Business Security Test 2020 (August - November)

Datum	November 2020
Sprache	English
Letzte Revision	11. Dezember 2020

Mit Real-World Protection-, Malware Protection-, Performance- Tests und Produktbewertungen

Datum der Veröffentlichung	2020-12-15
Datum der Überarbeitung	2020-12-11
Prüfzeitraum	August - November 2020
Anzahl der Testfälle	801 Real-World 1.603 Schutz vor Malware
Online mit Cloud-Konnektivität
Update erlaubt
False-Alarm Test inklusive
Plattform/OS	Microsoft Windows

Geprüfte Produkte
Test-Ergebnisse
Produkt Reviews
Awards

Einführung

Dies ist der zweite Halbjahresbericht unserer Business-Haupttestreihe 2020. Er enthält die Ergebnisse des Business Real-World Protection Test (August-November), des Business Malware Protection Test (September), des Business Performance Test (November) sowie der Produktbewertungen.

Management Summary

AV-Security-Software gibt es für alle Unternehmensgrößen und -typen. Was für das untere Ende des KMU-Marktes (kleines bis mittleres Unternehmen) gut geeignet ist, wird wahrscheinlich nicht ganz so gut zu den größeren Unternehmen passen.

Daher ist es zuerst entscheident, das Geschäftsumfeld zu verstehen, in dem die Software eingesetzt werden soll, damit man eine richtige und fundierte Wahl treffen kann.

Beginnen wir am unteren Ende des Marktes. Dies sind Umgebungen, die oft aus Kleinstunternehmen hervorgegangen sind und in denen AV-Produkte für den Hausgebrauch durchaus angemessen gewesen sein könnten. Aber sobald Sie anfangen, über ein paar Rechner hinaus zu skalieren, rückt die Rolle des AV-Managements in den Vordergrund. Dies gilt vor allem, wenn man den geschäftlichen und rufschädigenden Schaden bedenkt, der durch einen signifikanten und unkontrollierten Malware-Ausbruch entstehen kann.

Im unteren Bereich der KMU gibt es jedoch nur selten einen IT-Manager oder IT-Mitarbeiter vor Ort. Oft fällt die Aufgabe, sich um die Computer zu kümmern, einem interessierten Laien zu, dessen Hauptrolle im Unternehmen die eines Seniorpartners ist. Dieses Modell findet man häufig im Einzelhandel, in der Buchhaltung und in der Rechtsbranche. In diesem Bereich ist es von entscheidender Bedeutung, einen guten Überblick über alle Computerressourcen zu haben und sich sofort Klarheit über den Status des Schutzes zu verschaffen, und zwar auf klare und einfache Weise. Die Abhilfe kann darin bestehen, einen Rechner offline zu schalten, den Benutzer auf ein Ersatzgerät zu verlegen und zu warten, bis ein IT-Experte vor Ort ist, um Bereinigungs- und Integritätsprüfungsaufgaben durchzuführen. Auch wenn die Benutzer über den Status informiert werden, ist die Verwaltung der Plattform eine Aufgabe für einen oder höchstens einige wenige leitende Mitarbeiter innerhalb des Unternehmens, die oft durch übergeordnete Anforderungen an die Vertraulichkeit der Daten innerhalb des Unternehmens bestimmt wird.

In größeren Unternehmen wird erwartet, dass sie vor Ort über IT-Spezialisten verfügen, und in noch größeren Unternehmen über Mitarbeiter, deren Aufgabe ausdrücklich in der Netzwerksicherheit besteht. Hier wird der CTO nach einfachen Echtzeit-Statistiken und einem Management-Überblick suchen, die es ermöglicht, die Daten zu analysieren und sich auf Probleme zu konzentrieren, wenn diese auftreten. Die Software-Ingenieure, die dafür verantwortlich sind, dass das AV-Paket korrekt und angemessen geladen und auf neuen Rechnern installiert wird, spielen dabei eine wichtige Rolle. Fast ebenso wichtig ist es, zu wissen, wann ein Rechner "aus dem Raster fällt", um sicherzustellen, dass sich keine ungeschützten Geräte im LAN befinden. Schließlich gibt es mit ziemlicher Sicherheit einen Helpdesk als erste Verteidigungslinie, der für die Überwachung und Verfolgung von Malware-Aktivitäten und deren angemessene Eskalation zuständig ist. Sie könnten zum Beispiel einen Lösch- und Neustart auf einem kompromittierten Computer veranlassen.

