen aktiviert.

Trend Micro: Verhaltenskontrolle: "Monitor new encountered programs downloaded through web" aktiviert; "Certified Safe Software Service for Behaviour monitoring" aktiviert; "Smart Protection Service Proxy" aktiviert; "Use HTTPS for scan queries" aktiviert; Sicherheitsstufe der Web-Reputation auf "Medium" gesetzt; "Send queries to Smart Protection Servers" deaktiviert; "Block pages containing malicious script" aktiviert; Echtzeit-Scan eingestellt auf "All scannable files", "Scan compressed files to Maximum layers 6"; "CVE exploit scanning for downloaded files" aktiviert; "ActiveAction for probable virus/malware" auf Quarantäne eingestellt; Bereinigungstyp auf "Advanced cleanup" eingestellt und "Run cleanup when probable virus/malware is detected" aktiviert; "Block processes commonly associated with ransomware" aktiviert; "Anti-Exploit Protection" aktiviert; alle "Suspicious Connection Settings" aktiviert und auf Blockieren eingestellt.

Avast, ESET, K7, Kaspersky, Panda, Seqrite, Symantec, VIPRE: Standardeinstellungen.

Informationen über zusätzliche Drittanbieter-Engines/Signaturen, die von einigen der Produkte verwendet werden: Cisco, FireEye, Seqrite und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen).

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen. Dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen, beweist ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder z. B. über das lokale Netzwerk oder ein Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu jedem der Schutztests wird ein False Positives Test durchgeführt, um zu prüfen, ob ein Produkt legitime Software fälschlicherweise als schädlich identifiziert.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Dieser zweite Halbjahresbericht 2019 enthält auch die Ergebnisse des neuen Enhanced Real-World Test (Schutz vor fortgeschrittenen persistenten Bedrohungen), der die Produkte hinsichtlich ihrer Fähigkeit bewertet, anspruchsvolle Angriffe wie dateilose Bedrohungen und Exploits zu blockieren. Vor allem Unternehmen sind häufig Ziel solcher Angriffe. Diese Art von Audit wurde häufig von Analysten und CISOs gefordert. Folglich wird sie ein wertvoller Indikator dafür sein, ob die Sicherheitsprodukte für Unternehmen ihren Ansprüchen gerecht werden.

Im Jahr 2020 wird der erweiterte Praxistest ein separater Test sein (nicht Teil der Haupttestreihe), der einen eigenen Bericht enthält.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (August-November)

Die nachstehenden Ergebnisse basieren auf einem Testsatz, der aus 844 Testfällen (wie bösartigen URLs) besteht, die von Anfang August 2019 bis Ende November 2019 getestet wurden.

	Blockiert	User Dependent	Kompromitiert	SCHUTZQUOTE [Blocked % + (User Dependent %)/2]*	False-Positives (FPs)
Panda	844	–	–	100%	15
Bitdefender	844	–	–	100%	25
Microsoft	837	7	–	99.6%	45
Kaspersky, Sophos	840	–	4	99.5%	0
ESET	840	–	4	99.5%	1
VIPRE	840	–	4	99.5%	4
K7	836	–	8	99.1%	3
Seqrite	828	14	2	98.9%	16
Avast	832	–	12	98.6%	1
Fortinet	832	–	12	98.6%	4
McAfee	832	–	12	98.6%	5
SparkCognition	828	–	16	98.1%	1
Endgame	821	–	23	97.3%	26
Cisco	820	–	24	97.2%	1
CrowdStrike	814	–	30	96.4%	6
FireEye	772	–	72	91.5%	0

Malware Protection Test (September)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False-Positives (False-Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Wie erwartet, hatten alle getesteten Produkte Null Fehlalarme bei gängiger Unternehmenssoftware.

