Kann Antivirus-Software Windows 11 vor Ransomware schützen? (Jan. 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]Spannende Frage, die sich sicherlich auch mancher Nutzer stellt: Kann aktuelle Virenschutzsoftware eigentlich Windows 11 vor aktueller Ransomware schützen? Die AV-TEST GmbH wollte das wissen und hat eine Reihe bekannter Ransomware-Beispiele auf Windows 11-Systeme mit installiertem Virenschutz losgelassen. Dabei wurde beobachtet, ob die Schutzsoftware die Infektion mit Ransomware aufhält.


Anzeige

Generell müsste ja die Frage gestellt werden: Kann aktuelle Virenschutzsoftware jedes Windows, was noch im Support ist, vor aktueller Ransomware schützen? Zumindest sollte das bei Windows 10 mit einem Ja beantwortet werden – wobei sich die Frage stellt, wie es bei bisher unbekannter Ransomware ausschaut. Sicherheitsanbieter werben ja mit einer Verhaltenserkennung, die auch unbekannte Schadsoftware erkennen soll.

Windows 11 ransomware protection from AV software

Ich bin die Tage über obigen Tweet der AV-TEST GmbH gestolpert, die sich mit Windows 11 als aktuelles Betriebssystem und der Frage, ob aktuelle Antivirus-Software dieses OS vor aktueller Ransomware schützen kann, befasst hat. Dabei standen folgende Fragen im Raum:

  • Was passiert eigentlich bei einem Ransomware-Angriff?
  • Wird die Ransomware einfach gestoppt, oder können gefährliche Prozesse weiterlaufen oder bleiben Komponenten im System?

AV-TEST verwendete 10 Szenarien, um aktuell in freier Wildbahn eingesetzte Ransomware und deren Angriffstechniken SysWhispers, Reflective DLL Injection und Reflective DLL Loading zu evaluieren. Dabei wurde die Schadsoftware auf mit Sicherheitssoftware für Unternehmensanwender und Privatanwender geschützte Systeme unter Windows 11 losgelassen.


Anzeige

Im Rahmen der Analyse wurde jeder einzelne Angriffsschritt analysiert und dokumentiert. Nur so ist es möglich, ein detailliertes Abbild eines Angriffs darzustellen und zu zeigen, wie die Sicherheitslösungen reagieren. Der umfangreiche Test inklusive einer Studie gehört zur Reihe der Advanced Threat Protection-Tests, die wichtige Erkenntnisse über die Leistungsfähigkeit von Cybersicherheitslösungen liefern. Die getesteten Lösungen für Unternehmensanwender stammen von:

  • Acronis,
  • AhnLab,
  • Bitdefender (2 Versionen),
  • Check Point,
  • Xcitium,
  • G DATA,
  • Kaspersky (2 Versionen),
  • Microsoft,
  • Symantec,
  • Trellix
  • VMware

AV-TEST schreibt, dass die aktuelle Auswertung zeigt, dass viele Sicherheitsprodukte für Privatanwender und Unternehmen auch gegen aktiv genutzte Angriffstechniken sowie die neueste Ransomware unter Windows 11 bestehen können. Bei den Lösungen für Unternehmen ist die Situation etwas günstiger als bei den Produkten für Privatanwender. In letzterer Kategorie erreichten nur die drei Produkte von Kaspersky, Microsoft und PC Matic die vollen 30 Punkte in der Schutzwertung.

Bei den Produkten für Unternehmensanwender konnten insgesamt 9 der 13 bewerteten Sicherheitslösungen die vollen 30 Punkte im Schutzscore erreichen: Acronis, Check Point, Xcitium, Kaspersky (beide Versionen), Microsoft, Symantec, Trellix und VMware. Die Ergebnisse lassen sich im Artikel Test and Study: Do Security Solutions stop Current Ransomware under Windows 11? nachlesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Kann Antivirus-Software Windows 11 vor Ransomware schützen? (Jan. 2023)

  1. Stephan sagt:

    «Sicherheitsanbieter werben ja mit einer Verhaltenserkennung, die auch unbekannte Schadsoftware erkennen soll.»

