Malware: Test-Standards für Sicherheitssoftware

Vergleichbarkeit und Reproduzierbarkeit

Was sich zunächst einfach anhört, ist aber ein vielschichtiges Problem. Eine Test-Malware muss den getesteten Schutzprogrammen wirklich unbekannt sein. Dazu müssen eventuell Signaturen oder Heuristiken deaktiviert werden, da die Hersteller bestrebt sind, diese für neue Bedrohungen möglichst schnell anzubieten. Die Test-Malware sollte möglichst verbreitet und auch wirklich lauffähig sein - also nicht längst geschlossene Sicherheitslücken ausnützen. Ein besonders großes Problem ist die Vergleichbarkeit und Reproduzierbarkeit entsprechender Tests. "Jedes Produkt sollte mit den gleichen Malwareaktionen konfrontiert werden. Malware verändert ihr Verhalten abhängig von vielen Variablen", erläutert Marx. Gerade, wenn Malware unter realistischen Testbedingungen aus dem Internet nachladen kann, ist Reproduzierbarkeit schwer zu erreichen. Außerdem muss dabei besonders auf die sichere Durchführung geachtet werden.

Wenn Sicherheitssoftware bei entsprechenden Tests Malware ausgezeichnet erkennt, zeigt das allein noch nicht, dass sie wirklich gut ist. "Manche Ansätze zeigen sich in den Tests als sehr sensitiv, was sehr gute Erkennungsraten bringt. Dafür warnen sie auch vor an sich völlig harmlosen Programmen", so Marx. Auch die Zahl solcher Fehlalarme ist ein Kriterium für die Qualität von Schutzprogrammen.

An einheitlichen Standards für Tests dynamischer Erkennungsmechanismen scheinen Anbieter auf dem umkämpften Sicherheitssoftware-Markt tatsächlich großes Interesse zu haben. AV-Test bestätigt gegenüber pressetext, dass Symantec, F-Secure, Panda Security, Kaspersky Lab, Avira, Eset und PC-Tools bereits an entsprechenden Geprächen teilnehmen. Auch weitere Unternehmen haben Interesse bekundet (unter anderem McAfee, Sophos und CA) oder zumindest angedeutet (darunter Microsoft, BitDefender, G Data, ZoneAlarm und Trend Micro). (pte/mje)