Ausserdem gibt es in dieser größeren, mehrschichtigen Hierarchie noch die Aufgabe der Abhilfe und Nachverfolgung. Zu wissen, dass man eine Malware-Infektion hat, ist nur der Anfang. Der Umgang damit und die Fähigkeit, den Infektionsweg bis zum ursprünglichen Infektionspunkt zurückzuverfolgen, ist wohl die wichtigste Funktion in einem größeren Unternehmen. Wenn eine Schwachstelle in der Netzwerksicherheit und in der Gestaltung der Betriebsabläufe nicht eindeutig identifiziert werden kann, dann ist es wahrscheinlich, dass ein solcher Verstoß irgendwann in der Zukunft erneut auftritt. Für diese Aufgabe sind umfassende Analysen und forensische Werkzeuge erforderlich, wobei der Schwerpunkt auf dem Verständnis des zeitlichen Ablaufs eines Angriffs oder einer Infektion durch einen kompromittierten Computer liegt. Die Bereitstellung dieser Informationen in kohärenter Form ist nicht einfach. Diese erfordert den Umgang mit riesigen Datenmengen und die Instrumente zum Filtern, Kategorisieren und Hervorheben von Problemen, während sie sich entwickeln, oft in Echtzeit.

Aufgrund dieser grundlegenden Unterschiede ist es von entscheidender Bedeutung, die geeignete Software für das Unternehmen und das Risikoprofil, dem es ausgesetzt ist, zu ermitteln. Eine Unterspezifizierung führt zu Verstößen, die nur schwer zu bewältigen sind. Eine Überspezifizierung führt zu einem System, das so komplex ist, dass niemand wirklich versteht, wie es eingesetzt, verwendet und gewartet werden soll, und das Unternehmen ist dann aufgrund von Missverständnissen und mangelnder Compliance angreifbar.

Ein entscheidender Punkt für einige Unternehmen ist die Frage, ob sie sich für eine cloudbasierte oder eine serverbasierte Konsole entscheiden. Erstere lässt sich fast sofort einrichten und macht in der Regel eine zusätzliche Konfiguration der Client-Geräte überflüssig. Letztere erfordert mehr Arbeit für den Administrator, bevor alles betriebsbereit ist, einschließlich der Konfiguration von Clients und der Unternehmensfirewall. Dies bedeutet jedoch, dass sich die gesamte Einrichtung in den Räumlichkeiten des Unternehmens befindet und unter der direkten Kontrolle des Administrators steht. Für kleinere Unternehmen mit begrenztem IT-Personal sind cloudbasierte Konsolen möglicherweise eine einfachere Option. Bitte beachten Sie, dass die Hersteller in einigen Fällen sowohl cloudbasierte als auch serverbasierte Optionen für die Verwaltung ihrer Produkte anbieten. Hinweise auf den Konsolentyp beziehen sich hier nur auf das spezifische Produkt, das in unseren Tests verwendet wurde. Wenden Sie sich bitte an den jeweiligen Hersteller, um zu erfahren, ob andere Konsolentypen verfügbar sind.

Avast, K7 und Vipre bieten, einfach zu bedienende, cloudbasierte Konsolen an, die sich besonders für kleinere Unternehmen ohne Vollzeit-IT-Personal eignen würden. All diese würden sich auch für größere Unternehmen eignen und bieten so die Möglichkeit mit dem Unternehmen zu wachsen.

Fortinet, G Data und Kaspersky verwenden serverbasierte Konsolen, die für erfahrene Windows-Profis sehr vertraut und einfach sind. Sie eignen sich für den Einsatz im KMU-Bereich aufwärts. Bitte beachten Sie, dass Fortinet eine zusätzliche cloudbasierte Konsole für sein FortiEDR-Produkt anbietet. Kaspersky bietet eine cloudbasierte Konsole als Alternative zum serverbasierten Produkt an.

Für Unternehmen derselben Größe, die nach cloudbasierten Verwaltungslösungen suchen, bieten Bitdefender, ESET, Microsoft, Panda und Sophos allesamt starke und kohärente Lösungen.Acronis, Cybereason, und VMware Carbon Black erfordern zwar etwas mehr Einarbeitungszeit, sind aber ebenfalls sehr gut für diese Kategorie von Unternehmen geeignet.

Am größeren Ende des Marktes bieten Cisco, CrowdStrike, Elastic, FireEye und SparkCognition allesamt außerordentlich leistungsfähige Tools. Wie gut sie zu Ihrem Unternehmen passen, wie es heute ist und wie Sie es in den nächsten fünf Jahren ausbauen wollen, muss sorgfältig geplant werden. Sowohl in der Planungs- als auch in der Einführungsphase sind externe Fachleute und Berater gefragt, und alle diese Instrumente erfordern einen erheblichen Schulungs- und Betreuungsaufwand. Sie bieten jedoch ein Leistungsniveau, das sich von den kleineren Paketen völlig unterscheidet.

