Sobald eine neue Virenvariante losgelassen wird, kann ein einzelner Fehltritt den Untergang des Netzwerks bedeuten. Network Computing testete sechs Antivirus-Suites, welche die Wahrscheinlichkeit einer Katastrophe reduzieren helfen.

Der vergangene Sommer brachte eine böse Überraschung für Netzwerkadministratoren, die sich mit ihren Antiviren-Strategien auf der sichern Seite meinten. W32/Blaster, W32/Welchia und Sobig.F rauschten durch das Internet und breiteten sich rapide aus – in ihrem Kielwasser blieben Schäden zurück, die in die Milliarden gingen. Diese Würmer waren etwas Besonderes, denn sie kombinierten Angriffsmechanismen wie Social-Engineering und Netzwerkkommunikationsattacken. Die Autoren dieser Würmer umgingen konventionelle Antiviren-Verteidigungen und hielten damit viele Sicherheitsteams in Atem. Etwa zur gleichen Zeit erklärten die Computer & Communications Industry Association (CCIA) und Gartner, dass ein Festhalten an der »Microsoft-Monokultur« es Virusentwicklern viel zu einfach mache, die Internet-Infrastruktur zu verkrüppeln.

Report-Card: Antivirus-Suites

Features: Antivirus-Suites

Features Fortstzung: Antivirus-Suites

Wir geben zu, dass wir in Anbetracht dieser traurigen Umstände unseren Antivirus-(AV-)Suite-Test in der Hoffnung durchführten, eine wirkliche Lösung für diese Probleme zu finden. Viele Hersteller haben zwar Fortschritte gemacht, aber leider konnten wir kein Produkt finden, das Netzwerkbetreiber davor bewahrt, beim nächsten Mal, wenn eine neue Attacke ihren Weg ins Netz findet, nicht wieder niedergeschlagen zu werden. Warum? Weil die Industrie noch immer reagiert statt präventiv tätig zu werden. Es wäre schon ein neues Virus oder ein neuer Wurm nötig, der gleich Tausende von Unternehmen aus dem Geschäft fegt, um die Industrie zu motivieren, das Hauptproblem zu lösen: die Anonymität.

Vor diesem Hintergrund untersuchten wir, welche Antivirus-Produkte am effiizientesten vor neuen Generationen von Netzwerkwürmern und Viren schützen. Unsere zwei Schlüsselfragen waren: Ist es Antivirus-Herstellern gelungen, Produkte und Strategien zu entwickeln, die gegen Würmer und gemischte Bedrohungen sowie traditionelle Viren verteidigen? Gibt es irgendeinen Weg, Netzwerke zu schützen während der Periode der besonderen Verwundbarkeit, die bei allen Antivirus-Produkten existiert, weil sie sich auf rein reaktive Signatur-Scanning-Techniken stützen?

Computer Associates, F-Secure, Network Associates, Sophos, Symantec und Trend Micro folgten unserer Einladung. Panda Software und Global Hauri bekundeten Interesse, konnten uns aber ihre Produkte nicht rechtzeitig zur Verfügung stellen.

Die erste Frage ist die einfacher zu beantwortende: Nötig sind eine integrierte AV-Suite, die alle bekannten Infektionsvektoren (Pfade ins Netzwerk) kennt, ein gut durchdachter Ereignis-Reaktionsplan, 24x7-Hersteller-Support, gründliches Benutzertraining und reichlich Zeit für das Netzwerkpersonal vor, während und nach einem Ausbruch. Das mag nach mehr Arbeit klingen, als wir wünschen, aber dies ist für viele Organisationen eine erprobte Virus-Eindämmungsstrategie.

