Test: Antivirus-Schutz in der Cloud - welches Produkt ist sicher?

McAfee, TrendMicro und Panda - drei Antivirus-Schutzprogramme für die Cloud im Test. Welches macht die Cloud sicher?

Cloud-basierte Antiviren-Produkte können mehrere Vorteile haben: zentralisiertes Management, leichtere Einrichtung auf den PCs und weniger Eingriffe durch die Nutzer. Aber wie gut eignen sie sich wirklich für den Schutz Ihrer Systeme? In diesem Test werden drei Cloud-basierte Antivirus-Dienste mit einem traditionellen Antivirus-Produkt verglichen – als Hilfe für Ihre Entscheidung darüber, ob sie Endpunkt-Sicherheit wirklich der Cloud überantworten sollten.

Die getesteten Produkte

Die folgenden Antivirus-Angebote in der Cloud wurden für diesen Test berücksichtigt:

  • McAfee Total Protection Service v5.0.0
  • Trend Micro TRVProtect v8 SP1
  • Panda Cloud Office Protection v5.04.01.

Weil jedes dieser Produkte die Installation von Software auf dem Desktop erfordert, sind sie nur für Windows-PCs geeignet.

Um die Angebote einschätzen zu können, haben wir sie mit Symantec Endpoint Protection Small Business Edition v12.0.1 verglichen. Dabei handelt es sich um ein traditionelles Antivirus-Produkt nach dem Prinzip Client/Server, bei dem ein zentraler Server die vielen Clients auf den Desktops als Endpunkte steuert. Bemerkung am Rande: Von Symantec selbst gibt es kein damit vergleichbares Cloud-Produkt, allerdings Cloud-basieren E-Mail-Schutz von der Division MessageLabs.

Hinweis: Microsoft bietet zwei kostenlose Cloud-basierte Antivirus-Dienste: Security Essentials und Intune. Allerdings sind beide für die Installation auf Einzel-PCs ausgelegt und wurden deshalb in diesem Test nicht berücksichtigt.

Das Test-Verfahren

Schwerpunkt unseres Tests war die Verhinderung von Spam und Viren in ihrem Netzwerk, außerdem der Schutz von Desktops vor Phishing- und anderen Attacken, die von einem Browser aus gestartet werden können, und Möglichkeiten zur Stärkung der Windows-Firewall zur Entdeckung und Abwehr von Eindringlingen.

Für die Tests haben wir Rechner mit Windows XP, Service Pack 3 und Internet Explorer 8 verwendet. Bei jedem davon wurde die Festplatte unter C: mit Hilfe eines Neu-Images von Acronis True Image Workstation in einen jungfräulichen Zustand ohne installierte Antivirus-Software versetzt. Auf einem der PCs installierten wir dann absichtlich Metasploit, ein verbreitetes Hacking-Werkzeug mit verschiedensten Funktionen, um zu sehen, wie die Scanner der einzelnen Produkte darauf reagieren.

Wie Antivirus-Produkte in der Cloud funktionieren

Antivirus-Dienste in der Cloud funktionieren sämtlich auf ähnliche Weise: Ein kleiner Agent oder ein Stück Client-Software läuft auf jedem Desktop und stellt eine Verbindung zu einem zentralen Monitoring-Server in der Cloud her. Solange eine Verbindung zum Internet besteht, werden Viren-Signaturen automatisch aktualisiert. Der Großteil der Arbeit hinsichtlich Schutz und Verarbeitung spielt sich hier in der Cloud ab, so dass der Client nur wenig Arbeitsspeicher in Anspruch nimmt. In der Bedienkonsole des zentralen Servers, die sich über normale Web-Browser aufrufen lässt, können Sie sich über Infektionen, Nutzer und andere Faktoren informieren.

Zu den Vorteilen einer Verlagerung Ihres Endpunkt-Schutzes in die Cloud zählen:

  1. Sie müssen keine Sorge mehr haben, dass Nutzer Schutz-Software einfach abstellen oder vergessen, die neuesten Viren-Signaturen zu installieren.
  2. Sie können auf einen Blick sehen, was sich in Ihrem gesamten Netzwerk tut und welche PCs geschützt sind.
  3. Die Einrichtung auf PCs wird erleichtert, weil es weniger Software zu installieren gibt.
  4. In manchen Fällen können Sie sogar Viren-Scans über die Cloud initiieren und müssen sich dadurch auch hier nicht mehr auf die Mitarbeit von Nutzern verlassen.