Geprüfte Produkte

Die folgenden Business-Produkte wurden unter Microsoft Windows 10 1909 64-bit getestet:

Produkt-Einstellungen

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Nur wenige Hersteller liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen geändert. Die Cloud- und PUA-Erkennung ist bei allen Produkten aktiviert. Derzeit testen wir allerdings keine PUA in unseren Malware-Tests.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Enterprise Tests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performanz verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen) aufgeführt:

Bitdefender: "Sandbox Analyzer" und "Scan SSL" aktiviert; "HyperDetect", "Device Sensor" und "EDR Sensor" deaktiviert.

Cisco: alles aktiviert und auf Blockieren eingestellt.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

Cybereason: "Anti-Malware" aktiviert; "Signatures mode" auf "Disinfect" eingestellt; "Behavioral document protection" aktiviert; "Artificial intelligence" auf "Aggressive" eingestellt; "Exploit protection", "PowerShell and .NET", "Anti-Ransomware" und "App Control" aktiviert und auf "Prevent" eingestellt; alle "Collection features" aktiviert; "Scan archives on access" aktiviert.

Elastic: Schutz vor "Malware" und "Process Injection" aktiviert; Schutz vor "Blacklist", "Credential Access", "Exploit" und "Ransomware" sowie alle "Adversary Behaviors" deaktiviert.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

FireEye: "Real-Time Indicator Detection" deaktiviert, "Exploit Guard" und "Malware Protection" aktiviert.

Fortinet: Alle "AntiVirus Protection"-Einstellungen aktiviert und auf "Block" gesetzt. Zusätzlich wurden "Anti-Exploit", "Cloud Based Malware Detection", "Advanced Heuristic", "FortiGuard Analytics", FortiSandbox's "Sandbox Detection", "Web Filter", "Application Firewall", "Detect and Block Exploits & Botnets" und "FortiEDR" aktiviert; "Exclude Files from Trusted Sources" für "Sandbox Detection" aktiviert.

G Data: "Exploit Protection", "Anti-Ransomware" und "BankGuard" aktiviert; "BEAST Behavior Monitoring" auf "Pause Program and Quarantine" eingestellt.

Kaspersky: "Adaptive Anomaly Control" deaktiviert.

Microsoft: Cloud protection level auf "High" eingestellt, Cloud-delivered protection auf "Advanced" eingestellt. Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert.

Sophos: Alle Optionen unter "Active Adversary Mitigations" aktiviert. "Web Control" und "Protect against data loss" deaktiviert.

SparkCognition: alle "Policy Settings" und alle "Attack Vectors"-Einstellungen aktiviert und auf "Aggressive" eingestellt.

VMware: Policy auf "Advanced" eingestellt.

Acronis, Avast, K7, Panda, Vipre: Standardeinstellungen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, Cisco, Cybereason, FireEye, G Data und Vipre verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). VMware verwendet die Avira Engine (zusätzlich zu ihren eigenen Schutzfunktionen). G Data’s OutbreakShield basiert auf Cyren.

ESET Endpoint Protection Advanced Cloud wurde kürzlich in ESET PROTECT Entry umbenannt.

Wir beglückwünschen die Anbieter, die an der Business Main-Test Series teilnehmen. Dass sie ihre Produkte öffentlich von einem unabhängigen Labor testen lassen, beweist ihr Engagement für die Verbesserung ihrer Produkte, die Transparenz gegenüber ihren Kunden und ihr Vertrauen in die Qualität ihrer Produkte.

Testverfahren

Die Testreihe besteht aus drei Hauptteilen:

Der Real-World Protection Test ahmt Online-Malware Angriffe nach, denen ein typischer Geschäftsanwender beim Surfen im Internet begegnen kann.

Der Malware Protection Test berücksichtigt ein Szenario, bei dem die Malware bereits auf der Festplatte vorhanden ist oder z. B. über das lokale Netzwerk oder ein Wechseldatenträger in das Testsystem gelangt, anstatt direkt aus dem Internet.

Zusätzlich zu den einzelnen Protection Tests wird ein False-Positives Test durchgeführt, um zu prüfen, ob Produkte legitime Software fälschlicherweise als schädlich identifizieren.