    Davon ist nicht viel zu halten. Fred Cohen, der Erfinder des Begriffs Computervirus, hat in seinem ersten Paper zum Thema schon bewiesen, daß das mathematisch unmöglich ist.

    https://web.eecs.umich.edu/~aprakash/eecs588/handouts/cohen-viruses.html

    Undecidable Detection Problems
    Detection of a virus by its appearance
    Detection of a virus by its behavior
    Detection of an evolution of a known virus
    Detection of a triggering mechanism by its appearance
    Detection of a triggering mechanism by its behavior
    Detection of an evolution of a known triggering mechanism
    Detection of a virus detector by its appearance
    Detection of a viral detector by its behavior
    Detection of an evolution of a known viral detector

    • Singlethreaded sagt:

      Wir haben in der Endpoint Protection den Spieß einfach umgedreht. Alle Programme und Bibliotheken, welche auf Grund ihres Dateihashes nicht in einer Datenbank für gutartige Prozesse stehen werden geblockt, für eine Analyse automatisch hochgeladen und dann entweder als Goodware oder als Malware klassifiziert.
      Das führt zwar zu kleineren Kollateralschaden zum Beispiel wenn die Elektroabteilung eine neue DLL von Siemens für die Programmierung von bestimmten SPS-Steuerungen erhält, aber unterm Stich ist das immernoch besser, als wenn jeder beliebige Code einfach so läuft.
      Sehr exotische Programme bzw. deren Module sind halt öfters noch nicht klassifiziert worden. Ist eine zunächst unbekannte Anwendung erstmal als Goodware klassifiziert, dann wird der Block automatisch aufgehoben. Auch kann man als Admin natürlich manuell übersteuern, wenn man sicher ist, dass die Quelle vertrauenswürdig ist.

      • Stephan sagt:

        Das ist der richtige Ansatz. Sowas kann Windows ja auch mit Boardmitteln wie AppLocker.

        Der administrative Aufwand ist zwar recht hoch. Aber den kann man auch etwas reduzieren, indem man C:\Users\ als ganzes verbietet und nicht nur mit Hashes einzelner Binaries arbeitet sondern mit Zertifikaten der Hersteller, die die Programme signiert haben.

        • Pandabär sagt:

          @Singlethreaded
          Mit welchem Produkt wird das umgesetzt?
          Wir setzen seit mehr als 5 Jahren Panda AD360(neu Watchguard) dafür ein und sind super zufrieden damit.
          Der Aufwand ist minimal und der Schutzlevel ist extrem hoch.

          • Singlethreaded sagt:

            @Pandabär:
            Verwenden wir auch, mit inzwischen allen Clients und Servern im Lock-Mode. Haben dazu noch das Modul Advanced Reporting und das Patch-Mangement aktiv. Das Erstere muss aber mit dem Betriebsrat abgestimmt sein. War bei uns zum Glück kein Problem, da es uns nicht darum geht unsere Anwender irgendwie zu melden, sondern eine vernünftige Datenbasis zu haben, wenn man in bestimmten Fällen mal Dinge nachvollziehen will. Da man unsere Einstellung kennt, gab es zum Glück wenig Bedenken.
            Wir sind ebenfalls zu 95% glücklich mit dem Produkt. Kleine Schwächen sehe ich noch bei komplexen Anwendungen im Modus Lock. Gerade wenn viele DLLs geladen werden, dann benötigt man oft mehrere Iterationen bis alles klassifiziert ist. Ich wurde gerne ein ganzes Verzeichnis zur Prüfung übergeben, so dass jede unbekannte Programmdatei direkt in die Analyse geht und nicht erst beim laden. Hatte schon mal den Fall, dass Wochen nach einem Update der CAD plötzlich ein Aufruf geblockt wurde. Ein Anwender hatte sich in ein Tool für Leitungen und Verrohrungen verlaufen. Das war dann natürlich noch nicht bekannt / klassifiziert.