Die Ergebnisse: Welches Antivirus-Produkt ist am besten?

Letztlich haben alle drei Cloud-basierten Antivirus-Produkte enttäuscht. Ich würde keines davon für die Nutzung in Unternehmen empfehlen.

Ihren Virenschutz in die Cloud zu verlagern, bedeutet, dass Sie auf bestimmte Funktionen der traditionellen Client-/Server-Produkte verzichten müssen. So können Sie keine Sicherheitsrichtlinien an die Desktops mehr verteilen, um damit sicherzustellen, dass dort aktive Firewalls oder aktualisierte Viren-Signaturen vorhanden sind. Von der Konsole der Symantec-Software aus lassen sich immerhin Scans bestimmter Desktops starten. Dabei gefundene Schwachstellen werden mit Hotlinks zur Symantec-Datenbank angezeigt, in der festgehalten ist, welche Schäden sie anrichten können.

Hinsichtlich der Entdeckung potenzieller Probleme ist der beste der drei getesteten Cloud-Dienste der von McAfee. Er ermöglicht aber keine automatischen Scans von Laufwerken. Nur der Dienst von Panda kommt in dieser Hinsicht dem Produkt von Symantec nahe: Als einziger kann er vorgeplante Scans der überwachten Desktops veranlassen, in den Berichten sind Links auf seine eigene Exploit-Datenbank enthalten.

McAfee Total Protection Service v5.0.0

Nach der Anmeldung für den Total Protection Service erhalten Sie eine E-Mail mit einer individuellen URL für den Download des Agenten. Nach dessen Installation lassen sich nur wenige Optionen verändern. Dazu gehören das Vertrauen in PCs in ihrem LAN (um etwa Datei-Freigaben zu ermöglichen) und das Aktivieren oder Deaktivieren der drei Haupt-Schutzgruppen des Produkts: Antivirus/Antispyware, Firewall und Browser-Schutz (s. Abbildung 1).

Abbildung 1: Das McAfee-Produkt hat drei Haupt-Schutzoptionen (zum Vergrößern anklicken)

Scans des PCs sind möglich, wobei auf dem Testgerät mit Metasploit mehr als 2000 Warnmeldungen ausgegeben wurden – es gab keine Möglichkeit, diese Meldungen zu ignorieren oder dem Scanner zu sagen, dass wir uns der Probleme bewusst sind. Zum Vergleich: Endpoint Protection von Symantec fand in denselben Dateien nur 37 Anlässe für Warnungen, der Cloud-Dienst von Panda noch weniger.

Hinzu kommt, dass die Scans manuell eingeleitet werden müssen – anders als bei den meisten Antivirus-Produkten lassen sie sich nicht zeitlich vorplanen. In unserem Test dauerte das Scannen von 18 Gigabyte an Dateien eine Stunde. Anschließend werden die Ergebnisse, wie in Abbildung 2 zu sehen, per E-Mail an Sie geschickt und in der Web-Konsole angezeigt.

Abbildung 2: Per E-Mail verschickter Bericht von McAfee (zum Vergrößern anklicken)

Abbildung 3 zeigt die Verwaltungskonsole des Produkts. Sie lässt erkennen, welche Module auf welchen PCs installiert sind, und liefert andere zusammenfassende Statistiken wie IP-Adressen und Zahl der gefundenen Infektionen. Aus irgendeinem Grund mussten wir die Software dafür ein zweites Mal installieren, weil die Konsole zunächst nicht alle auf unserem Test-Desktop aktivierten Module anzeigte.

Abbildung 3: Die Web-Konsole von McAfee (zum Vergrößern anklicken)

In keinem der Berichte und auch nicht in der Konsole wird der Versionsname angezeigt. Das ist unglücklich, weil sehr viele Versionen zur Auswahl stehen. Ich empfehle für den Anfang die Extended-Version, bei der drei unterschiedliche Software-Agenten mit zusammen etwa 70 MBYTE RAM-Bedarf installiert werden.