	Malware-Schutzrate	Fehlalarme bei gängiger Business-Software
Avast. SparkCognition, Trend Micro	100%	0
Microsoft, Panda, Seqrite	99.9%	0
Bitdefender, Endgame, K7, McAfee, Sophos	99.8%	0
Symantec, VIPRE	99.7%	0
Cisco	99.5%	0
Fortinet, Kaspersky	99.4%	0
ESET	99.3%	0
FireEye*	96.2%	0
Crowdstrike	96.0%	0

*Während des Malware-Protection-Tests wurde ein FireEye-Produktfehler entdeckt, der dazu führte, dass einige Erkennungen nicht durchgeführt wurden. Der Fehler wurde jetzt behoben.

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit Non-Business Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben.

FP-Rate	Anzahl der FPs auf Non-Business-Software
Sehr niedrig	0 - 5
Low	6 - 15
Mittel/Durchschnitt	16 - 25
High	26 - 50
Sehr hoch	51 - 100
Auffallend hoch	> 100

	FP-Rate mit Non-Business-Software
Avast, Bitdefender, Cisco, ESET, Fortinet, K7, Kaspersky, Seqrite, Symantec	Sehr niedrig
CrowdStrike, FireEye, McAfee, Microsoft, Panda, Sophos	Low
Endgame, Trend Micro, VIPRE	Medium
SparkCognition	High
–	Sehr hoch
–	Auffallend hoch

Leistungstest (Oktober)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformanz im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter	Kopieren von Dateien		Archivieren / Wiederherstellen	Installieren / Deinstallieren von Applications	Starten von Anwendungen		Download von Dateien	Browsen von Websites
Anbieter	Erster Durchlauf	Nachfolgender Durchlauf	Archivieren / Wiederherstellen	Installieren / Deinstallieren von Applications	Erster Durchlauf	Nachfolgender Durchlauf	Download von Dateien	Browsen von Websites
Avast
Bitdefender
Cisco
CrowdStrike
Endgame
ESET
FireEye
Fortinet*
K7
Kaspersky
McAfee
Microsoft
Panda
Seqrite
Sophos
SparkCognition
VIPRE

*Fortinet hat uns mitgeteilt, dass Fehler in der getesteten Version zu einer erhöhten Systembelastung geführt haben. Die Möglichkeit, einige neu eingeführte Einstellungen in Version 6.2.0 zu ändern (die eine erhöhte Auswirkung auf die Performance haben), wird im nächsten Build (6.2.2) hinzugefügt, ebenso wie die Fehlerbehebungen.

Key

Langsam

Mittelmäßig

Schnell

Sehr schnell

PC Mark Tests

Um einen branchenweit anerkannten Performance Test durchzuführen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i7-8550U Rechner mit 8GB RAM und SSD-Laufwerk

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

		AV-C Score	PC Mark Score	Impact Score
1.	ESET	90	99.3	0.7
2.	Avast	90	97.9	2.1
3.	K7	88	99.3	2.7
4.	Kaspersky	88	98.1	3.9
5.	Endgame	85	99.0	6.0
6.	McAfee	85	98.5	6.5
7.	Panda	85	97.8	7.2
8.	CrowdStrike	85	97.5	7.5
9.	Bitdefender	83	98.9	8.1
10.	Seqrite	83	98.6	8.4
11.	VIPRE	80	98.8	11.2
12.	Microsoft	80	98.6	12.4
13.	SparkCognition	80	97.0	13.0
14.	Sophos	70	98.4	21.6
15.	FireEye	70	98.3	21.7
16.	CISCO	70	97.2	22.8
17.	Fortinet	65	97.6	27.4

Erweiterter Praxistest (August-November)

Nachfolgend finden Sie die Ergebnisse für die 15 in diesem Test verwendeten Angriffe. Bitte beachten Sie, dass die Ergebnisse nur für die verwendeten Produktversionen und Einstellungen gelten.