  2. janil sagt:

    Was nimmt man nun? Defender, weil mit dabei…?
    Kaspersky, weil nun doch nicht böse…?

    • Singlethreaded sagt:

      Das womit Du Dich wohl fühlst und am besten zu Deinen Anforderungen passt. Zu Hause reicht mir der Defender, weil ich wenn Meldungen kommen sollten eh am Rechner bin. In der Firma ist viel mehr Management erforderlich. Ohne Dashboard geht es nicht. Auch kommt vieles dazu was ich privat in der Form nicht benötige wie Webfilter, Patch-Mangement, erweitertes Risikomanagement, Einstellungen per Richtlinien verteilen, Vollständige Isolation von Geräten im Netzwerk (Quarantäne), usw.

  3. A. Nonym sagt:

    Nach dutzenden Test mit Virustotal ist mein Eindruck, dass in den ersten Stunden (oder Tagen) AV nahe am Totalaudfall sind. Später geht es dann irgendwie.

    Das selbe ist mit "Google-Safe-Browsing", bei ca 20 sicher malicious Webseiten wird einmal eine Warnung eingespielt.

    • Singlethreaded sagt:

      Ja, kann ich bestätigten. Wenn unser Mail-Server mal wieder eine EXE-Datei in einem ZIP-Archiv aus einer Mail gefischt hat, dann springen in den ersten Stunden bei Virustotal vielleicht 2 von 60 Scannern auf die Datei an, meist über die Heuristik.
      Allerdings gehört auch zur Wahrheit, dass Virustotal die Dateien nur mit dem Virenscanner scannt. Es wird keine VM mit dem Scanner im Vollausbau gestartet und die Datei dort ausgeführt. Somit ist der Test nicht vollständig, da z.B. keine Verhaltensanalyse der Datei stattfindet. In der Realität mag das Ergebnis somit etwas besser aussehen. Nur, wer will das testen oder sich darauf verlassen?

  4. Bernd sagt:

    Und wie soll beim privaten Anwender die Tamper-Protection funktionieren? Normalerweise wird Ransomware zuerst versuchen den lokalen Schutz auszuschalten um dann zu verschlüsseln. Selbst über den Cloud gesteuerte XDR- Schutz ist das immer noch die größte Herausforderung zu gewährleisten, das die Tamper-Protection tatsächlich fehlerfrei funktioniert.

    • Singlethreaded sagt:

      Ich denke ein erster Schritt wäre es mit einem normalen Nutzer zu arbeiten, welche über keine Administratoren-Rechte auf dem Gerät verfügt. Somit muss eine gestartete Malware erstmal eine Erweiterung der eigenen Rechte schaffen bevor überhaupt ein Zugriff der AV Prozesse oder deren Konfiguration möglich ist.

      • Bernd sagt:

        Das ist durch manipulierte und/oder anfällige Treiber und UEFI leicht möglich.

        • Singlethreaded sagt:

          Keiner kann absolute Sicherheit garantieren, vor allem nicht im privaten Umfeld, weil dort meist das Budget die Möglichkeiten beschränkt. Ich kann nur empfehlen:

          1. Mit so weniger Rechten wie möglich arbeiten
          2. Alle Anwendungen und das OS zeitnah patchen
          3. Im Browser Skripte blocken (z.B. per NoScript)
          4. Eigenen DNS betreiben mit Blocklisten für Malware (z.B. PiHole)
          5. Regelmäßige Backups, welche offline und auch offsite gelagert werden
          6. Neue Software vor der Installation prüfen (Hashwerte, Status auf virustotal.com)

          Dazu eine Portion gesunde Skepsis und etwas Zurückhaltung im Mausfinger, dann stehen die Chancen extrem gut ohne Probleme durch den Tag zu kommen.

  5. xexex sagt:

    Windows Defender reicht. Alles andere ist Schlangenöl!

    • McAlex777 sagt:

      Leider ist Windows-Defender in der Windows Home/Pro Variante mit einem *sehr* unübersichtlichen UserInterface ausgestattet.