Die zweite Frage, wie sich das Infektionsrisiko während der Phase besonderer Verwundbarkeit reduzieren lässt, ist schwieriger zu beantworten. Alle Hersteller versprechen »Outbreak-Management-Systeme«, die den Schaden verringern können, sofern sie richtig implementiert sind. Die von jedem Produkt verwendete AV-Signatur-Scanning-Technik ist bestenfalls ein zweischneidiges Schwert. Diese Technik funktioniert zwar gut, um die Unmenge der »in der freien Wildbahn« existierenden Viren an einem unwillkommenen Comeback zu hindern, aber sie ist rein reaktiv. Immer gibt es eine signifikante Verzögerung zwischen dem Zeitpunkt der Entdeckung eines neuen Virus und der Installation einer defensiven Signatur auf dem Desktop des Benutzers. Diese Zeitspanne erzeugt das Fenster der Verwundbarkeit, sie ist die Achillesferse der Produkte – und Virenentwickler haben gelernt, sie zu missbrauchen. Sobig.F kam beispielsweise mit seinem bemerkenswert effizienten, eigenen SMTP-Server, der während des Zeitraums der Verwundbarkeit die Bevölkerung mehrerer Millionen Desktops ermöglichte.

Was wir wollten

Einige der getesteten AV-Systeme kamen sehr aufgemotzt daher, aber wir haben nie den Hauptgrund aus den Augen verloren, warum diese Produkte gekauft werden. Folgende Testgebiete legten wir zu Grunde: Installation und Konfiguration, Managementkonsole und -Features, E-Mail-System-Scanner, Server-Dateisystem-Scanner, Client-(Desktop-)Scanner, Perimeter-Scanner (wo verfügbar), Outbreak-Management-Werkzeuge, automatisiertes Software- und Signatur-Deployment und -Update sowie Richtlinienmanagement für alle zuvor genannten Dinge.

Wir verglichen außerdem die Strategie mit dem Produkt, um herauszufinden, inwieweit die Realität dem Marketing entspricht. Ein Beispiel dazu: Wenn es um das Outbreak-Management geht, sind alle Hersteller schnell dabei zu sagen »Klar! Wir machen das!«. Aber haben die Hersteller auch die Infrastruktur, um in kürzester Zeit sinnvolle Richtlinienempfehlungen zu geben? Zu beachten ist auch, dass der Schlüssel zur Skalierbarkeit relationale Datenbanken sind, die die Bevölkerung verfolgen. Computer Associates, Network Associates und Trend Micro bieten relationale Datenbanken in ihren Produkten.

Wir fanden zwar keine umfassende Problemlösung und auch keine revolutionär neue Technologie, aber wir fanden bemerkenswerte evolutionäre Verbesserungen. Nach folgenden Features sollten Sie in neuen AV-Produkten Ausschau halten:

• Breitgefächertere Anwendung von Outbreak-Richtlinien: Wenn ein neues Virus entdeckt wird, verstehen die Produkte den grundlegenden Angriffsmechanismus, lange bevor Signaturen zur Verfügung stehen. Innerhalb von Stunden können die Hersteller Vorlagen für Richtlinieneinstellungen herausgeben, die dem Virus den Zugang zu seinem Verteilungskanal verwehren. Kommt ein Virus beispielsweise in einem spezifischen Dateianhang, sagen wir .VBS, eingekapselt in einer Zip-Datei, könnte die Outbreak-Richtlinie empfehlen, die kommenden Tage alle gezippten .VBS-Dateien vom Mail-Server oder Perimeter zu entfernen, selbst wenn die normale Richtlinie des Unternehmens dies nicht vorsieht. Innerhalb eines Jahres wird ein robustes Outbreak-Management sicher ein Standardangebot aller AV-Hersteller werden.

• Personal-Firewalls: Um mit kombinierten Bedrohungen fertig zu werden, benötigen einige Hersteller Personal-Firewalls, die von einer zentralen AV-Richtlinien-Managementkonsole aus verwaltet werden. Solche Firewalls bringen aber Probleme mit sich. Sie müssen beispielsweise vor Konfigurationsänderungen durch Benutzer geschützt werden, sonst wird die Firewall den Benutzer jedes Mal fragen, was sie tun soll, wenn eine Anwendung auf das Netzwerk zugreifen will – und der Benutzer wird jeden Zugriff sehr wahrscheinlich bestätigen. Wir erwarten für die kommenden Monate hitzige Debatten zu diesem Thema.