Test-Szenarien

	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	FPs	Ergebnis
Avast																N	14
Bitdefender																N	15
CrowdStrike																N	12
ESET																N	15
FireEye																N	12
Kaspersky																N	15
Sophos																N	9

Key
	Threat erkannt, keine C2-Session, System geschützt	1 Punkt
	Kein Alert angezeigt, aber keine C2-Session aufgebaut, System geschützt	1 Punkt
	Threat nicht erkannt, C2-Session aufgebaut	0 Punkte

Unserer Meinung nach sollte das Ziel eines jeden AV/EPP/EDR-Systems darin bestehen, APTs oder andere Malware so früh wie möglich zu erkennen und zu verhindern. Mit anderen Worten: Wenn die APT vor, bei oder kurz nach der Ausführung erkannt wird und somit die Öffnung eines Befehls- und Kontrollkanals verhindert wird, besteht keine Notwendigkeit, Aktivitäten nach der Ausnutzung zu verhindern. Ein guter Einbrecheralarm sollte ausgelöst werden, wenn jemand in Ihr Haus einbricht, und nicht erst, wenn er anfängt, Dinge zu stehlen.

Ein Produkt, das bestimmte Funktionen (z. B. E-Mail-Anhänge, Skripte) in unserem FP-Test blockiert, würde nicht zertifiziert werden. Keines der getesteten Produkte zeigte jedoch ein solches Verhalten in den Fehlalarm-/Funktionsblockierungsszenarien, die in diesem speziellen Test verwendet wurden.

Wenn ein benutzerabhängiger Alarm angezeigt würde, würden wir einen halben Punkt vergeben. In diesem speziellen Test gab es jedoch keine solchen Fälle.

Beobachtungen zu Unternehmensprodukten

In diesem Abschnitt berichten wir über alle zusätzlichen Informationen, die für die Leser von Interesse sind. Ein Beispiel könnte ein Programm mit EDR-Funktionen sein, das eine Art von Erkennung meldet, ohne sie tatsächlich zu blockieren. In diesem Test gab es zwar keine derartigen Fälle, aber andere interessante Punkte werden im Folgenden erwähnt.

Avast: In drei Fällen gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

Bitdefender: Fast alle Erkennungen erfolgten beim Zugriff, d.h. bevor die Bedrohung ausgeführt wurde.

CrowdStrike: Alle Erkennungen erfolgten während der Ausführung der Bedrohungen. Die Fälle #4, #5 und #11 zeigten keine Warnung auf dem Client (obwohl sie blockiert wurden), wurden aber in der Web-Konsole gemeldet.

ESET, Kaspersky: Alle Bedrohungen wurden blockiert: die meisten während der Ausführung und einige wenige, bevor die Bedrohung ausgeführt wurde (On-Access).

FireEye: In einem Fall gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

Sophos: Die meisten Bedrohungen wurden während der Ausführung blockiert.

Interessierte Leser können den vollständigen Bericht hier finden: https://www.av-comparatives.org/tests/enhanced-real-world-test-2019-enterprise/

Produkt Reviews

Auf den folgenden Seiten finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Rezensionen keine Testergebnisse berücksichtigen. Wir bitten die Leser daher, sich sowohl die Rezension als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir betrachten zunächst die Art des Produkts, d.h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Die Überprüfung geht dann zur laufenden Nutzung über, d.h. zu den alltäglichen Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutz-Software. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden.

Avast Business Antivirus Pro Plus

Fazit

Avast Business Antivirus Pro Plus ist ein starkes Cloud-basiertes Produkt, das sich an kleine bis mittlere Unternehmen richtet. Die Benutzeroberfläche ist klar und übersichtlich, und die Standardeinstellungen sind für kleinere Unternehmen sinnvoll. Ein nicht technisch versierter Benutzer sollte keine Probleme haben, das Programm zu installieren und die Ereignisse zu verfolgen. Es ist wahrscheinlich eher für kleinere Unternehmen gedacht. Dennoch verfügt es über Gruppierungs- und Profilfunktionen zum Schutz größerer Bestände. Uns gefiel die unkomplizierte Art der Plattform.