Der Performance Test untersucht, wie sich die einzelnen Produkte auf die Systemleistung auswirken, d.h. wie sehr sie die normale Nutzung des PCs bei der Ausführung bestimmter Aufgaben verlangsamen.

Zur Vervollständigung des Bildes über die Fähigkeiten der einzelnen Produkte enthält der Bericht auch eine Bewertung der Benutzeroberfläche.

Einige der Produkte im Test richten sich eindeutig an größere Unternehmen und Organisationen, während andere eher für kleinere Unternehmen geeignet sind. Weitere Einzelheiten finden Sie im Abschnitt über die einzelnen Produkte.

Bitte beachten Sie, dass einige der aufgeführten Anbieter mehr als ein Geschäftsprodukt anbieten. In solchen Fällen können andere Produkte in der Reihe eine andere Art von Verwaltungskonsole haben (serverbasiert im Gegensatz zu cloudbasiert oder umgekehrt); sie können auch zusätzliche Funktionen enthalten, die in dem getesteten Produkt nicht enthalten sind, wie z.B. Endpoint Detection & Response (EDR). Die Leser sollten nicht davon ausgehen, dass die Testergebnisse für ein Produkt aus der Produktpalette eines Anbieters zwangsläufig auch für ein anderes Produkt desselben Anbieters gelten.

Test-Ergebnisse

Real-World Protection Test (August-November)

Die nachstehenden Ergebnisse beruhen auf einem Testsatz, bestehend aus 801 Testfällen (wie bösartige URLs), die von Anfang August 2020 bis Ende November 2020 getestet wurden.

	Blockiert	User Dependent	Kompromitiert	SCHUTZQUOTE [Blocked % + (User Dependent %)/2]*	False-Positives (FPs)
Kaspersky	800	–	1	99.9%	2
Avast	800	–	1	99.9%	8
Fortinet	800	–	1	99.9%	10
Panda	800	–	1	99.9%	32
ESET	799	–	2	99.8%	1
VIPRE	799	–	2	99.8%	3
Bitdefender, Microsoft	799	–	2	99.8%	5
K7	797	–	4	99.5%	29
G Data	796	–	5	99.4%	8
Elastic	791	–	10	98.8%	17
Sophos	787	–	14	98.3%	4
SparkCognition	785	–	16	98.0%	3
Crowdstrike	783	–	18	97.8%	20
Acronis	782	–	19	97.6%	1
VMWare	782	–	19	97.6%	4
Cisco	772	–	29	96.4%	2
FireEye	765	–	36	95.5%	2
Cybereason*	734	–	67	91.6%	32

* Während des Real-World-Protection-Tests wurde ein Fehler im Cybereason-Produkt aufgedeckt, der dazu führte, dass einige Erkennungen nicht durchgeführt wurden. Der Fehler wurde jetzt behoben.

Malware Protection Test (September)

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

False-Positives (False-Alarm) Test mit gängiger Business-Software

Es wurde auch ein Fehlalarmtest mit gängiger Unternehmenssoftware durchgeführt. Wie erwartet, hatten alle getesteten Produkte Null Fehlalarme bei gängiger Unternehmenssoftware.

	Malware-Schutzrate	Fehlalarme bei gängiger Business-Software
Avast, Fortinet, G Data, Microsoft, VMware	100%	0
Bitdefender, ESET, K7	99.9%	0
Cisco, FireEye, Kaspersky, Sophos	99.7%	0
Crowdstrike, Vipre	99.6%	0
Cybereason, Elastic	99.5%	0
Acronis	99.4%	0
SparkCognition	99.3%	0
Panda	99.2%	0

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (Fähigkeit, gute Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit Non-Business Software und ungewöhnlichen Dateien durchgeführt. Dies dient vor allem als zusätzliche Information, insbesondere für Unternehmen, die häufig ungewöhnliche Non-Business Software oder selbst entwickelte Software verwenden. Die Ergebnisse haben keinen Einfluss auf das Gesamtergebnis des Tests oder auf die Auszeichnung als zugelassenes Geschäftsprodukt. Die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben.