• Hardware-Beschleuniger: So, wie die Hardware-Beschleunigung in den vergangenen Jahren Firewall- und Intrusion-Detection-Produkte revolutioniert hat, beginnt sie sich nun auch in AV-Suites zu zeigen. Trend Micro liefert beispielsweise einen HTTP-AV-Proxy, der einen AV-Beschleuniger von Tarari verwendet, um die Verzögerungszeit dramatisch zu reduzieren.

• Entdeckung und Zügelung nicht konformer Maschinen: McAfee arbeitet mit Netzwerkherstellern zusammen, um neue Maschinen, die ins Netzwerk kommen, auf Up-to-Date-AV-Software zu testen. Maschinen, die diese Software nicht besitzen, wird die Netzwerkverbindung verweigert. Diese erzwungene und notwendige Verriegelung der Hintertür wird sicher bald üblich sein.

Einige Universitäten setzen diese Technik bereits ein. Die Syracuse University verlangt beispielsweise von den Benutzern, Antivirus-Software auszuführen. Falls McAfee-AV eingesetzt wird, hält die Universität es via McAfees e-Policy-Orchestrator aktuell. Benutzer, die andere AV-Software verwenden, sind selbst verantwortlich und tragen das Risiko, dass ihre Netzwerk-Ports geschlossen werden, sollten sich ihre Maschinen infizieren.

• Virtual-Machine-Technik: Norman Data Defense war beim AV-Einsatz der Pionier. Die Theorie ist, dass verdächtig erscheinender Code in der VM ausgeführt wird, um festzustellen, ob er ein gefährliches Verhalten an den Tag legt. Anschließend kann entschieden werden, ob der Code für »normale« Maschinen geeignet ist.

Was wir erhielten

Wir bewerteten die Produkt-Suite eines jeden Herstellers nach folgenden Kriterien:

• Plattformabdeckung: Deckt der Hersteller alle wahrscheinlichen Infektionsvektoren für eine ganze Reihe unterschiedlicher Plattformen ab? Dies ist ein kritischer Erfolgsfaktor. Obwohl alle getesteten Produkte die notwendigen Infektionsvektoren implementieren, gab es bei der Betriebssystemunterstützung ein paar Überraschungen. Am bemerkenswertesten war das Fehlen von Linux-Unterstützung, was das Ergebnis zweier ansonsten sehr fähiger Produkte negativ beeinflusste. Betroffen waren diejenigen von Network Associates und Symantec.

• Management: Ein weiterer kritischer Erfolgsfaktor waren automatische Client-Installation, automatisches Update und fortlaufendes AV-Richtlinien-Management. Sophos zeigte die intuitivste Managementschnittstelle. F-Secure und Trend Micro enthalten weniger elegante, aber eben so nützliche Managementwerkzeuge.

Die Produkte von Network Associates und Symantec punkteten mit ihren robusten Managementfähigkeiten ganz gut – wer ein großes Netzwerk hat, der braucht vielleicht genau das, was die beiden bieten. Aber beide erforderten einige Arbeit bei der Installation und schmeckten eher nach Sammlungen zusammengeklebter Einzelprodukte, bei denen sich die »Suite«-Integration überwiegend auf der Marketingebene abspielt.

• Strategischer Plan: Verfügt der Hersteller über einen effizienten Plan zur Vermeidung von Ausbrüchen? Sie können es mögen oder nicht, AV-Verteidigung ist eine hoch entwickelte Form elektronischer Kriegsführung. Kein General würde ohne soliden strategischen Plan in die Schlacht ziehen. Glücklicherweise besitzen alle getesteten Produkte solche soliden Pläne, aber einigen Herstellern, beispielsweise Trend Micro, gelingt es besser, ihre Produkte den jeweiligen Plan direkt unterstützen zu lassen. Genau so wichtig ist die AV-Strategie Ihres Unternehmens – Sie haben doch eine?