Über das Produkt

Avast Business Antivirus Pro Plus verwendet eine Cloud-basierte Konsole zur Verwaltung der Endpunkt-Software. Das Produkt schützt Windows-Clients, Windows-Server und macOS-Geräte. Zu den Funktionen für Windows-Clients gehören Anti-Spam, Datenvernichtung, ein VPN sowie Daten- und Identitätsschutz. Für Windows Server werden Exchange- und SharePoint-Sicherheit angeboten. Eine Patch-Verwaltungsfunktion ist für alle Windows-Computer enthalten. Für die automatische Installation von Patches ist jedoch eine Avast Patch Management-Lizenz erforderlich.

Start und Betrieb

Es muss keine Serverkomponente installiert werden, da die Anwendung über eine cloudbasierte Konsole ausgeführt wird. Sie erstellen das Konto, wenden die entsprechende Lizenzierung an und fügen dann Geräte hinzu. Die Bereitstellung kann per Remote-Push, durch Herunterladen eines Installationspakets oder durch Senden eines Download-Links per E-Mail erfolgen. Das Installationsprogramm wird in zwei Größen angeboten, die beide sehr einfach zu bedienen sind. Es gibt eine Light-Version mit einer Größe von etwa 6 MB, bei der es sich lediglich um einen Downloader handelt. Die Vollversion ist rund 300 MB groß und kann offline ausgeführt werden. Die Light-Version ist ideal für kleinere Netzwerke, die Vollversion ist besser für größere Installationen geeignet, um den Internetverkehr zu minimieren. Der Assistent bietet die Möglichkeit, vorhandene AV-Produkte der Konkurrenz zu entfernen.

Alltägliches Management

Auf der Serverkonsole gibt es auf der linken Seite eine Reihe von Hauptmenüs. Diese sind: Dashboard, Notifications, Devices, Tasks, Patches, Device Settings, Reports, Subscriptions. Help & Support und General Settings befinden sich am unteren Rand.

Die Standardseite Dashboard gibt einen umfassenden und klaren Überblick über die Installation und ihren Verlauf. Sie sehen, wie viele Lizenzen Sie bereitgestellt haben, wie viele noch auf ihre Aktivierung warten, wann der letzte Scan durchgeführt wurde und wie viele Bedrohungen gefunden wurden. Die Statusanzeige am oberen Rand der Seite warnt vor Problemen, z. B. vor veralteten Computern oder Malware-Funden. Für den nicht fachkundigen Administrator ist dies ein einfacher und beruhigender Überblick. Es gibt auch Zusammenfassungen der Situationen bei der Patch-Verwaltung, der Betriebssystemverteilung und der Erkennung von Bedrohungen.

Notifications fasst alle wichtigen Ereignisinformationen an einem Ort zusammen. Sie können ein Malware-Ereignis auch von hier aus in die Virus Chest (Quarantäne) auf dem betroffenen Computer übertragen. Der Bereich Notifications Settings ist umfassend. Hier können Sie festlegen, wie Benachrichtigungen in einer Vielzahl von Szenarien gehandhabt werden sollen. Besonders gut gefallen hat uns die Option "“if not read then send email notification" (Wenn nicht gelesen, dann E-Mail-Benachrichtigung senden), die für jede Einstellung auf "instantly" (sofort), "batched end of week" (gebündelt am Ende der Woche) oder "never" (nie) eingestellt werden kann. Damit haben Sie die Kontrolle darüber, wie Sie bei einem Ereignis benachrichtigt werden. So können Sie sicherstellen, dass Sie nicht mit Informationen überschwemmt werden, die nicht unmittelbar relevant sind.

Die Registerkarte Devices (Screenshot oben) zeigt die Konfiguration jedes Geräts, die Lizenzierung und die Zeit zudem das Gerät zuletzt gesehen wurde. Sie können Geräte in Gruppen zusammenfassen und Einstellungen und Richtlinien über diese Gruppe anwenden.

