Was taugen Antiviren-Scanner unter Linux? 16 Kandidaten für den Firmen- und Heimeinsatz treten zum großen Vergleichstest an.
Antiviren-Lösungen auf deren Wirksamkeit zu untersuchen, erfordert eine massive Datenbank mit Zehntausenden von Schädlingen und eine Farm von Testrechnern, die als Server und Clients ihren Dienst leisten. Auf dieser Grundlage ergeben dann wochenlange Test eine Suite von Rohdaten, die es anschließend gewissenhaft mit statistischen Methoden auf mögliche Ausrutscher und Fehlerquellen zu untersuchen gilt. Sowohl die Tests als auch insbesondere deren Auswertung erfordern ein eingespieltes Team von Spezialisten, die mit der Methodik und ihren Stolpersteinen vertraut sind.
Ein derartiger Aufwand lässt sich heute in den Redaktionen von Computerzeitschriften nicht mehr stemmen. Deswegen greift die IT-Presse für ihre Vergleichstest gern auf die entsprechenden Ergebnisse unabhängiger Labore zurück. Im deutschsprachigen Raum hat sich dabei das Unternehmen AV-Test GmbH [1] aus Sachsen-Anhalt als erstklassige Datenquelle herauskristallisiert. Das Geschäftsmodell der in der Landeshauptstadt Magdeburg angesiedelten Firma beruht im wesentlichen darauf, AV-Herstellern unabhängige Testdaten zu deren Produkten zu liefern, die wiederum in die Produktentwicklung einfließen. Außerdem zertifiziert AV-Test Produkte in den Kategorien Schutzwirkung, Geschwindigkeit und Usability.
AV-Test beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung, die jährlich mehr als 4500 Einzel- und Vergleichstests vornehmen. Alle Analysen basieren auf von AV-Test selbst analysierten und verarbeiteten Testsamples, zusammengetragen in einer der weltweit umfangreichsten Datenkollektionen. Alle Testfälle stammen aus internen Quellen, Daten oder Analysen von Herstellern oder anderen externen Quellen verwenden die Magdeburger nicht.
In einer Premiere nahm AV-Test im Juni/Juli dieses Jahres erstmals offiziell einen breit angelegten Vergleichstest von Antiviren-Produkten für Linux vor. Nach einer ausführlichen Prüfung und Auswertung der Daten stellte das Unternehmen uns Anfang August freundlicherweise die Testergebnisse zur Verfügung – und die wollen wir Ihnen selbstredend nicht vorenthalten, zumal sie durchaus einige Überraschungen enthalten.
Methodik
In den diversen Haupt- und Nebenlaboren des Unternehmens stehen auf rund 1200 Quadratmetern Fläche über 300 Clients und Server für Tests parat. Drei identisch ausgestattete Labore mit über 100 Arbeitsplätzen erlauben parallel laufende Tests mit unterschiedlichen Konfigurationen. AV-Test verwendet für alle Prüfungen aktuelle Hardware, nicht etwa virtualisierte PCs. Jeder Laborarbeitsplatz verfügt über drei physikalisch getrennte Netze, um höchste Sicherheitsansprüche zu realisieren und versehentliche Infektionen zu vermeiden. Im “roten” Netzwerk lagern alle Testobjekte sowie die Malware, ein Internetzugriff ist nicht möglich. Das “gelbe” Netzwerk bietet einen beschränkten Internetzugang für Malware-Testzwecke. Einzig das “grüne” Netzwerk erlaubt einen Vollzugriff auf das Internet, etwa um Programme herunterzuladen und zu aktualisieren.
Die Datenbanken umfassen gut 1000 TByte an selbst ermittelten Testdaten. Im Zentrum steht dabei die über mehr als 15 Jahre zusammengetragene, umfangreiche Datenkollektion mit einem Bestand von 150 Millionen schadfreien und 330 Millionen verseuchten Testdateien. Täglich kommen rund 390?000 neue Schaddateien hinzu. Dazu zählen insbesondere alle bösartigen Dateien, die AV-Test in den letzten sechs bis acht Wochen vor Testbeginn entdeckt hat.
