Von: Frank Ziemann
Tests von Virenschutzsoftware sind sehr schnell überholt. Denn selbst wenn ein Kandidat den einen oder anderen Schädling übersieht, wird er spätestens nach seinem nächsten Update dagegen gefeit sein. Damit also eine Antivirussoftware stets den bestmöglichen Schutz gewährt, muss sie regelmäßig aktualisiert werden. Wöchentliche Updates sind ein guter Kompromiss, denn sie garantieren einerseits eine nahezu vollständige Virendatenbank und halten andererseits den Aufwand des Benutzers vergleichsweise gering. Dieser kann jedoch in großen Netzen stark zunehmen, falls ein Hersteller bei den Verwaltungstools und automatischen Funktionen gespart hat. Im Test zeigten die Konkurrenten hinsichtlich ihres Bedienkomforts weitaus größere Unterschiede als bei den Erkennungsraten.
Command Software Antivirus (CSAV)
Weil die Qualität der Produkte stark von den Anforderungen des Unternehmensnetzes abhängt, verzichten wir darauf, einen Sieger zu küren. Denn eine Software, die in einem LAN mit zwanzig Windows-Rechnern bei geringem Pflegeaufwand vergleichsweise billig ist, kann in einem heterogenen Netzwerk mit mehreren hundert oder tausend Clients und mehreren Servern völlig überfordert sein. Umgekehrt wäre ein Programm, das in großen Umgebungen erst seine volle Leistungsfähigkeit beweist, für eine Anwaltskanzlei oder eine Arztpraxis überdimensioniert. Außerdem sehen wir von Preisen ab, denn die Hersteller verwenden unterschiedliche Lizenzmodelle. Und die Betreiber großer Netzwerke handeln mit den Anbietern ohnehin spezielle Konditionen aus. CSAV war eines der langsamsten Testprodukte und fand dennoch nicht alle Testviren. Davon abgesehen schlug die Software oft falschen Alarm. Die Voreinstellungen des On-Access-Scanners, der im Augenblick des Dateizugriffs kontrolliert, ergeben wenig Sinn und lassen sich nur ungenügend anpassen. So werden zum Beispiel keine Archive geprüft und auch der bei Bedarf einspringende On-Demand-Scanner kennt nur die Kompaktformate ARJ und ZIP. Eine zentrale Verwaltung der Clients ist mit CSS Central zwar möglich, aber sehr umständlich. Außerdem kann der Anwender damit keine Updates einspielen und der Client-Check erfolgt lediglich zeitgesteuert. Eine Versionsverwaltung ist zwar vorhanden, jedoch in größeren Netzen unhandlich. Zur Zeit gibt es nur eine englische Version, eine deutsche Übersetzung ist laut Hersteller in Vorbereitung.
F-Secure Antivirus (FSAV)
FSAV von F-Secure nutzt als einziges Produkt zwei Scan-Engines: eine eigene, nämlich F-Prot, und die AVP-Engine (AVP = Antiviral Toolkit Pro), das Herzstück eines der Konkurrenten. Allein die Netware-Version beschränkt sich auf die AVP-Engine. Zwar verringert die zweifache Suche die Geschwindigkeit der Software - der Scanner war der langsamste Kandidat - gleichzeitig erhöht sie aber die Zahl der gefundenen Viren. Sie lag bei 100 Prozent. Die Scan-Ergebnisse sind allerdings unübersichtlich dargestellt, sowohl im Programm als auch in der Reportdatei. Von den gängigen Packer-Formaten unterstützt FSAV die meisten und löst dabei auch verschachtelte Archive auf. Die zentrale Installation der Clients ist jedoch nur über Login-Scripte möglich, und zum Einspielen von Updates vom Server aus muss der Systemverwalter sogar Handarbeit leisten. F-Secure war neben AVP der einzige Teilnehmer, der mehrere EXE-Packer unterstützte. Zu hoch war allerdings die Zahl der Fehlalarme. Außerdem stürzte F-Secure häufig bei hoher Last ab.
