Die Real-World Labs haben insgesamt 25 Hersteller Antispyware-Tools zu einem Produktvergleich eingeladen.Die Lösungen hatten eine ganze Reihe von Diensten und Funktionen zu unterstützen. Sie sollten in der Lage sein, Clients zu scannen, die Spyware zu beseitigen, gegen neue Gefahren zu schützen – alles in einer verteilten Netzstruktur. Schließlich haben die Produkte Computer Associates, F-Secure,Lavasoft,McAfee,Sunbelt Soft-ware, Trend Micro sowie Webroot die Testkriterien erfüllt und die Einladung angenommen. Der Anbieter Determina hat von der Teilnahme abgesehen, da sein Produkt seiner Meinung nach die Kriterien nicht erfüllt.Die Hersteller Eset Software sowie Surfcontrol erklärten, sie könnten aus logistischen Gründen nicht teilnehmen.Tenebril, Microsoft,Panda Software sowie Omniquad haben zum Testzeitpunkt eine neue Version ihrer Lösungen entwickelt und kamen daher nicht in Frage. Die Anbieter Allume Systems,Aluria Software, Apreo, Finjan Software, Intermute, Merijn.org, Pepimk/Spybot-S&D, Sana Security, Symantec,Websense und Whole Security haben auf die Einladung nicht geantwortet. Die im Test schließlich untersuchten Lösungen arbeiten stand-alone bis auf McAfees »VirusScan Enterprise « und F-Secures »Anti-Virus Client Security «. Beide Produkte sind kombinierte Antispyware- und Antivirus-Suites.

40 Prozent des Testresultats war davon abhängig, wie geschickt und umfassend die Produkte Spyware fanden.Die restlichen 60 Prozent teilen sich gleichwertig auf die Punkte Konsole-/Client-Konfiguration, Scanning in Echtzeit und zeitlich gesteuert, das Management und die Updateprozedur, die Berichte und die Alarmfunktionen sowie den Preis auf.

Finden und vernichten

Sämtliche Produkte im Test scannen entweder in Echtzeit oder zeitlich gesteuert. Dabei greifen sie alle für beide Prüfvarianten auf dieselbe Scan-Engine und Signaturdatenbank zurück. Die Schedule-Intervalle lassen sich nach Uhrzeit, wöchentlich oder monatlich festlegen. Echtzeit-Scans beginnen sofort. So genannte On-off-Scans starten erst,wenn der Administrator sie von seiner Konsole aus initiiert.

Diese Option ist vor allem dann sinnvoll, wenn der Mitarbeiter die Helpdesk um Hilfe bittet.Mit dieser Scan-Art kann der Administrator die »allways on«-Scanmethode geschickt umgehen.Letztere ist eine Art aktiver Schutzschirm und verwirrt den Anwender in der Regel mehr, als dass sie ihn schützt.Auch diese wird übrigens von allen Produkten beherrscht.

Der Scanner von McAfee arbeitet bei aktivem Schutz anders als die Konkurrenz. Der Hersteller erklärte, seine »Active Protection «-Funktion mache Spyware wirkungslos, ohne aber alle ihre Spuren zu beseitigen.Diese würden erst beim kommenden zeitlich festgelegten großen Scan erfolgen. Der Hersteller empfiehlt Kunden,Letzteren daher nachts starten zu lassen. Die anderen Produkte im Test beherrschen Active-Protection ebenfalls, ohne diese Bedingungen zu stellen. McAfee hat ihren Ansatz begründet. Spyware selbst lädt ihre eigenen Libraries in Programme wie den IE. Der Hersteller befürchtet, dass Probleme entstehen, falls das Abwehrtool diese während einer aktiven User-Session zu beseitigen versucht. Die Scan-Ergebnisse der Tools unterschieden sich stark voneinander. Das Marketing der Hersteller darf behaupten, was es will. Die schiere Zahl der entdeckten und beseitigten Spyware-Spuren ist jedoch kein Hinweis darauf,wie effizient die Werkzeuge arbeiten.

Im Test hat ein Teil der Hersteller jeden Registry- Eintrag und jede Datei penibel und vor allem als separaten Posten aufgeführt. Als ob Quantität etwas über Qualität aussagen würde. Andere Produkte haben alle Manipulationen unter dem Namen des Programms gruppiert, das dafür ursächlich war. Kein Wunder, dass einige Antispyware-Engines mehr als 1000 unerwünschte Tools entdeckt haben,während andere dank Korrelation und Gruppierung weniger als 100 erkannten. Interessante Ergebnisse vor dem Hintergrund,dass der Test die Clients nur mit rund 30 Spyware- Varianten bedrängte. Das Resultat lässt sich auf zwei Arten lesen: als Beweis, dass die Hersteller ihre Ergebnisse gerne ausschweifend darstellen, nach dem Motto: Mehr ist mehr.