Um die Schutzwirkung einer Sicherheitslösung zu testen, installieren die Testingenieure diese auf einem nicht infizierten System und überprüfen das Verhalten bei Bedrohungen durch Malware. Dafür simulieren sie verschiedene Angriffsszenarien, zum Beispiel Attacken über E-Mail-Anhänge, über infizierte Webseiten oder durch von fremden Datenträgern eingeschleuste schädliche Dateien. Die wichtigste Kategorie im Bereich Schutzwirkung stellt der Test gegen aktuelle Bedrohungen aus dem Internet dar. Hierbei werden bekanntermaßen bösartige Webseiten oder E-Mails aufgerufen, um zu testen, ob das Schutzprodukt den Angriff abzuwehren vermag.
Linux-AV-Lösungen im Test
Für ihren aktuellen Test nahmen die Magdeburger Ingenieure insgesamt 16 Antiviren-Lösungen für Linux genauer unter die Lupe. Dabei umfasste die Kandidatenriege sowohl Produkte aus dem Home- als auch aus dem Business-Bereich, neben proprietärer Software fand mit ClamAV auch GPL-lizenzierte Open Source Eingang. Auch in kostentechnischer Hinsicht findet sich das gesamte Spektrum vertreten, von mehreren hundert Euro teuren Enterprise-Schutzsuiten bis zu für Endanwender kostenlosen Applikationen. Eine Aufstellung der Kandidaten fasst die Tabelle “Linux-AV-Produkte im Test” zusammen.
Linux-AV-Produkte im Test
| Kategorie(1) | Produkt | Typ(2) | Preis(2) | Erkennungsrate Windows-Malware (Prozent)(1) | Erkennungsrate Linux-Malware (Prozent)(1) | Website |
|---|---|---|---|---|---|---|
| Business | Avast File Server Security 1.2.1 | On-access, On-demand, Mail-Filter | jährlich 359,99 Euro pro Server | 99,73 | 98,33 | https://www.avast.com |
| Home | AVG Server Edition for Linux 2013.3118 | On-access, On-demand, Mail-Filter | kostenlos | 99,33 | 99,00 | http://www.avg.com |
| Home | Bitdefender AV Scanner for Unices 7.141118 | On-demand | kostenlos | 99,80 | 85,73 | http://www.bitdefender.de |
| Home | ClamAV 0.98.7/20547 | On-access, On-demand, Mail-Filter | kostenlos (freie Software) | 15,33 | 66,11 | http://www.clamav.net |
| Home | Comodo AV for Linux 1.1.268025.1 | On-access, On-demand, Mail-Filter | kostenlos | 82,98 | 33,11 | https://www.comodo.com |
| Business | Dr. Web AV for Linux 10.1 | On-access, On-demand | jährlich 30,94 Euro pro PC | 67,77 | 91,64 | http://download.drweb-av.de |
| Home | eScan AV for Linux Desktops 7.0-18 | On-demand | jährlich 20,94 Euro pro User | 99,79 | 85,73 | http://escanav.de |
| Home | ESET NOD32 AV for Linux Desktop 4.0.81.0 | On-access, On-demand | jährlich 29,95 Euro | 99,84 | 99,67 | http://www.eset.com |
| Home | F-prot AV for Linux Workstations 6.2.39 | On-demand | kostenlos | 22,07 | 22,97 | http://www.f-prot.com |
| Home | F-Secure Linux Security 10.20 Build 358 | On-access, On-demand | jährlich 220 Euro für 5 Nodes | 99,86 | 85,73 | https://www.f-secure.com |
| Business | G Data Client Security Business for Linux 13.2.251 | On-access, On-demand | jährlich 235,60 Euro für 5 Nodes | 99,83 | 81,16 | https://www.gdata.de |
| Business | Kaspersky Endpoint Security for Linux 8.0.1.50 | On-access, On-demand | jährlich 208,25 Euro für 5 Geräte | 96,29 | 100,00 | http://www.kaspersky.com |
| Business | Kaspersky Security for Linux Mail Server 8.0.3.265 | Mail-Filter | jährlich 380,80 Euro für 10 User | 99,78 | 98,77 | http://www.kaspersky.com |
| Business | McAfee VirusScan Enterprise for Linux 2.0.1.29052 | On-access, On-demand | jährlich 16,87 Euro pro User | 85,12 | 41,92 | http://www.mcafee.com |
| Home | Sophos for Linux 9.9.0 | On-access, On-demand | kostenlos | 99,78 | 94,98 | https://www.sophos.com |
| Business | Symantec Endpoint Protection Manager 12.1.6 Build 6168 | On-access, On-demand | jährlich 61,35 Euro pro User | 100,00 | 97,21 | http://www.symantec.com |
| (1) Angabe: AV-Test (2) Herstellerangabe (Stand: 31.08.2015) | ||||||
Als Testplattform kam Ubuntu 12.04 “Precise” in der Desktop-Variante zum Einsatz, das als LTS-Version bekanntlich noch bis Frühjahr 2017 Support erhält. Die darauf installierten Testprodukte bekamen in der Rubrik Windows 12?194 Schädlinge serviert, die den Kategorien Schadsoftware (Backdoors, Bots, Viren, Würmer), Trojaner (Downloader, Dropper, Stealer) und allgemeiner Malware (Unwanted/Rogue Applications) entstammten. An Linux-Malware mussten die AV-Suiten 897 bösartige ELF-Binaries und Skripts sowie 945 verseuchte Archive der Typen GZIP, ZIP und RAR identifizieren. Diese insgesamt fast 15?000 Spielarten von Schadsoftware galt es im On-Demand-Betrieb dingfest zu machen.