• Outbreak-Management: Hat der Hersteller einen effizienten taktischen Plan zur Minderung des Schadens während eines Ausbruchs? Dies könnte sich als Rettung für die fundamental geschwächte Signatur-Scanning-Technik erweisen. Wir haben diesem Kriterium ein sehr hohes Gewicht gegeben, weil wir schon gesehen haben, wie 100000 Menschen tagelang beschäftigt waren, Ausbrüche in Unternehmen in den Griff zu bekommen. Wieder setzte sich Trend Micro mit glänzendem Outbreak-Management-Fähigkeiten an die Spitze. Nicht überraschend erhielt Trend Micro schließlich unsere Auszeichnung »Referenz«.

Schließlich bewerteten wir noch Installation, Dokumentation und Preis. Installation und Dokumentation tragen zwar nur mit einem Gewicht von jeweils 10 Prozent zum Gesamtergebnis bei, aber auf der Frustrationsskala können sie deutlich höher angesiedelt sein, wenn der Hersteller die Sache nicht richtig macht. Beim Preis ist zu beachten, dass viele der Produkte mehrere Komponenten enthalten und verschiedene Preis-Schemata existieren.

Trend Micro NeaTSuite

Trend Micro gewann unsere Auszeichnung »Referenz«, weil das Unternehmen unsere beiden Schlüsselfragen am überzeugendsten beantwortete. Am Anfang der Enterprise-Protection-Strategy (EPA) von Trend Micro steht die Prämisse, dass die Konzentration allein auf Antivirus nicht ausreicht. Das Unternehmen erkennt die Unzulänglichkeiten der Antivirus-Technologie an und hat eine Sammlung von Produkten, Diensten, Operationstaktiken und Managementwerkzeugen entwickelt, welche die Kosten (und Kopfschmerzen) der Behandlung des unvermeidbaren Virusausbruchs reduzieren. Trend Micro zeigte im Test die die robustesten Outbreak-Management-Fähigkeiten. Die überlegt zusammengestellte Suite deckt Perimeter, Mail-Server, Dateiserver und Desktops ab und bleibt dabei mit Hilfe einer intuitiven, auf Web basierenden Konsole – Control-Manager – noch gut administrierbar.

Wir mussten zwar die individuellen Produkte separat installieren, aber Control-Manager-Agenten binden sie eng zusammen und erlauben ein handliches, zentralisiertes Management. Die Installation auf einem halben Dutzend Server verlief wunderbar ereignislos. Gleiches lässt sich für die automatische Installation der Desktop-Scanning-Software auf einem halben Dutzend Test-PCs sagen.

Glanzstück der Trend-Micro-Produkt-Suite ist die Outbreak-Manager-Komponente der Control-Manager-Konsole. Diese Komponente reduziert den Schaden während der Phase der Verwundbarkeit, die es bei jeder Signatur-Scanning-Technik gibt. Wenn ein neues Virus auftaucht, holt sich der Outbreak-Manager automatisch eine Sammlung von Richtlinien-Steuerungsvorlagen von der Trend-Micro-Support-Web-Site. Diese Richtlinienvorlagen neutralisieren das aktuelle Virus. Die Vorlagen lassen sich so einrichten, dass sie sich automatisch auf Endpunkt-Server und Arbeitsstationen laden oder sich in eine Warteschlange einreihen, damit sie vor der Distribution noch editiert werden können. Die meisten mittleren und großen Organisationen werden es sicher bevorzugen, die Vorlagen zunächst zu editieren und die Richtlinien dann manuell zu verteilen, aber es sieht schon gut aus, wenn jemand automatisch die Führung übernimmt, um dieses Loch zu stopfen. Auch die anderen Hersteller machen Richtlinienvorlagen verfügbar, aber die Trend-Micro-Implementation ist die gelungenste.

Das rapide Wachstum von Trend Micro in den vergangenen Jahren ist kein Zufall. Das Unternehmen konzentriert sich auf Antivirus, und seine Produkte decken alle Basen mit einem gut integrierten Toolset ab, das den strategischen Schwerpunkt unterstützt: das Management von Virusausbrüchen.