FP-Rate	Anzahl der FPs auf Non-Business-Software
Sehr niedrig	0-5
Low	6-15
Mittel/Durchschnitt	16-25
High	26-50
Sehr hohe	51-100
Auffallend hoch	>100

	FP-Rate mit Non-Business-Software
Acronis, Bitdefender, Cisco, ESET, Kaspersky	Sehr niedrig
Avast, FireEye, G Data, Sophos, Vipre	Low
Elastic, Microsoft, SparkCognition, VMware	Mittel/Durchschnitt
CrowdStrike, Cybereason, Fortinet	High
K7, Panda	Sehr hoch
–	Auffallend hoch

Performance Test (November)

Diese spezifischen Testergebnisse zeigen die Auswirkungen eines Security-Produkts auf die Systemperformanz im Vergleich zu den anderen getesteten Security-Produkten. Die gemeldeten Daten geben nur einen Anhaltspunkt und sind nicht unbedingt unter allen Umständen anwendbar, da zu viele Faktoren eine zusätzliche Rolle spielen können. Die Tester legten die Kategorien Langsam, Mittelmäßig, Schnell und Sehr Schnell fest, indem sie statistische Methoden heranzogen und berücksichtigten, was aus der Perspektive der Nutzer oder im Vergleich zu den Auswirkungen anderer Security-Produkte auffallen würde. Wenn einige Produkte in einem einzelnen Untertest schneller/langsamer sind als andere, spiegelt sich dies in den Ergebnissen wider.

Übersicht der einzelnen AV-C Performance Scores

Anbieter	Kopieren von Dateien		Archivieren / Wiederherstellen	Installieren / Deinstallieren von Applications	Starten von Anwendungen		Download von Dateien	Browsen von Websites
Anbieter	Erster Durchlauf	Nachfolgender Durchlauf	Archivieren / Wiederherstellen	Installieren / Deinstallieren von Applications	Erster Durchlauf	Nachfolgender Durchlauf	Download von Dateien	Browsen von Websites
Acronis
Avast
Bitdefender
Cisco
CrowdStrike
Cybereason
Elastic
ESET
FireEye
Fortinet
G Data
K7
Kaspersky
Microsoft
Panda
Sophos
SparkCognition
VIPRE
VMWare

Key

Langsam

Mittelmäßig

Schnell

Sehr schnell

PC Mark Tests

Um einen branchenweit anerkannten Performance Test durchzuführen, haben wir die PC Mark 10 Professional Edition Testsuite verwendet. Nutzer, die den PC Mark 10 Benchmark verwenden, sollten darauf achten, alle externen Faktoren, die die Testsuite beeinflussen könnten, zu minimieren und zumindest die im PC Mark-Handbuch dokumentierten Vorschläge strikt zu befolgen, um konsistente und gültige/brauchbare Ergebnisse zu erhalten. Außerdem sollten die Tests mehrmals wiederholt werden, um sie zu verifizieren. Weitere Informationen zu den verschiedenen Tests für Verbraucherszenarien, die in PC Mark enthalten sind, finden Sie im Whitepaper auf der Website.

"No Security-Software" wird auf einem System ohne installierte Security-Software getestet (Basissystem), das im PC Mark 10-Benchmark 100 Punkte erreicht.

Basissystem: Intel Core i7 Rechner mit 8GB RAM und SSD-Laufwerk

Zusammengefasste Ergebnisse

Nutzer sollten die verschiedenen Untertests nach ihren Bedürfnissen gewichten. Wir haben ein Punktesystem verwendet, um die verschiedenen Ergebnisse zusammenzufassen. Bitte beachten Sie, dass wir für die Untertests "Kopieren von Dateien" und "Starten von Anwendungen" die Ergebnisse für den ersten Durchlauf und für die nachfolgenden Durchläufe getrennt notiert haben. Für den AV-C Score haben wir beim Kopieren der Dateien die gerundeten Mittelwerte des ersten und der nachfolgenden Durchläufe genommen, während wir beim Starten von Anwendungen nur die nachfolgenden Durchläufe berücksichtigt haben. "Sehr schnell" erhält 15 Punkte, "Schnell" erhält 10 Punkte, "Mittelmäßig" erhält 5 Punkte und "Langsam" erhält 0 Punkte. Dies führt zu den folgenden Ergebnissen:

		AV-C Score	PC Mark Score	Impact Score
1.	ESET, K7	90	98.8	1.2
2.	Elastic	90	98.5	1.5
3.	Kaspersky	90	97.6	2.4
4.	Bitdefender	90	97.4	2.6
5.	Avast	90	96.7	3.3
6.	CrowdStrike, Panda	90	96.4	3.6
7.	VMware	85	96.3	8.7
8.	SparkCognition	80	97.3	12.7
9.	VIPRE	80	97.1	12.9
10.	FireEye	80	96.8	13.2
11.	G Data	78	96.3	15.7
12.	Acronis, CISCO	75	97.9	17.1
13.	Sophos	75	97.6	17.4
14.	Microsoft	75	96.7	18.3
15.	Cybereason	75	95.6	19.4
16.	Fortinet	53	97.2	39.8

Produkt Reviews

Auf den folgenden Seiten finden Sie Bewertungen der Benutzeroberflächen aller getesteten Produkte. Diese berücksichtigen die Erfahrungen bei der Verwendung der Produkte im realen Leben. Bitte beachten Sie, dass die Rezensionen keine Testergebnisse berücksichtigen. Wir bitten die Leser daher, sich sowohl die Rezension als auch die Testergebnisse anzusehen, um sich ein vollständiges Bild von einem Produkt zu machen.