Oder als Indiz dafür, dass die meiste Spyware andere Varianten aus dem Web lädt, sobald sie einen Rechner infiziert.Beide Annahmen haben ihre Berechtigung. Damit Spyware andere Komponenten herunterladen kann, installiert sie in der Regel einen separaten,ungewöhnlichen Prozess.Um diesen aufzuspüren, vertrauten die Tester einmal den Resultaten der Abwehrtools. Das genügte aber nicht, deren Ergebnisse zu verifizieren. Deswegen haben sie, nachdem das Tool die Maschine säuberte, jeden einzelnen Parameter um den Windows-Explorer geprüft. Dazu verglichen sie den angeblich desinfizierten Rechner, all seine Funktionen und BHOs mit einer sauberen Installation. Im nächsten Schritt zeichneten sie mit einem Netzanalyser alle Pakete auf, die der Client ausschickte. So wollten sie unautorisierten Verkehr enttarnen. In dieser Hauptkategorie haben Trend Micro und Sunbelt Software schließlich die besten Ergebnisse erzielt. Beide Produkte haben ihre Kunst auf einer Windows-XP- und -2000- Workstation beweisen müssen. Diese Maschinen waren intensiv infiziert, so dass sie gerade noch funktionierten.»CounterSpy« von Sunbelt war am Ende besser darin, Spyware zu erkennen und zu beseitigen. Zuerst startete das Tool eine der schnellsten Scan-Routinen im Test, danach folgte ein Reboot der Rechner.Counterspy hat in beiden Systemen die volle Funktionalität wiederhergestellt und nahezu alle schädlichen Registry-Einträge entfernt.

Auch »Anti-Spyware« von Trend Micro hat den größten Teil der Malware entdeckt und gelöscht. CA und F-Secure haben die Testmaschinen mit dem Echtzeit-Scan abtastet und versucht, die 30 Spyware-Typen zu beseitigen. Beide Clients hinterließen danach einen eher zerfransten Eindruck. Noch ein Wort zu CAs Tool »eTrust Pest- Patrol«. Obwohl es angab, es hätte 82 beziehungsweise 76 Pestvarianten auf den beiden Rechnern erkannt und gelöscht, so hat es doch die BHOs auf der Windows-2000-Maschine nicht beseitigt. Das Tool hat außerdem eine Reihe von schädlichen Registry-Einträgen nicht entfernt, und der Internet-Explorer (IE) auf der XP-Maschine hat nach der Säuberungsaktion nicht funk-tioniert. Es war nicht möglich, den Browser zu öffnen. Stattdessen quälte das Betriebssystem den Anwender mit Fehlermeldungen, die ihn dazu aufforderten, Microsoft per Bericht zu informieren. Am Ende war die Funktionalität beider Testclients stark beeinträchtigt. Die schlechten Ergebnisse von CA und F-Secure liegen in erster Linie nicht an den Engines der Produkte, sondern an den Attributen, die bei beiden Herstellern Spyware als solche definieren.

Beide Anbieter haben große Mühen auf sich genommen, damit sie legale administrative Desktop-Tools nicht als Feindcode klassifizieren. Sie stellen auch sicher, dass diese Werkzeuge weiterhin aktiv sind.

Die Befehlskette zentral auslösen

Neben den Erkennungsstärken spielten auch die Konfigurationsoptionen der Produkte eine wichtige Rolle. Im professionellen Bereich muss eine Lösung den Verantwortlichen Funktionen an die Hand geben, mit denen sie die Scanner von zentraler Stelle aus verteilen und kontrollieren sowie per Reporting deren Effizienz bewerten können. Die Berichte sollen auch dazu dienen, Informationen über verbotene oder gefährliche Webseiten zu sammeln. Das können beispielsweise Glücksspielseiten sein, die in der Regel vor Spyware-Infektionen strotzen. In Deutschland ist es wichtig, dass diese Informationen anonymisiert werden können. Denn jeder Betriebsrat wird Einspruch einlegen, sobald ein Produkt einen illegalen Webseitenzugriff direkt mit einer Person in Verbindung bringt.

Das »Ad-Aware SE Enterprise« von Lavasoft ist dummerweise auf Login-Skripts oder einen Installer auf jeder Workstation angewiesen,um den Scanner zu verteilen.Andere Produkte greifen bereits existierende Installierungsinstanzen im Unternehmen auf und binden sie in ihre Administrationskonsole ein. So ist es ein Kinderspiel, die Scan-Engines zu verteilen. Besonders das Tool von Trend Micro hat sich in dieser Disziplin hervorgetan. Die leicht verständliche, angenehm bestückte Webkonsole ist von jeder Stelle aus erreichbar, sei es auch per VPN, und beherrscht alle nötigen Implementierungsfunktionen. Die konventionelle Management-Konsole von Counterspy bietet eine ganze Reihe von Konfigurationsoptionen, ohne zu komplex oder überladen zu wirken.Die »ePolicy Orchestrator«-Verwaltungskonsole (Epo) von McAfee ist dagegen stark an eigene Bedürfnisse anpassbar. Ein Administrator darf nahezu an jedem Parameter der Antispyware herumspielen, so dass manchmal der Überblick verloren geht.