So testete Network Computing

Für den Test der Enterprise-Antivirus-Lösungen erzeugten wir zuerst das geeignete AV1004.Net-Testumfeld (siehe Grafik). AV2004 stellt den Mikrokosmos eines Enterprise-Netzwerks dar und enthält den Großteil der Elemente, die sich nur schwer administrieren lassen und deshalb einen AV-Plan so kompliziert machen: mobile Benutzer und Tele-Arbeiter, störrische Benutzer, die sich weigern, AV-Software auszuführen, weil diese Software »den Computer so langsam macht«, mehrere physische und logische Einstiegspunkte, eine weite Geografie und unterschiedliche Betriebssystemplattformen. Anschließend baten wir die Hersteller, uns zu zeigen, wie man diese Netz vor Viren schützen, gleichzeitig aber administrierbar halten kann. Wir testeten verschiedene Schlüsselpunkte in diesem Netzwerk:

• Perimeter, Scanning von Inbound-HTTP, -FTP- und -SMTP- sowie Outbound-SMTP-Verkehr,

• Mail-Server-Scanner, die gewährleisten, dass sich Viren nicht durch die Hintertür, beispielsweise über einen Laptop mit veralteter Signaturdatei, im internen Mail-System ausbreiten,

• Dateiserver,

• Desktop-Schutz und Personal-Firewall,

• Managementkonsolen.

Network Associates McAfee System Protection

Die jahrelange Erfahrung von Network Associates scheint durch mit einer strategischen Architektur, die nicht nur alle gefragten Basen abdeckt, sondern auch zu sehr großen Konfigurationen skaliert. »McAfee Active Virus Defense Suite« bietet Schutz für alle getesteten Vektoren.

Virusscan-Enterprise, das Flaggschiff-Produkt, bietet AV-Schutz für Desktops und mobile Benutzer. Integriert mit ePolicy-Orchestrator bildet sich ein Feature, das wir ganz besonders mochten: Laptop-Benutzer lassen sich auffordern, ihren AV-Schutz aktuell zu halten, selbst wenn sie nicht bei jedem Verbindungsversuch ein komplettes Update durchführen.

Im Gleichklang mit den Ansätzen anderer AV-Hersteller nutzt Network Associates die McAfee-Desktop-Firewall-Lösung (ebenfalls integriert mit ePolicy-Orchestrator), um mit kombinierten Bedrohungen fertig zu werden.

Wir testeten auch die McAfee-Webshield-e500-Perimeter-Appliance, die neben Inbound- und Outbound-SMTP auch Inbound-POP3-Nachrichten, HTTP und FTP-Verkehr scant. Die 1HE-Box enthält Dual-PIII-1GHz-Prozessoren mit 256 MByte Speicher und zwei gespiegelte 17,4-GByte-SCSI-Platten. Diese Hardwarekonfiguration entspricht im Wesentlichen dem, was auch andere Hersteller als Plattform für ihre Perimeter-Gateway-Server-Software empfehlen. Das bemerkenswerteste Feature von Webshield-500 ist die völlig einfache Installation. Wir hatten die Appliance in ein paar Minuten am Laufen, und die Konfiguration via Web-Schnittstelle war eine Kleinigkeit. Die Steuerung der e500 von der zentralen ePolicy-Orchestartor-Konsole aus war ein sehr intuitiver Prozess.

Der einzige Unzulänglichkeit der McAfee-Linie war ihre herausfordernde Installation. Die getesteten Produkte waren sehr funktionell, aber sie ans Laufen zu bekommen war harte Arbeit. Der Suite scheint ein Dokument zu fehlen, das die korrekte Installationsreihenfolge des Gesamtpakets beschreibt.

Wir waren überrascht festzustellen, dass die Suite Linux nicht unterstützt. Network Associates und Symantec waren die beiden einzigen Hersteller, die zum Testzeitpunkt Linux nicht unterstützten.

Computer Associates eTrust Antivirus 7

Das Etrust-Produkt ist die Antivirus-Komponente der größeren Cross-Platform-Suite Threat-Management, die Intrusion-Detection, Secure-Content-Management (Spam-, URL- und AV-Filterung) und Richtlinienmanagement-Produkte für die Überwachung von Sicherheitsrichtlinien umfasst. Etrust ist ein leicht administrierbares Produkt der Enterprise-Klasse, das unter den getesteten Produkten mit die beste Abdeckung bot. Wer eine Plattform hat, die Antivirus-Schutz benötigt, für den hat CA die Antwort: Windows-9x, Windows-NT/2000/XP, Linux, Solaris, Netware, MacOS, Palm-OS und Pocket-PC-2002 sind die vollständig administrierbaren Clients, die Etrust-Antivirus unterstützt.