Die Ergebnisse der umfangreichen Testläufe fasst das Balkendiagramm in Abbildung 1 zusammen. Hier signalisieren längere Balken eine bessere Erkennungsquote in Prozent. Zusätzlich haben wir als gestrichelte Linien die mittlere Erkennungsrate über alle getesteten Produkte für Windows- und Linux-Malware eingezeichnet. Hier griffen wir zum Median, der anders als ein Durchschnittswert die “Ausrutscher” berücksichtigt – und davon gab es im Testfeld einige.
Abbildung 1: Das Ergebnis des Vergleichstests als Balkendiagramm. Hier signalisieren längere Balken eine bessere Erkennungsquote in Prozent. Die gestrichelten Linien zeigen die mittlere Erkennungsrate (Median) über alle getesteten Produkte für Windows- und Linux-Malware.
Ergebnisse
Zu diesen “Ausrutschern” zählt wenig überraschend die freie Software ClamAV [2] mit einer Erkennungsrate, die man selbst beim besten Willen nur als miserabel bezeichnen kann. Dass kommerzielle Software aber nicht unbedingt die Nase vorne haben muss, beweisen das insgesamt noch schwächer abschneidende Produkt von F-Prot sowie die kaum besser agierende Lösung von Comodo – beides übrigens kostenlose Produkte.
Dass auch ein renommierter Name nicht für Qualität garantiert, demonstriert das unterdurchschnittlich agierende McAfee-Business-Produkt. Mit vorbildlichen Erkennungsraten glänzen dagegen AVG Server Edition for Linux 2013 und ESET NOD32 AV for Linux Desktop, das eine für Endanwender kostenlos, das andere im unteren Preissegment und beide aus der “Home”-Riege. Insgesamt fällt auf, dass Produkte, die unter Windows zuverlässig arbeiten, sich auch unter Linux keine Blöße geben.
Fazit
Der Einsatz eines Antiviren-Produkts für Linux macht vor allem in heterogenen Netzen Sinn, wo die Produkte als Filter das Durchrutschen von Schädlingen auf die Windows-Seite verhindern können. Das setzt allerdings eine vernünftige Erkennungsrate voraus – kommt jeder zehnte Schädling ungeschoren durch, kann man sich den Aufwand auch sparen. Insofern liefern die vorliegenden Testergebnisse einen recht guten Anhalt, mit welchen AV-Lösungen für Linux man ansetzen kann.
Generell sollten Sie sich aber darüber im Klaren sein, dass AV-Produkte bei der Abwehr von Schadsoftware ohnehin nur die zweite Verteidigungslinie darstellen. Wer sich über Malware auf dem Laufenden hält, seine System regelmäßig aktualisiert, keine überflüssigen Ports aufreisst, Software nur aus vertrauenswürdigen Quellen installiert, dem Webbrowser das automatische Ausführen aktiver Inhalte verwehrt und nicht alles anklickt, was bei Drei nicht aus dem Mail-Client oder vom Desktop verschwunden ist, der braucht sich unter Linux um Schadsoftware eigentlich keine Gedanken zu machen [3].
Infos
[1] AV-Test GmbH: https://www.av-test.org
[2] ClamAV: http://www.clamav.net
[3] Editorial zum Thema Virenschutz: Jörg Luther, “Mens sana”, LU 08/2015, S. 3, https://www.linux-community.de/35191