Wir möchten darauf hinweisen, dass Security-Produkte für Unternehmen eine Fülle von Merkmalen und Funktionen umfassen, deren Beschreibung den Rahmen eines solchen Berichts bei weitem sprengen würde. Wir bemühen uns, die wichtigsten Funktionen jedes Produkts, wie sie in der Benutzeroberfläche dargestellt werden, zu beschreiben und für jedes Produkt einen ähnlichen Umfang zu bieten. Aufgrund der unterschiedlichen Anzahl und Art der Funktionen in den verschiedenen untersuchten Produkten kann es zu offensichtlichen Unstimmigkeiten kommen. So kann es sein, dass wir bei einem einfacheren Produkt mit weniger Funktionen eine bestimmte Funktion ausführlicher beschreiben können als bei einem komplexeren Produkt mit einer größeren Anzahl von Funktionen.

Zunächst schauen wir uns die Art des Produkts an, d. h. ob die Konsole cloud- oder serverbasiert ist, und welche Art von Geräten/Betriebssystemen geschützt und verwaltet werden können. Wir haben nur Windows und macOS berücksichtigt; die Unterstützung von Linux und mobilen Geräten ist in der Funktionsliste enthalten.

Der nächste Abschnitt befasst sich mit der Installation und Bereitstellung des Produkts. Für serverbasierte Produkte beschreiben wir den Prozess der Installation der Konsole auf dem Server (dies gilt natürlich nicht für cloudbasierte Konsolen). Der nächste Schritt - der für alle Produkte gilt - besteht darin, den Verwaltungsagenten und die Endpoint-Protection-Software auf den Client-PCs zu installieren.

Anschließend geht es um die laufende Nutzung, d. h. um alltägliche Verwaltungsaufgaben wie Überwachung und Wartung, die durchgeführt werden müssen. Alle getesteten Produkte enthalten eine Dashboard-ähnliche Seite, die einen Überblick über den Sicherheitsstatus bietet, sowie eine Geräteseite, auf der die Computer im Netzwerk angezeigt werden. Wir haben für alle Produkte eine Beschreibung dieser Seiten bereitgestellt. Was die anderen Funktionen der einzelnen Produkte betrifft, so haben wir einen maßgeschneiderten Ansatz gewählt. Das heißt, wir haben versucht, in Absprache mit dem jeweiligen Anbieter einige der wichtigsten Funktionen des einzelnen Produkts herauszugreifen.

Schließlich werfen wir einen Blick auf die auf dem Client installierte Endpunktschutzsoftware. Hier prüfen wir, ob der Endpunktbenutzer Aufgaben wie Scans und Updates selbst durchführen kann oder ob solche Aufgaben ausschließlich vom Administrator über die zentrale Verwaltungskonsole gesteuert werden. Außerdem führen wir eine kurze Funktionsprüfung durch. Dazu schließen wir ein USB-Flash-Laufwerk mit einigen Malware-Samples an einen PC an, auf dem das Produkt installiert ist, und versuchen, die bösartigen Dateien auf den Windows-Desktop zu kopieren und dann auszuführen. Wir notieren, in welcher Phase des Prozesses die Malware erkannt wird, welche Art von Warnung angezeigt wird und ob das Produkt den Benutzer auffordert, das USB-Gerät zu scannen, wenn es angeschlossen ist.

Acronis Cyber Protect Cloud – Advanced Edition

Über das Produkt

Die Acronis Cyber Cloud-Plattform bietet Endpoint-Protection Software für Windows- und macOS-Workstations sowie Windows-Server. Diese wird über eine Cloud-basierte Konsole verwaltet. Das Produkt enthält eine Reihe weiterer Cloud-basierter Dienste, darunter Backup, Disaster Recovery und sichere Dateisynchronisation. In diesem Bericht werden jedoch nur die Funktionen zum Schutz vor Malware betrachtet. Das Produkt kann Netzwerke mit Tausenden von Arbeitsplätzen verwalten. Wir sind der Meinung, dass es auch für kleine Unternehmen ohne eigenes IT-Personal geeignet ist.