Auf strategischer Ebene versteht CA durchaus die Einschränkungen der Technologie. CA verfolgt eine der klarsten Strategien und arbeitet hart daran, mitzuteilen, dass es keine halben Antworten gibt. Tatsächlich nahm der Hersteller kein Blatt vor den Mund und sagte uns ganz offen, dass aus seiner Sicht das schwache Glied vieler Unternehmens-Antivirusrichtlinien der Mensch ist, der vor dem Computer sitzt.

CA unterstützt Outbreak-Management mit vordefinierten Richtlinienplänen, die wir ausführen konnten, als es nötig war. Dazu gehören auch Richtlinien-gesteuerte Signatur-Updates und eine ganze Reihe von Ausbruch-Alarmierungsfähigkeiten, darunter Netzwerk-Broadcast, SNMP, SMTP, Pager, Trouble-Ticket und Verknüpfungen mit CAs Unicenter-Netzwerk-Management-Produkt.

Etrust nutzt zwei Scanning-Engines, um die Chancen zu reduzieren, dass vielleicht ein Bug durchs Netz schlüpft. Der einzige andere Hersteller, der mehrfache Engines (drei) unterstützt, war F-Secure. Unter den getesteten Produkten war Etrust das einzige, das während der gesamten Produktlebensdauer kostenlose Signatur-Updates bietet, und zwar unabhängig von der Art des angeschlossenen Wartungsvertrags – das ist höchst ungewöhnlich für eine Branche, die Signatur-Update-Abonnements als Haupteinnahmequelle betrachtet.

F-Secure Total Suite & Anti-Virus Client Security 5.50

Das finnische Unternehmen F-Secure bietet verschiedene Produkte und Dienstleistungen, die ahnen lassen, dass der Hersteller »unsere Schmerzen kennt« und hart daran arbeitet, sie zu lindern. Als Teil der Produktsammlung »Total Suite«, die alle erforderlichen strategischen Basen abdeckt, offeriert F-Secure Personal-Firewalls und drei Scanning-Engines. Enthalten ist ein »Radar« genanntes Outbreak-Benachrichtigungssystem, das Administratoren selbst dann berücksichtigen sollten, wenn F-Secure nicht der primäre AV-Produkt-Anbieter des Unternehmens ist.

Zwei Tage, nachdem wir uns entschieden hatten, Tests von Personal-Firewalls nicht durchzuführen, gab F-Secure eine neue Version ihrer Anti-Virus-Client-Security-Lösung frei, die eine Personal-Firewall im Desktop-Client integriert. Enthalten in der Policy-Manager-Konsole ist nun auch eine Firewall-Management-Seite. Die Prämisse ist hier, dass Richtlinien-gesteuerte Firewalls nicht länger als Optionen betrachtet werden sollten, wenn es um den Umgang mit kombinierten Bedrohungen geht. Eine Version ohne Firewall ist allerdings nach wie vor erhältlich. Wir testeten die Firewall zwar nicht gründlich, aber installiert haben wir sie trotzdem – und die Policy-Manager-Firewall sieht tatsächlich verwaltbar aus.

Das F-Secure-Produkt war das einzige im Test, das gleich drei Scanning-Engines enthielt. Dieser Doppelt-und-dreifach-Ansatz ist typisch für die gesamte F-Secure-Produkt-Suite und bietet zusätzlichen Schutz. Da selbst die beste Scanning-Engine einen kleinen Teil von Infektionen übersehen kann, reduziert die Lösung von F-Secure diese Wahrscheinlichkeit auf fast null.