Netshield
Netshield von Mc Affee, dem Antivirus-Geschäftsbereich von Network Associates, scannte vergleichsweise schnell und erkannte alle Schädlinge bis auf einen Script-Virus. Dabei war aber die Anzahl der Fehlalarme zu hoch. Komprimierte Archive werden standardmäßig geprüft, jedoch scheiterte der Scanner an verschachtelten Archiven. Nach der Installation der NT-Software war ein Neustart erforderlich. Die Administrationswerkzeuge sind für größere Netze geeignet, selbst wenn sie den Anwender durch ihren eigenwilligen Aufbau hin und wieder vor den Kopf stoßen. Dazu kommt eine schlechte Übersetzung der deutschen Version. Zwar bezieht der Server Updates aus dem Internet automatisch via FTP. Auf die Clients können diese jedoch nur "per Hand" übertragen werden.
Norman Virus Control (NVC)
Die Norman-Software NVC war eines der schnellsten Produkte und fand alle Schädlinge bis auf einen Script-Virus. Auch dieses Programm löste jedoch zu viele Fehlalarme aus und erforderte nach der Installation auf einem NT-Server einen Rechnerneustart. Obwohl die Voreinstellung das Scannen aller Dateien vorsieht, wurden Archive standardmäßig nicht durchsucht. Außerdem entpackt die Software zwar rekursiv Dateien mit den Formaten ARJ und ZIP. Aber die Netware-Version ist auf Dateien mit bestimmten Erweiterungen beschränkt. Die einzelnen Programmteile passen mit ihren unterschiedlichen Oberflächen schlecht zusammen und selbst wenn das Administrationstool eine zentrale Konfiguration und Versionsverwaltung der Clients erlaubt, übernimmt es nicht die Softwareinstallation und das Einspielen von Updates.
Sophos Antivirus (SAV)
Das Produkt "SAV" von Sophos, unauffällig was die Geschwindigkeit anbelangt, fand alle Infekte bis auf einen Script-Virus. Dabei hielt sich die Zahl der Fehlalarme in Grenzen. Standardmäßig bearbeitet SAV nur bestimmte Dateitypen, zu denen Archive nicht gehören. Neben ARJ und ZIP unterstützt das Programm auch RAR-Archive, kann sie aber nicht rekursiv durchsuchen. Gemäß der Firmenphilosophie werden infizierte Dateien nicht gereinigt, sondern nur gelöscht. Nur bei Makroviren ist eine Reparatur erlaubt. Die deutsche Version enthält zum Teil englische Textteile und auch die Übersetzungen sind an einigen Stellen misslungen. Die Administrationssoftware für Clients mussten wir nach längerem Suchen auf der CD nachträglich installieren. Das "SAV Admin" genannte Programm kann in NT-Netzen sowohl Software als auch Updates auf die Clients verteilen. Bei Netware übernehmen Login-Skripte die Aufgabe. Dazu generiert eine beiliegende Software eine Setup-Prozedur für die Clients, die automatisch in das Netware-Login-Script eingetragen wird.
Norton Antivirus Solution (NAV)
Hinsichtlich der Scan-Geschwindigkeit rangiert NAV von Norton im Mittelfeld, scheiterte wie die meisten Kandidaten an einem Script-Virus, erkannte aber alle anderen Schädlinge. NAV glänzt mit der niedrigsten Zahl an Fehlalarmen. Nach den Voreinstellungen scannt das Programm alle Dateien und auch Archive. Dabei unterstützt es neben den Formaten ARJ und ZIP auch LHA und kommt selbst mit geschachtelten Archiven zurecht. Verwirrend erschien uns die Vielfalt der einzelnen Programmmodule. Auch die Administration erfolgt über Zusatzbausteine, die mit Microsoft Management Console (MMC) kooperieren und bei Bedarf mit installiert werden. Der zum Betrieb erforderliche Internet Explorer 4 ist nicht im Paket enthalten. Über die Managementkonsole kann der Administrator Clients installieren, konfigurieren und aktualisieren. Auf Wunsch lassen sich Updates auch zeitgesteuert einspielen.
NAV ist eines der wenigen Produkte, die für größere Netze geeignet sind, weil der Systemverwalter alle Aufgaben von zentraler Stelle aus erledigen kann.