      Leider unterstützt Windows-Defender zusätzlich nicht das Prüfen von pop3/imap vor dem Download.

      Beides in Summe rechtfertigt für mich einen Thirdparty VirenScanner.

  6. McAlex777 sagt:

    Ein VirenScanner kann heutzutage nur noch letzte Schutzbastion sein, in der Hoffnung das er anschlägt. Tut ers nicht … pech. Im Firmenumfeld: Katastrophe.

    Im Grunde müsste eine laufende VirusTotal-Analyse ins Windows-System eingebaut werden.

    Im Grunde müsste ein "sauberer" Appstore mit sicheren Applikationen gebaut werden. Vergleichbar mit Linux-Repositorys.

    Die Gefahr sich eine "verseuchte" Binary bei der Google-Suche einzufangen wird langsam zur ernsten Bedrohung. Inzwischen muss man "jeden" Download gewissenhaft prüfen. Immer. Fake-Webseiten werden immer schwieriger zu erkennen. "google irfan" ist ein Beispiel. Verseuchte Chip-Downloads etc. ebenfalls.

    • Mahner sagt:

      "Im Grunde müsste eine laufende VirusTotal-Analyse ins Windows-System eingebaut werden."

      Das würden nur verantwortungslose Unternehmen machen, denen die eigenen Daten und die Daten ihrer Partner und Mitarbeiter herzlich egal sind. Du weißt, wie Virustotal funktioniert? Wer abseits von Hashwerten oder Malware-Samples Daten zu Virustotal hochlädt handelt verantwortungslos.

      • McAlex777 sagt:

        Hallo,

        >> Du weißt, wie Virustotal funktioniert? Wer abseits von Hashwerten oder Malware-Samples Daten zu Virustotal hochlädt handelt verantwortungslos. <<

        Im Detail nicht.

        Grob zu PrcoessExplorer: Es werden Hashwerte der ausgeführten Binarys hochgeladen und geprüft. Für unbekannte Hashwerte werden die Binarys Itself hochgeladen.

        1. sind keine privaten Daten betroffen, sondern ausgeführter Binary-Code, Treiber, etc.

        2. Wäre ein nationaler DSGVO-Konformer Service nicht grundsätzlich undenkbar. Es wären auch Lizenzen für lokale Virustotal-Server denkbar. Das alles könnte per Default-Schnittstelle von Microsoft an Windows angeflanscht werden.

        Das die IST-Situation mit täglich neuen verschlüsselten Systemen so nicht weitergehen kann, dürfte langsam jedem klar werden.

  7. 1ST1 sagt:

    Das ist eine sehr seltsamme Auswahl, seit wann hat VMware einen Antivirus? Checkpoint ist doch eine Firewall? Welche Rolle spielt Kaspersky noch? Acronis ein Hersteller von Festplatten-Cloning/Backup-Software, AhnLab und Xcitium ehrlich noch nie was davon gehört? Trellix kenne ich, das war mal McAfee, bewahre davor! Wo sind Sophos, Trend-Micro, G-Data, Avira, Cynet, Sentinel-One und andere bekannte EDR/XDR-Lösungen in dem Test?

    • Wolf sagt:

      …wer nicht bezahlt, wird nicht getestet. So einfach ist das.

      • Cornelia sagt:

        Ja, das kann durchaus der Hauptgrund sein.

        Aber ich hätte noch zwei weitere Hypothesen. – Jeder kann sich selbst überlegen, wie (un-)plausibel diese sind.

        1. Alle diese Anbieter behaupten doch immer wieder mal auf Basis eigener "Tests", ihre Software sei die beste. Vielleicht fürchteten sich diese schlicht vor dem Ergebnis (dass die Erkennung doch noch nicht sooo gut ist, wie sie sein sollte).

        2. Die Tester wollten entweder keinen Ärger mit den betreffenden Unternehen riskieren und zogen diese vorweg gar nicht für den Test in betracht oder sie erachteten deren Software zweifellos als gut und wollten nur die vermeintlich unsicheren Produkte testen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.