In Sachen Outbreak-Benachrichtigung steht der Radar-Dienst für sich allein. Zwar boten alle getesteten Produkte einen Benachrichtigungsdienst, aber Radar ging einen Schritt weiter und schickte uns Benachrichtigungen direkt auf den Pager oder das Mobiltelefon. Die Theorie besagt, dass eine E-Mail-Benachrichtigung, die ein paar Stunden in der Posteingangsbox schlummert, nichts auszurichten vermag gegen SoBig.X, den neuen Wurm, der 100000 Maschinen pro Stunde infiziert.

Die F-Secure-Suite war eine der am leichtesten zu installierenden; die Dokumentation umfasst einen detaillierten Testplan, der eine EICAR-Virustest-Datei enthält, mit der sichergestellt werden kann, dass alle Produkte korrekt installiert sind und wie vorgesehen arbeiten. Diese EICAR-Datei ist ein Standard-Testwerkzeug, das ein Virus darstellt, das von allen AV-Scanning-Engines erkannt wird. Das primäre Einsatzgebiet dieser Datei ist das Testen von Antivirus-Lösungen, ohne dass es dabei zu Schäden kommt. Weitere Informationen sind unter www.eicar.org zu finden.

Die Policy-Manager-Konsole ist klar, intuitiv und informativ. Mit ihr konnten wir leicht Client-Software und aktualisierte Signaturdateien auf unsere Desktops, Server und Laptops laden. Gefallen hat uns auch der effiziente Signatur-Proxy-Server, der es erlaubt, Signaturdateien kontrolliert und mit nur geringen Beeinträchtigungen in großen Netzwerken zu verteilen.

Symantec AntiVirus Enterprise Edition 8.6

Gemessen an der Anzahl der Mitbewerber, die in ihren Produkt-Suites Migrationswerkzeuge integriert haben, die sich auf Symantec beziehen, ist Symantec offensichtlich der Hersteller, der zu schlagen ist. Das Angebot von Symantec basiert auf einer Architektur, die für das Management des Antivirus-Schutzes der größten Netzwerke entworfen ist – allerdings brauchten wir recht lange, um herauszufinden, welche Kombination der 20 Antivirus-Produkte für unser simuliertes 1500-Knoten-Test-Netzwerk die richtige war. Schließlich griffen wir zu Symantec-Antivirus-Enterprise-Edition 8.6. Symantec hat aktiv daran gearbeitet, ihre Consumer-Abteilung – Trademark »Norton« – von der Enterprise-Software-Abteilung – Symantec – zu trennen. Für unsere Zwecke testeten wir ausschließlich Symantec-Enterprise-Software und haben die Norton-Consumer-Produkte nicht angerührt.

Symantecs Erfahrung als einer der ältesten Mitspieler auf diesem Markt ist offensichtlich. Die Antivirus-Management-Architektur war für jede von uns geforderte Basis verfügbar. Symantecs Antivirus-Corporate-Edition, die den Antivirus-Corporate-Edition-Server enthält, arbeitet als zentrales Repository für Client-Software, Konfigurationspakete und Antivirus-Signatur-Updates. Wir konnten alle Aktivitäten des Corporate-Edition-Servers entweder lokal oder mit der Symantec-System-Center-MMC-Konsole auch von einer Remote-Arbeitsstation aus administrieren. Unlängst durchgeführte Erweiterungen enthalten höhere Sicherheit für die Managementkonsole und ein besseres Auditing für Client-Maschinen, das deren Aktualität gewährleistet.

Der Symantec-SMTP-Gateway und Antivirus/Filterung für Exchange-Produkte zählten zu den ersten von uns getesteten Produkten. Dabei drängte sich eine Frage auf: Ist es nicht redundant, Inbound- und Outbound-Verkehr erst im Perimeter und dann noch einmal auf dem Mail-Server zu scannen? Ja, natürlich. Aber Gespräche mit einigen Herstellern haben ergeben, dass eine Anzahl kürzlich durchgeführter Attacken einen Mail-Server überfluten könnte, so dass er nicht mehr in der Lage ist, seinen primären Job, die Auslieferung von Mail, und seine sekundäre Aufgabe, das Scannen nach Viren, zu erledigen.