Die Policy-Einstellungen von Trend Mirco wirkten im Vergleich zum Ansatz von McAfee begrenzter. Dies trifft jedoch auf alle Produkte zu, die sich gänzlich Antispyware widmen. Im Gegensatz zu den ausgereiften Konsolen der kombinierten Antiviren-Suites ziehen sie derzeit noch den Kürzeren. Gerade bei den Konfigurationseinstellungen, Updates, der Installation und der Zeitsteuerung wird der Abstand deutlich. Diesen Rückstand machen die spezialisierten Tools aber mit ihren stärkeren Entfernungsoptionen wieder wett. Das hat überrascht. Eigentlich war anzunehmen, dass die Experten aus der Virenabteilung der Hersteller besser als die jungen Spyware-Spezialisten gerüstet sind,Malware zu beseitigen. Die größere Erfahrung jedenfalls sprach eindeutig für die kombinierten Ansätze von McAfee und F-Secure.Wer deren Produkte ohnehin für Antivirus-Belange einsetzt, dem sei anzuraten, einen Blick auf deren Antispyware- Module zu werfen.Wer dagegen ein reines Antispyware- Modul sucht,wird bei den dezidierten Spezialisten besser fündig.

Eine Frage der Definition

Für den Test war ebenso wichtig, wie die Tools ihre Definitionsdateien verwalten und verteilen. Alle getesteten Produkte haben diese Parameter online aktualisiert und frische Einträge gleich an ihre Management-Plattform weitergereicht.Von dort haben sie die Updates schließlich an jeden Client verteilt. Die Downloads erfolgen automatisch, wobei eine Einstellung in der zentrale Konsole die Automatismen festlegt. Die Versionen der jeweiligen Dateien waren in allen Konsolen vermerkt. Webroot und McAfee konnten sich bei dieser Disziplin auszeichnen. Bei beiden ist es möglich, einen Client im gleichen Subnetz oder LAN als Server festzulegen. Er verteilt das Update lokal an die anderen Rechner in seiner Umgebung. Das schont wertvolle Bandbreite, sei es lokal oder im WAN. Unter dem Strich traten bei den Updates bei keinem Produkt Probleme auf.

Die Berichte sind wichtig, weil sie beschreiben, wie effizient die Spyware-Policy greift. Die Inhalte sind entweder als Tortendiagramm oder in Graphenform aufbereitet und beschreiben, welche Infekte wo auftraten. Für den Chef generieren die Abwehrtools eine Zusammenfassung, für Techniker haben sie die Standardberichte mit manngifaltigen Details unterfüttert. Das überzeugendste Konzept in diesem Bereich ist Counterspy von Sunbelt gelungen, dicht gefolgt von McAfee,Webroot und Trend Micro. Die Angebote von CA und Lavasoft liegen weit zurück, weil sie die Ergebnisse nur in Textform präsentieren.

Es fällt schwer, aus diesen Daten einen Trend herauszulesen.McAfee kann seine Berichte am stärksten an die Bedürfnisse der Nutzer angleichen.Wer die volle Kraft deren Reports ausschöpfen möchte,muss allerdings einen SQLServer aufsetzen. Das heißt für einige, eine weitere Software-Lizenz zu kaufen und noch einen Support-Vertrag zu unterzeichnen.Alljenen, denen ein ausgeklügeltes und detailreiches Reporting am Herzen liegt, sei McAfees Produkt dank seiner Fleixiblilität und trotz der Zusatzkosten – ans Herz gelegt. Alle Produkte beherrschen einige Alarmtypen und -meldungen. Diese Funktionen mögen ihre Bedeutung gerade bei akutem Spyware-Befall beweisen.Nur die Produkte von McAfee und FSecure beherrschen Alarme via SNMP, so dass sie sich in bereits bestehende Event-Management- Systeme einbinden können. Alle anderen Produkte senden E-Mails oder öffnen Pop-ups auf der Konsole des Administrators. Ein akzeptabler Ansatz. Sunbelt ist zudem in der Lage, den Endanwender über ein Pop-up auf seinem Client zu informieren. Der Sinn dieser Information ist nicht eindeutig, da sie zu mehr Konfusion als zur Aufklärung beitragen könnte. Alle Produkte schicken ihre Alarme auch per SMS oder Pager heraus.