Tasks ist ein leistungsfähiger Planerbereich. Hier kann der Administrator Aufgaben erstellen, um bestimmte Ereignisse auszuführen. Führen Sie zum Beispiel jeden Tag um 14 Uhr einen kurzen Scan durch. Sie können damit auch eine kurze Nachricht an Ihre Geräte senden, das Gerät aktualisieren und es auch herunterfahren. Es handelt sich um einen einfachen Aufgabenmanager, der jedoch nützliche Funktionen für kleine Büros und Organisationen bietet.

Zum Zeitpunkt der Erstellung dieses Artikels (September 2019) war Patches als "neue" Funktion in der Menüspalte der Konsole markiert. Sie überwacht den Status der installierten Anwendungen und weist darauf hin, wenn neuere Versionen verfügbar sind. Dabei werden sowohl Anwendungen von Microsoft als auch von Drittanbietern berücksichtigt. Die Statusanzeige am oberen Rand des Dashboards warnt, wenn auf einem Gerät kritische oder unkritische Patches fehlen. Über einen Link gelangen Sie auf die Seite Patches, auf der Sie sehen, welche Geräte betroffen sind. Wenn Sie auf ein Gerät klicken, wird eine Liste der fehlenden Patches angezeigt, zusammen mit praktischen Download-Links.

Mit Device Settings können Sie eine Einstellungsvorlage erstellen, die dann auf eine Gruppe von Geräten angewendet wird. Hier haben Sie Zugriff auf alle Kontrollfunktionen für das Gerät. So können Sie festlegen, dass die Dateiprüfung eingeschaltet ist, der Antispam-Dienst läuft, die Firewall aktiviert sein muss usw. Über diese Vorlagen können Sie Richtlinien auf Geräte anwenden.

Die Registerkarte Reports bietet Zugang zu allen Statistiken über das System und seine Benutzer. Sie können sich hier einen Überblick verschaffen und es ist ein besserer und umfassenderer Überblick als die Dashboard-Ansicht. Unser einziger Kritikpunkt ist, dass wir keine Möglichkeit gefunden haben, ein PDF dieser Seite per E-Mail zu versenden oder in einer Datei zu speichern, was ein nützlicher Tagesbericht gewesen wäre.

Wie zu erwarten, zeigt Subscriptions die Produktlizenzen an, die Sie derzeit besitzen, und wie viele davon Sie genutzt haben.

Help & Support bietet Links zu verschiedenen Support- und Dokumentationsartikeln, darunter ein Benutzerhandbuch für die Konsole. Diese ist übersichtlich, umfassend und gut erschlossen, auch wenn es an Screenshots mangelt.

Unter General Settings können Sie die Systemzeitzone ändern. Sie können auch einen lokalen Server für Bereitstellungen und Updates erstellen und die Datenbank einer anderen Avast-Konsole importieren.

Software zum Schutz von Windows-Endgeräten

Die Windows-Desktop-Schutzsoftware bietet eine breite Palette von Funktionen, ähnlich wie eine normale Desktop-Lösung für Endbenutzer. Die Benutzer können Scans und Updates durchführen. Die zentralen Richtlinien bestimmen, was sie ändern oder anpassen können. Standardmäßig können Windows-Standardbenutzerkonten alle Schutzfunktionen deaktivieren. Admins können dies verhindern, indem sie die Kennwortschutzfunktion in der Konsole aktivieren.

Malware wird bei der Dateikopie erkannt und unter Quarantäne gestellt. Ein Beispiel für eine Warnung ist unten abgebildet. Der Benutzer kann keine anderen Maßnahmen ergreifen, als die Warnung zu schließen.

Die grafische Benutzeroberfläche der Server-Schutzsoftware ist mit der ihres Desktop-Pendants identisch.

Bitdefender Endpoint Security Elite