Symantecs Angebot ist sehr fähig, aber die Installation hat schon etwas mit Arbeit zu tun. Ein halbes Dutzend Produkte ist in einer bestimmten Reihenfolge zu installieren, um Schutz vor allen Angriffsvektoren zu erlangen. Wir mussten die Installation gleich zwei Mal durchführen, weil die Installationsvoraussetzungen nicht ganz klar waren.

Verärgert waren wir, als wir den technischen Support von Symantec während einer Installation um vier Uhr morgens anrufen mussten. Eine Nachricht auf Symantecs Web-Site sagte schlicht, dass Symantec die Telefonnummer für Platinum- und Gold-Support erst dann herausgerückt, wenn Wartung gekauft wird. Unsere Installation hatte also für ein paar Stunden Pause, bis wir die Sache klären konnten. Unsere erste Reaktion auf diesen Sachverhalt ist nicht druckreif, aber schließlich bekamen wir einen sehr kompetenten und hilfsbereiten Symantec-Techniker an die Strippe.

Die einzige Überraschung, die die Suite für und in petto hatte, war die nicht vorhandene Unterstützung von Linux.

Sophos AntiVirus

Die Architektur des Produkts von Sophos ist, um es mit einem Wort zu sagen, elegant. Die Suite war zudem völlig einfach zu installieren und zu administrieren. Die Produktlinie ist nicht ganz so breit gefächert wie die einiger anderer Mitspieler, aber die Sophos-Implementation ist für die meisten mittelgroßen Netzwerke komplett genug.

Sophos ist zwar spezialisiert auf AV-Lösungen für Unternehmen, stellte uns aber ein Consumer-Produkt zur Verfügung. Trotzdem bot die Kombination aus Sophos’ Anti-Virus, Mail-Monitor und Enterprise-Manager alles, was wir für unsere fünf Server sowie unsere lokalen, fernen und mobilen Computer und Mail-Server benötigten. Die vom Hersteller patentierte Intercheck-Technik ließ uns verfolgen, welche Dateien bereits gescant waren. Dateien scant die Lösung nur dann wiederholt, wenn sie kürzlich modifiziert wurden - dieses Feature trägt dazu bei, die Bandbreitennutzung zu reduzieren.

Die Sophos-Anti-Virus-Schnittstelle war im Test eins der am leichtesten anwendbaren Managementwerkzeuge und gab uns vollständige Kontrolle über die aktuellen Revisionslevel aller Clients im Netzwerk. Die Schnittstelle nutzt eine Central-Installation-Directories genannte, einfache Technik, die den Download und die Distribution von Signaturdateien in geographisch verstreuten Netzwerken steuert.

Falls eine Organisation nicht unbedingt die Enterprise-Features benötigt, die andere Produkte bieten, ist Sophos’ Lösung einen genaueren Blick wert, denn der Systemadministrator-Overhead ist eben so gering wie der Preis des Produkts.

Fazit

Alle sechs Suites haben viel zu bieten. Vor dem Hintergrund unserer zwei Schlüsselfragen enttäuschte uns keines der Produkte. Jeder Testkandidat besitzt Methoden zur Abwehr der Flut von Angriffen, und die meisten Hersteller verlassen sich dabei auf Desktop-Firewalls. Alle sechs verbessern ihre Outbreak-Management-Richtliniendistribution bis zu dem Punkt, an dem diese Technik Standard wird - dies sollte in wenigen Monaten bereits der Fall sein.

Die schmerzhafte Wahrheit ist allerdings, dass Technologie nicht alles leisten kann, und zwar unabhängig davon, welches Produkt gewählt wird. Die Lösungen von Trend Micro und Network Associates führen zwar das Feld an und können für jede Organisation eine große Hilfe sein, aber ein Großteil der Last, nämlich die Formulierung einer erfolgreichen Antivirus-Strategie und deren Transport zu einigen Tausend Endbenutzern, liegt nach wie vor auf den Schultern der IT. Der IT-Stab muss nach vorn treten und in speziellen AV-Seminaren die internen Benutzer schulen, Würmer und Viren zu vermeiden. Ein klein wenig Schulung kann große Auswirkungen haben. [ nwc, dj ]