Finale

Das Antispyware-Tool »CounterSpy Enterprise« von Sunbelt gewinnt am Ende die Auszeichnung »Referenz « der Network Computing. Die Wahl fiel aufGrund seines modernen Interfaces, seiner einfachen Installation und der Säuberungskünste auf dieses Produkt. Die kostengünstige Anti-Spyware von Trend Micro ist für KMU ideal geeignet. Spy-Sweeper von Webroot war Sunbelt dicht auf den Fersen und eignet sich im Grunde ebenso für alle Netzgrößen.Wer unbedingt eine auf Web basierende Management-Konsole benötigt,wird bei Trend Micro fündig. Anti-Spyware-Enterprise von McAfee und »Anti-Virus Client Security « von F-Secure sind als Erweiterungsmodule für deren klassische Antiviren-Suiten konzipiert.

Wer bereits Produkte dieser Hersteller einsetzt,wird mit den Modulen durchaus zufrieden sein.Obwohl sie im Test ein Stück weit hinter den Bestplatzierten liegen. Das McAfee- Produkt beherrschte als einziges beispielsweise eine auf Rollen basierende Administrationshierarchie. Es kann dafür leider keine fälschlich gelöschten Items wiederherstellen. Ad-Aware-SE-Enterprise von Lavasoft und Etrust-Pastpatrol Corporate- Edition bilden die Schlusslichter.

Dem Tool Ad-Aware fehlen Quarantäne-Funktionen, mit denen der Administrator fälschlicherweise gelöschte wichtige Elemente restaurieren könnte. Die Verteilung dessen Engine erwies sich auch als schwierig. Pestpatrol von CA musste arg darunter leiden, dass das Produkt die infizierten Clients nicht säubern und wiederherstellen konnte. Auch der hohe Preis und das rein auf Text setzende Reporting sind Ursachen für die schlechten Noten. Der Testrahmen setzte für den Preisvergleich eine Lizenz für 1000 Anwender und 24/7-Support an. Die Höhe rangierte zwischen 11 und 17,28 Dollar pro User, macht 14,28 Dollar im Schnitt. Darin sind die Supportkosten für das erste Jahr schon inbegriffen.Nach Ablauf dieser »Schonfrist« muss der Administrator mit jährlichen Supportkosten von 30 Prozent des Investitionsvolumens kalkulieren. Darüber sind die wichtigen Updates abgegolten, ohne die jede Antivirus- und Antispyware- Lösung ihren Sinn verliert.

Counterspy von Sunbelt

Es war nicht leicht, einen Sieger zu bestimmen.Am Ende hat Sunbelt aus administrativer Sicht alle Anforderungen am besten getroffen. Counterspy hat Spyware exzellent erkannt und gestoppt. Das Tool erklärte, es habe 105 »Threats« auf der Windows-XP- und 132 auf der -2000-Maschine entdeckt. Es hat beide Systeme daraufhin schnell und souverän desinfiziert.Nach diesem einen Scan war der Browser, davor von Toolbars und anderen nervigen BHOs durch und durch verpestet, von diesen unangenehmen »Suchassistenten« befreit. Die Zahl unerwünschter Prozesse ist ebenso dramatisch gesunken, stärker als bei allen anderen Produkten. Auch beim zentralen Management hat Counterspy die Wünsche übertroffen. Über die »Enterprise Admin Console« werden Policies definiert, Agents verteilt und aktualisiert, automatische Scans zeitlich bestimmt und der gesamte Status der Installation überwacht. Die Policy legt fest,welche Files auf welcher Workstation der jeweilige Agent zu untersuchen hat. Das Regelwerk fixiert auch, bei welchen Threats der Agent seinen automatischen Löschprozess deaktivieren, welche Meldungen er an die Konsole schicken und wie er generell mit gefundener Spyware hantieren soll. Die Berichte der Konsole sind über einige wenige Klicks erreichbar, wobei die Suite detaillierte Informationen zu den einzelnen Posten liefert.

Die Installation war leicht,wobei Counterspy sowohl die ADS im Testnetz als auch die Clients selbst fand. Die Default-Einstellungen wurden nicht verändert, weil sie bereits das abdeckten, was der Test abverlangte.Das Update verlief ebenso problemlos. Counterspy unterstützt eine »Active Protection «–Funktion, mit der das Tool Änderungen im System bewertet, um so auf potenzielle Gefahren zu stoßen. Gedeckt wird diese Funktion von den ständigen Updates des Hersteller-Research- Centers.Dort ist das »ThreatNet« angelegt, ein Spyware-Berichtssystem für Counterspy- Kunden, das die jüngsten globalen Bewegungen zu fassen versucht. Es informiert über die jüngsten Entwicklungen auf diesem Gebiet.