Vorteile

- Verfügt über Datensicherung, Notfallwiederherstellung, Schwachstellenbewertung, Patch-Management und sichere Dateisynchronisierung
- Gut geeignet für kleinere Unternehmen
- Die Konsole ist leicht zu navigieren
- Die Seiten der Konsole können individuell angepasst werden
- Geografisch erkennbare Bedrohungsdaten-Funktion

Management Konsole

Die Konsole wird über ein einziges Menüfeld auf der linken Seite gesteuert. Es gibt Einträge für Dashboard, Devices, Plans, Anti-Malware Protection, Software Management, Backup Storage, Reports, und Settings.

Dashboard\Overview Seite

Wenn Sie sich zum ersten Mal bei der Konsole anmelden, sehen sie als erstes die Seite wie oben abgebildet. Sie bietet einen grafischen Überblick über den Security- und Backup-Status des Netzwerks, wobei farbige Doughnut- und Balkendiagramme verwendet werden. Es gibt Panels für Protection status, Active alerts summary, Activities, Patch installation status, Missing updates by categories, und Gesundheitszustand der Festplatte . In einem Feld oben werden die Elemente angezeigt Backed up today, Malware blocked, Malicious URLs blocked, Existing vulnerabilities und Patches ready to installangezeigt. Details zu den letzten Warnhinweisen und anderen Elementen werden in weiteren Feldern am unteren Rand angezeigt. Sie können die Seite individuell anpassen, indem Sie die Dateneinstellungen für jedes Feld ändern oder Felder hinzufügen/entfernen.

Dashboard\Alerts Seite

Hier können Sie Warnungen zur Malware-Erkennung, zu blockierten URLs und zu den Backup-Funktionen sehen. Diese können als Liste oder als große Kacheln mit Details (wie oben gezeigt) angezeigt werden. Die Informationen zu Malware-Erkennungen umfassen das Gerät, die Schutzrichtlinie, den Dateinamen und -pfad, die Dateihashes, den Namen der Bedrohung und die ergriffene Maßnahme (z.B. Quarantäne). Durch klicken auf Clear, wird der Eintrag aus der Alerts Seite aber nicht aus den Systemprotokollen entfernt.

Dashboard\Bedrohungsmeldung Seite

Die Seite Threat feed zeigt Warnhinweise zu aktuellen Angriffen und Sicherheitslücken an, auf die Sie achten sollten. Acronis teilt uns mit, dass diese Liste auf den aktuellen geografischen Standort zugeschnitten ist, so dass nur Warnungen angezeigt werden, die für Sie relevant sind. Die Seite warnt Sie gegebenenfalls sogar vor Naturkatastrophen. Wenn Sie auf das Pfeilsymbol am Ende eines Bedrohungseintrags klicken, wird eine Liste mit empfohlenen Maßnahmen zur Bekämpfung der jeweiligen Bedrohung angezeigt. Diese können darin bestehen, einen Malware-Scan durchzuführen, ein Programm zu patchen oder ein Backup Ihres PCs oder Ihrer Daten zu erstellen.

Devices Seite

Die Devices Seite listet die Computer im Netzwerk auf. Auf Unterseiten können Sie die Ansicht filtern, z. B. nach verwalteten und nicht verwalteten Rechnern. Sie können u. a. Gerätetyp und -name, Benutzerkonto und Sicherheitsstatus sehen. Die angezeigten Spalten können individuell angepasst werden, so dass Sie nicht benötigte Spalten entfernen und z.B. IP-Adresse und Betriebssystem hinzufügen können. Die Geräte können als Liste oder als große Kacheln mit zusätzlichen Details angezeigt werden. Wenn Sie ein oder mehrere Geräte auswählen, öffnet sich auf der rechten Seite ein Menüfeld, in dem Sie die angewandte Schutzrichtlinie anzeigen, Patches anwenden, Maschinendetails/Protokolle/Alarme anzeigen, die Gruppenmitgliedschaft ändern oder das Gerät aus der Konsole löschen können.