Server Protect von Trend Micro war mit Abstand der schnellste Teilnehmer, übersah jedoch immerhin drei Viren und schlug dabei zu häufig falschen Alarm. Standardmäßig prüft das Programm alle Dateien und verschachtelte Archive mit den Formaten ARJ, LHA, RAR und ZIP. Das zentrale Management setzt Maßstäbe. Von einer Konsole aus lassen sich alle Clients installieren, konfigurieren und aktualisieren. Die automatische Updatefunktion sorgt auch dafür, dass nicht alle Clients gleichzeitig aktualisiert werden und verringert damit die Gefahr einer Netzüberlastung. Das Trend-Micro-Produkt hatte als einziger Kandidat eine Rollback-Funktion, die den Zustand vor der Aktualisierung wiederherstellt, falls ein Update zu Problemen führt. Die Scanner von Trend Micro decken die wichtigsten Plattformen ab und sind damit erste Wahl auch für heterogene Netzwerke. Für Mininetze mit einem Server und wenigen Arbeitsstationen ist das Produkt ein paar Nummern zu groß. Es ist nur in englischer Sprache verfügbar.
Innoculate IT
Mit einer mittleren Scan-Geschwindigkeit leistete sich die Software "Innoculate IT" von Computer Associates keine Ausrutscher bei der Virenerkennung. Als einziges Testprodukt fand sie neben F-Prot und AVP alle Testviren, produzierte dabei allerdings die mit Abstand größte Zahl an Fehlalarmen. Von Haus aus scannt das Programm alle Dateien und durchsucht Archive (ARJ, LHA, ZIP) rekursiv. Die Administration erfolgt zentral über das Framework "CA Unicenter TNG". Ein manueller Scan einzelner Client-Rechner ist von der Zentrale aus nicht möglich, ebenso wenig die Installation der Client-Software. Eine deutsche Version der Software fehlt.
Esafe Protect Enterprise
Aladdin schickte als einziger Hersteller keinen reinen Viren-scanner ins Rennen, denn die Software "Esafe Protect" soll einen "Rundumschutz" gegen Malware aller Art gewähren, darunter ActiveX-Controls und Java-Applets. Wir testeten nur den Viren-scanner. Dieser versagte bei neun Testviren und markiert damit das untere Ende der Erkennungsrate. Dabei arbeitete er vergleichsweise gemächlich, schlug jedoch selten falschen Alarm.
Die Standardeinstellungen sehen nur die Prüfung bestimmter Dateitypen vor, zu denen Archive nicht gehören, obwohl die wichtigsten Kompaktformate auch rekursiv bearbeitet werden. Die Managementsoftware erlaubt lediglich die zentrale Steuerung der Updates. Andere Funktionen sind entweder zu umständlich oder fehlerhaft. Die Konfiguration der Clients ist zwar vom Server aus möglich, aber bereits bei wenigen Rechnern sehr aufwändig.
Antiviral Toolkit Pro (AVP)
Datasec stellte mit AVP von Kaspersky Lab nach F-Secure den langsamsten Kandidaten, der jedoch alle Testviren meldete. Dabei hielten sich die Fehlalarme in Grenzen. Standardmäßig prüft die Software nicht alle Dateien, vielmehr soll eine "smarte" Funktion die Dateien nach ihrem Inhalt für einen Scan auswählen. Tatsächlich berücksichtigt AVP hierbei nur die Dateierweiterungen. Das Programm kennt außer den wichtigsten Archiv-Formaten, die es auch rekursiv durchsucht, einige EXE-Packer, insbesondere auch solche für 32-Bit-Windows-Programme. Nach der Installation war zunächst ein Neustart des Rechners fällig, auch unter Linux. Leider nicht nur dann, denn der Scanner stürzte gelegentlich ab. Eine zentrale Installation der Client-Software vom Server aus ist unmöglich und die Versionsverwaltung erschien uns als sehr umständlich. (kpl)
Zur Person
Frank Ziemann
ist Mitglied der Virus Help Munich (vhm.haitec.de) und Betreiber des Hoax-Info-Service an der TU Berlin (i.am/hoax-info).