So konnte das Produkt auch mit seinen reichhaltigen Berichten überzeugen. Sunbelt greift auf Crystal-Reports zurück, um mit Hilfe dieses Programms eine ganze Reihe vordefinierter Berichten zu generieren. Darin sind auch zahlreiche Folgeinformationen über infizierte Clients zu finden, beispielsweise Listen entdeckter Spyware, die Entwicklung bestimmter Systeme oder eine Zusammenfassung für den Chef.Diese Daten lassen sich entweder numerisch oder in grafischer Form präsentieren.

Anti-Spyware von Trend Micro

Das Tool von Trend Micro liegt in vielen Belangen auf gleicher Höhe mit dem Testsieger,musste sich schließlich aber bei der Management-Konsole geschlagen geben.Während Counterspy ein konventionelles Windows-GUI bevorzugt, benutzt Trend Micro ein aufWeb basierendes Interface. Ausschlaggebend für die Wertung war, dass die meisten Administratoren eine Benutzungsoberfläche bevorzugen, die ihrer typischen Windows-Infrastruktur am ähnlichsten ist.Am Ende werden persönliche Präferenzen bestimmen. Manche wählen lieber Web-Interfaces,weil sie von jeder Stelle aus via VPN erreichbar sind.

Sie wird gute, auf Browser basierende GUI der »Anti-Spyware for Small and Medium Business 3.0« von Trend überzeugen. Anti-Spyware erkennt die Spionageprogramme exzellent und hat sie ebenso souverän entfernt. Das Tool hat sich sofort mit der ADS synchronisiert. Balkendiagramme zeigten den Status der Agenteninstallation und meldeten, dass alle Client-Pakete erfolgreich ausgerollt waren.

Die Scans lassen sich sofort aufWunsch starten oder zeitlich steuern. Gerade die On-Demand- Funktionen waren überzeugend, denn der Administrator kann jede Zahl von Clients auf diese Weise untersuchen. Während der Scans hat die Konsole ständig den aktuellen Stand der Analyse wiedergegeben. Anti-Spyware entfernte die 30 Standard-Spywaretypen auf beiden Maschinen und stellte deren volle Funktionalität wieder her. Auf dem Windows-2000-System fand es nach eigenen Angaben 71 Threats mit insgesamt 1135 Infektionsspuren, die es allesamt beseitigte. Auf der XP-Maschine entdeckte das Tool 74 Threats und 1116 Items, die es genauso löschte. In beiden Fällen hat Anti-Spyware alle illegalen Toolbars aus dem Browser entfernt. Das Produkt von Trend Micro hat dabei nicht nur alle eindeutigen, bekannten Spyware-Dateien beseitigt, sondern auch die entsprechenden feindlichen Programme, die als Host die Dateien auf die Clients schmuggelten.

Das Tool läuft transparent im Hintergrund jedes Rechners. Ein wichtiger Punkt,weil die Anwender nicht merken, dass es installiert oder aktiv ist.Etwas, das der Anwender nicht sieht,wird er nicht versuchen, abzuschalten.Die User werden vom gesamten Spyware-Prozess somit fern gehalten. Mit der auf Policies setzenden Konsole werden Updates, das Monitoring und automatische Scans geregelt sowie die Reports eingesehen. Die Berichte von Trend Micros Produkt sind herausragend. Der Administrator hat die Wahl, ob er sie online einsehen oder ausdrucken will.Die einzelnen statistischen Daten sind dabei in einer SQL-Datenbank organisiert. Wer möchte, kann die Reports nach eigenem Gusto strukturieren und kolorieren.

Spy-Sweeper von Webroot

Auch dieses Produkt konnte überzeugen. Es war einfach zu installieren. Der Administrator darf für diesen Zweck zwischen Login-Skripts, einem internen Software-Management-System und einer Group-Policy in der ADS wählen.Wie bei allen anderen Produkten wurde für den Test die ADS-Methode gewählt. Spy-Sweeper band sich reibungslos in das bestehende Netz ein und entdeckte die beiden Evaluierungs-Clients sofort. Die Management-Konsole ist übersichtlich und leicht zu bedienen. Der Agent war schnell auf den Rechnern installiert,wobei die Konsole über Sta-tusanzeigen informierte,wie weit der Prozess vorangeschritten ist.

Webroot pflegt eine ausführliche Datenbank, in der der Hersteller über die aktuellen Gefahren informiert. Spy Sweeper hat die jüngsten Updates und Beschreibungen heruntergeladen, wobei der Administrator diesen Prozess automatisiert oder manuell anstößt. Die Scans sind ebenfalls manuell oder automatisch, damit zeitlich gesteuert durchführbar. Wie die anderen Vornplatzierten, stellt Spy-Sweeper den Status der Scans dar, damit der Administrator darüber informiert ist, was aktuell geschieht. Das Tool hat die Spyware-Elemente auf den Clients recht solide erkannt und beseitigt. Beide Maschinen waren nach einem Neustart wieder funktionsfähig, wobei das Tool bei XP ein Toolbar übersehen hat. Beim ersten Scan teilte das Antispyware-Programm mit, es habe 166 beziehungsweise 177 Items entdeckt. Da Webroot so viel Augenmerk darauf richtet, die jüngsten Threats in ihrer Datenbank zu dokumentieren, waren die Resultate der Testscans dementsprechend beeindruckend.