Plans Seite

Unter Plans/Protection können Sie die Richtlinien anzeigen, erstellen und bearbeiten, die die Anti-Malware-Funktionen der Plattform steuern. Auch hier wird auf der rechten Seite ein übersichtliches Menüfenster mit den entsprechenden Details und Steuerelementen angezeigt. Zu den Funktionen, die konfiguriert werden können, gehören Echtzeitschutz, Schutz von Netzwerkordnern, Maßnahmen bei der Entdeckung von Malware, Ransomware, Erkennung von Krypto-Mining-Prozessen, zeitgesteuertes Scannen, Ausnahmen, URL-Filterung und die Dauer der Quarantäne von Elementen. Sie können Schwachstellenbewertungen und Patch-Management konfigurieren, und es gibt sogar Steuerelemente für das Scannen mit Microsoft Windows Defender/Security Essentials.

Anti-Malware Protection\Whitelist Seite

Die Whitelist Seite zeigt alle Anwendungen an, die beim Backup-Scanning gefunden und als sicher eingestuft wurden. Um die automatische Erstellung einer Whitelist zu aktivieren, muss der Backup-Scan geplant werden.

Anti-Malware Protection\Quarantine Seite

Unter Anti Malware Protection listet die Seite Quarantine die Namen der erkannten bösartigen Dateien zusammen mit dem Datum der Quarantäne und dem Gerätenamen auf. Sie können in den Seiteneinstellungen Spalten für den Namen der Bedrohung und den anwendbaren Schutzplan hinzufügen. Über ein Mini-Menü am Ende eines jeden Eintrags können Sie die ausgewählten Elemente wiederherstellen oder löschen.

Software Management Seiten

Die Seiten Patches und Vulnerabilities unter Software Management werden ausgefüllt, wenn eine Schwachstellenbewertung in einem Schutzplan erstellt und mindestens einmal ausgeführt wurde.

Reports Seite

Die Seite Reports listet eine Reihe von Themen auf, für die Berichte erstellt werden können, darunter Alerts, Detected threats, Discovered machines, Existing vulnerabilities und Patch management summary. Ein Klick auf einen Berichtsnamen öffnet eine Detailseite für dieses Element. Die Berichtsseite Alerts enthält beispielsweise die Bereiche 5 latest alerts, Active alerts summary, Historical alerts summary, Active alerts details, und Alerts history. Farbige Warnsymbole und Doughnut-Diagramme heben die wichtigsten Punkte dezent hervor. Wie bei anderen Seiten der Konsole können die Spalten in diesen Bereichen individuell angepasst werden.

Settings Seiten

Unter Settings/Protection können Sie den Zeitplan für die Aktualisierung der Schutzdefinitionen festlegen und die Funktion Remote Connection aktivieren. Auf der Seite Agents können Sie die Version des auf jedem Client installierten Endpunkt-Agenten einsehen und bei Bedarf aktualisieren. Wenn auf einem Gerät ein veralteter Agent läuft, wird im Menüfeld der Konsole unter Settings eine Warnung angezeigt. Dies macht deutlich, dass Sie Maßnahmen ergreifen müssen.

Windows Endpoint Protection-Client

Deployment

Die Installationsdateien im .exe-Format können auf der Devices Seite durch klicken auf die Add Schaltfläche heruntergeladen werden. Es gibt separate Installationsprogramme für Windows-Clients und Windows-Server. Die Installationsdatei kann manuell, über ein Systemverwaltungsprodukt oder über ein AD-Skript ausgeführt werden. Eine Remote-Push-Installation ist ebenfalls möglich, wenn Sie ein Relais-Gerät in Ihrem LAN einrichten. Durch manuelles Ausführen des .exe-Installationsprogramms können Sie auch .mst- und .msi-Dateien für eine unbeaufsichtigte Installation erstellen. Nachdem Sie eine lokale Installation auf einem Client-PC durchgeführt haben, müssen Sie auf Register the machine im Client-Fenster klicken. Anschließend müssen Sie sich vom Client-PC aus bei der Verwaltungskonsole anmelden, den Eintrag des Geräts suchen und auf Enable Protection klicken.

Überprüfung der Funktionsfähigkeit

Die Benutzeroberfläche auf geschützten Endgeräten besteht aus einem Symbol in der Systemablage und einem kleinen Informationsfenster. Hier können Sie den Status des Echtzeit-Malware-Schutzes sowie Datum und Uhrzeit des nächsten geplanten Backups sehen. Sie können auch die Programmversion sehen. Weitere Funktionen stehen den Benutzern nicht zur Verfügung.

Als wir ein Flash-Laufwerk mit Malware-Samples an unseren Test-PC anschlossen und das Laufwerk im Windows Explorer öffneten, erkannte Acronis die schädlichen Dateien sofort und isolierte sie. Es wurde kein Warnhinweis dazu angezeigt.

Avast Business Antivirus Pro Plus