Auch bei den Berichten hat Spy-Sweeper einen guten Eindruck hinterlassen, weil der Administrator schnell an Details der Resultate gelangt. Wie Trend Micro, kann Spy-Sweeper eine SQL-Datenbank verwenden. Der Hersteller liefert eine eigene mit für alljene, die auf SQL verzichten müssen oder möchten. Die Management-Konsole des Tools beherrscht eine ganze Reihe von Konfigurationsoptionen, wobei ihr Fokus eindeutig auf Simplizität liegt. Die Update-Routinen arbeiten zügig. Der Administrator darf den Prozess kaskadieren, indem er per Drag-and-drop die gewünschten Clients in den Task hineinzieht.

Über Checkboxen auf der Benutzungsoberfläche legt der Administrator beispielsweise fest, an welche Rechner er das Installationspaket verteilen möchte oder für welche bestimmte Konfigurationen gelten. Hinzu kommen zeitlich gesteuerte Scans sowie klare Meldungen. Insgesamt hinterließ die Management-Oberfläche einen positiven Eindruck.

Virusscan-Suite und Anti-Spyware von McAfee

Das Herzstück dieser Suite ist die Management- Konsole »ePolicy Orchestrator« (Epo). Im Test erwies sich Virusscan-Enterprise als starkes Werkzeug, mit dem der Administrator Viren- und Spyware-Schutz im gesamten Netz organisieren kann. Wer das Antispyware-Modul nutzen möchte, muss jedoch die gesamte Antiviren- Komponente kaufen und installieren. Der Spyware- Schutz ist nur ein Element in McAfees Antiviren- Anwendung, ein Vorteil für alle, die mit McAfee bereits aufVirenfang gehen.Ein Kauf der Suite nur wegen Antispyware ist nach den Testergebnissen aber nicht gerechtfertigt. Obwohl Epo überzeugen konnte, dauert die Installation verglichen mit den anderen Produkten am längsten.Dies liegt vor allem an der langwierigen Default-Polling-Periode. Hierbei prüft Epo ihre auf den Workstations installierten Scan-Agenten.Wie alle anderen Produkten, musste Epo die Client-Maschinen im Netz mit Hilfe der ADS-Container selbstständig erkennen. Das meisterte die Suite mit Leichtigkeit.

Der Name deutet es schon an: Epo legt eine Security-Policy fest, die die Konsole im gesamten Netz verteilt. Von allen untersuchten Produkten hat diese Konsole dabei die größte Anpassungsfähigkeit in Sachen Regelwerk unter Beweis gestellt. Bevor sie bei dem Vergleich die Scan-Engines auf die Clients spielten, haben die Tester eine Policy aufgesetzt. Enttäuscht hat, wie langsam die Installation verlief.McAfee hat es versäumt zu protokollieren, wie weit denn der Prozess bereits vorangeschritten ist. So muss der Administrator warten, bis das Verfahren komplett abgeschlossen ist, ehe er eine Meldung vom Agenten bekommt. Wie bei jedem Desinfizierungssystem, wird Anti-Spyware mit periodischen Updates über die jüngsten Varianten informiert. Der dafür zuständige Prozess war schnell und leicht zu konfigurieren.

Beim Scan selbst hat McAfee 733 Items auf der Windows-2000- und 1145 Items auf der -XP-Maschine erkannt. Das Tool hat bis auf ein kleines Spyware-Element alle Spuren gelöscht, so dass die Maschinen wieder einwandfrei funktionierten. Auch ihre Browser waren auf ihren alten, gesunden Stand gebracht, befreit von allen unerwünschten Toolbars und anderen Spyware-Dateien.

Anti-Virus Client Security von F-Secure

Wie das Produkt von McAfee, vereint F-Secure Antispyware und Antivirus in einem Paket.Wer F-Secure bereits einsetzt, ist mit dem Zusatzmodul gut bedient.Wer jedoch mit einem anderen Hersteller auf Virensuche geht, für den lohnt der Kauf der Gesamtlösung von F-Secure rein aus Spyware-Gründen nicht. Das gilt ja auch für McAfee. Der »Anti-Virus Client Security« (AVCS) hinterließ bei den wichtigen Erkennungs- und Säuberungstests einen eher gemischten Eindruck. Seine Resultate sind ein wenig schlechter als die von McAfee, ein großes Stück schlechter als die der drei Vornplatzierten. Nach dem ersten Scan, der Säuberung und dem ersten Reboot funktionierten die Client-Maschinen immer noch nicht richtig. Der AVCS hat 113 beziehungsweise 198 Fälle von Spyware auf den Rechnern erkannt und versucht, sie zu beseitigen. F-Secure ist es gelungen, eine ganze Reihe dieser Programme zu entfernen. Der Browser auf einem System war aber weiterhin so stark infiziert, dass er nicht funktionierte.Auf der anderen Maschine übersah der AVCS die BHOs. Die Management-Konsole ist das Herzstück des F-Secure-Konzepts.

Der Client selbst interagierte problemlos mit der ADS und ließ sich ebenso auf die Rechner aufspielen. Als Bonus liefert F-Secure ihr Programm standardmäßig mit einer PC-Firewall aus. Es wäre jedoch wünschenswert,würde diese den Desktop des Anwenders weniger oft mit ihren Pop-ups behelligen. Diese könnten den Anwender mehr verwirren als ihn aufklären.Mit seinen vier Scan-Methoden hat das Produkt auf diesem Feld alle Kriterien erfüllt. Der User oder Administrator darf zwischen Echtzeit-, E-Mail-, Webverkehr- und manuellen Scans wählen. Nicht gefallen hat, dass F-Secure viel Zeit beansprucht,wenn es die Agenten verteilt und sie aktualisiert. Bei der Bedienerfreundlichkeit konnten der AVCS und die Management-Konsole dagegen voll punkten. Der Policy-Manager erlaubt es, das Regelwerk in Bezug auf Installation, Viren- und Spyware-Typen, Gegenmaßnahmen, den Berichten sowie den Alarmen feinstufig zu verändern. Als Gesamtpaket konnte die Lösung von F-Secure insgesamt überzeugen.

Ad-Aware SE Enterprise von Lavasoft

Der schwedische Anbieter Lavasoft hat sich mit seinen kostenlosen Antispyware-Tools viel Reputation auf diesem Gebiet erworben.Das in diesem Test untersuchte Produkt ist eine Kombination aus dem Tool »Ad-Aware SE Enterprise Professional Edition« und der »Ad- Axis«-Management-Konsole. Ad-Aware SE hat bewiesen, das es ausgezeichnet darin ist, Spyware von einer infizierten Maschine zu entfernen.Kein Zweifel,dessen Scans funktionieren. Leider zeigte sich im Laufe des Tests, dass die zwei Tools schlecht miteinander harmonieren. Als einzige Lösung zwang sie die Tester, die Agents per Hand auf den Clients zu installieren. Zudem mussten sie drei voneinander getrennte Items einrichten, bis das Produkt endlich arbeitete: erst die Ad-Axis-Management- Konsole, dann die Ad-Axis-Clients und schließlich die Ad-Aware-Software. Letzterer Agent lässt sich per Skript automatisch an die Rechner verteilen. Trotzdem muss der Administrator weitaus mehr Zeit und Arbeit investieren als bei allen anderen Lösungen im Test, bis die Produkte funktionieren. Diese Schwäche wird den Alltag eines Administrators immens stören, so dass sie das Gesamtergebnis von Ad-Aware nach unten korrigierte.

Aus Funktionssicht hat Ad-Aware die Testkriterien erfüllt.Einmal aufgespielt und konfiguriert, hat das Produkt bewundernswerte Erkennungsund Säuberungsmechanismen vorgeführt.Beim ersten Scan hat es 166 beziehungsweise 177 Objekte auf den infizierten Rechnern erkannt. Danach hat es nahezu alle unerwünschten Elemente beseitigt, sei es in der Registry oder im Browser. Dessen Funktionen waren von allen störenden Toolbars und BHOs befreit.Mit dem Ad-Watch- Feature überwacht die Suite von Lavasoft die Rechner im Netz in Echtzeit. Die Funktion Prozess- Watch hat dabei, wie der Name schon andeutet, ein Auge auf alle laufenden Prozesse geworfen. Der Administrator darf darüber unerwünschte Tasks auch beenden. In der Testversion verschickt Lavasoft Alarme nur via E-Mail, hat aber weitere Mechanismen versprochen.

Auch auf einem anderen Gebiet muss der Hersteller nachbessern. Die Berichtsfunktionen sind unausgereift, da Ad-Aware wichtige Resultate nur über Textdateien zugänglich macht. Nicht für jemanden,der gewisse Informationen schnell finden möchte. Unter dem Strich ist Ad-Aware wegen seiner Management-Schwächen für den Einsatz in professionellen Netzen noch nicht reif. Bei der Spyware- Analyse dagegen ist das Tool stark, so dass es sich durchaus lohnt, diesen Hersteller im Auge zu behalten.Zumal es keine allzu schwere Aufgabe ist, die Konsole zu verbessern.

Etrust Pest-Patrol von CA

Das Tool von CA ist leicht zu installieren und hat aus Funktionssicht alle Testkriterien erfüllt. Leider hat es im wichtigsten Bereich Schwächen – bei der Erkennung und Entfernung von Spyware. Die Pest-Patrol-Management-Konsole hat die Clients im Testnetz schnell gefunden. Die Anti-Spyware-Engine von CA basiert auf der ».Net«-Infrastruktur von Microsoft und soll, so verspricht der Hersteller, eine breite Palette an bekannter Malware aufspüren. Der Test zeigte aber, dass ihre Ergebnisse weit hinter denen der Konkurrenz liegen. Das CA-Produkt hat 82 beziehungsweise 76 »Pestelemente« auf den Clients erkannt und entfernt. Leider hat es zahlreiche BHOs und Registry-Keys übersehen und bei der XP-Maschine den IE nicht repariert.Der Browser wollte nicht öffnen und hat stattdessen zahlreiche Fehlermeldungen produziert.Mit der typischen Microsoft-Bitte, die Fehlerdiagnose doch bitte an die Redmonder zu senden.

Wie Lavasoft, konnte CA auch bei den Berichten nicht Schritt halten.Die Reports von Pestpatrol sind zwar durchdacht, aber nur als Textdatei verfügbar. Informationen, die so verarbeitet sind, werden den Vorstand sicher nicht beeindrucken. Auf anderen Gebieten hat sich das Produkt dagegen exzellent geschlagen.Die Synchronisierung mit der ADS ist ausgezeichnet gelungen. Jeden einzelnen Schritt der Installation und Konfiguration dokumentiert Pestpatrol mit Statusbalken. Das Tool hat seine Agenten auch am geschicktesten auf die Clients verteilt.Ein Klick auf eine Check-Box, und schon schickt Pest-Patrol sein Client-Paket an den entsprechenden Rechner.

Zudem arbeitet der Agent im Hintergrund, so dass er für den Anwender im Verborgenen bleibt. So lassen sich unnötige Helpdesk-Anrufe vermeiden. Das Produkt von CA erlaubt dem Administrator, Scans direkt nach dem Booten,on-demand und zeitlich gesteuert zu setzen. Die Management- Konsole setzt die nötigen Parameter, wobei sie sich intuitiv erschließt und generell alle Aufgaben schnell abwickelt. Auf dem wichtigsten Gebiet aber hat das Tool schlecht abgeschnitten: Erkennung und Beseitigung von Spyware. Das begründet das schlechte Ergebnis.

Fazit

Spyware ist inzwischen so gefährlich, dass es an der Zeit ist, sie zu bekämpfen. Die Real-World Labs haben sieben Produkte untersucht, die sich dieser Aufgabe gewidmet haben. Die Tools installieren Agenten auf den Clients, die dort nach den unerwünschten Programmen suchen. Gesteuert werden sie mit einer zentralen Konsole. Sie verteilt die Agenten,konfiguriert sie und sammelt deren Ergebnisse. Am Ende haben »CounterSpy Enterprise 1.5« von Sunbelt und »Anti-Spyware for Small and Medium Business 3.0« am besten abgeschnitten.

Ihre Erkennungs- und Säuberungsmechanismen waren die besten im Test. Die Auszeichnung »Referenz « der Network Computing durfte schließlich Sunbelt für sich beanspruchen.Der Grund: Im Gegensatz zu Trend Micro, die auf ein aufWeb basierendes Management-Interface setzt, hat Sunbelt eine konventionelle Windows-Konsole gewählt. Für Verantwortliche im Alltag ein leichter zugänglicher Ansatz, da sie sich in ihrer gewohnten Umgebung bewegen. »Spysweeper Enterprise 2.1« von Webroot landet auf dem dritten Platz,weil sie verglichen mit den anderen Spyware weniger genau beseitigt hat.

Die »Anti-Spyware Enterprise and Active VirusScan Suite« von McAfee sowie der »Anti-Virus Client Security 6.0« von F-Secure sind, wie der Name schon andeutet, kombinierte Abwehrtools. Sie sind primär Antiviren-Suites, die per Modul Antispyware hinzulernen. Für alle Unternehmen, die bereits mit einem dieser Hersteller auf Virenfang gehen, ist deren Zusatzmodul der logische Schritt. Allen anderen wäre der Kauf rein aus Spyware-Gründen nicht zu empfehlen.

»Ad-Aware SE Enterprise« von Lavasoft beherrscht zwar ausgezeichnete Mechanismen,um Spyware zu bekämpfen. Das Ergebnis auf diesem Gebiet wird leider von den schwachen Management- Funktionen arg gedämpft.So muss der Administrator bei diesem Tool die Agents beispielsweise komplett manuell verteilen und aufwändig konfigurieren. Ganz anders »eTrsut PestPatrol Corporate Edition 5« von CA. Dieses Produkt hat die stärksten Management-Funktionen gezeigt. Leider auch die schwächsten Erkennungsmechanismen.

pm@networkcomputing.de