McAfee Total Protection Service wird vom Windows-Sicherheitscenter als Firewall- und Antivirus-Schutz erkannt.

Trend Micro TRVProtext v8.0 SP1

Zusätzlich zu Viren- und Spyware-Scans bietet Trend Micro eine Desktop-Firewall und einen Mail-Scanner. Als einziger Dienst im getesteten Cloud-Trio bietet er auch ein Modul für Intrusion Detection auf dem Host; diese Funktion ist in dem Client-/Server-Produkt von Symantec ebenso enthalten wie in vielen anderen traditionellen Client-Produkten.

Wer sich für den Dienst registriert, bekommt einen Aktivierungsschlüssel, der auf jedem Desktop eingegeben werden muss, um ihn mit Ihrem Konto zu verknüpfen. Mit TRVProtect lassen sich Scans vom Desktop-Interface aus zeitlich vorplanen, nicht aber mit der Web-Konsole.

Abgesehen von Links für den Download des Client-Agenten – zu sehen in Abbildung 4 – hat das Web-Kontrollzentrum nicht viele Informationen zu bieten; zudem funktioniert es nur mit dem Internet Explorer.

Abbildung 4: Das Web-Kontrollzentrum von Trend Micro (zum Vergrößern anklicken)

Ein interessantes Merkmal des Kontrollzentrums: Über einen der Tabs in der linken Menüseite lässt sich die gesamte Datenschutz-Policy von Trend Micro aufrufen. Der manuell ausgelöste Scan nahm 30 Minuten in Anspruch und fand, wie in Abbildung 5 zu sehen ist, zwei Spyware-Einträge in der Metasploit-Testinstallation.

Abbildung 5: Der Spyware-Bericht von Trend Micro (zum Vergrößern anklicken)

TRVProtect installiert auf den Desktops mehrere Prozesse, die zusammen 50 MBYTE an RAM benötigen, was es zum sparsamsten der drei Cloud-Produkte im Test macht. Wir mussten damit jedoch die Punkte Firewall und Antivirus im Windows-Sicherheitscenter manuell aktivieren. TRVProtect verfügt über einen eigenen Plugin-Manager zur Verwaltung von Erweiterungen, doch zum Testzeitpunkt stand noch keine davon zur Verfügung.

Panda Cloud Office Protection v5.04.01

Der Dienst von Panda bietet einen kostenlosen Grundschutz gegen Viren und drei bezahlte Produktlinien, für die jeweils eine komplexe Abfolge von Downloads, E-Mails zur Bestätigung und Aktivierungen nötig ist. Hinzu kommt, dass die Panda-Website ein einziges Durcheinander ist. Ein Vertreter des Unternehmens sagte dazu, es werde an einer Aktualisierung gearbeitet, doch die meisten Kunden würden das Produkt ohnehin nicht online kaufen.

Zu den drei Bezahl-Produkten zählen eines für den Endpunkt-Schutz mit Desktop-Firewall und Schutz vor Viren und Spyware, eines für gehosteten E-Mail-Schutz und ein drittes mit Schutz vor Datenverlust und Browser-Zugriffskontrollen. Wir haben die erste Version getestet: Cloud Office Protection.

Die Web-Konsole erzeugt ein Windows-Installationspaket, das auf jedem Desktop heruntergeladen werden muss. Wenn dieses Programm läuft, muss der Rechner vor der Weiterarbeit neu gestartet und die Signatur-Datei aktualisiert werden.

Die Scan-Ergebnisse werden auf dem Desktop angezeigt, eine kurze Zusammenfassung lässt sich auch in der Web-Konsole erzeugen; in der Desktop-Darstellung sind Links zu mehr Informationen über die jeweiligen Lücken auf der Panda-Website enthalten. Wenn Sie diese Informationen aufbewahren wollen, müssen Sie sie als Datei exportieren – eine Funktion, die über die Web-Konsole nicht zur Verfügung steht.

Die Panda-Software umfasst mindestens acht unterschiedliche Agenten, die auf unserem Test-System zusammen 60 MBYTE an RAM in Anspruch nahmen.

Als einziger der drei Cloud-Dienste bietet Panda überhaupt eine Zeitplanung für Scans auf den verwalteten Desktops. Tatsächlich ist die Flexibilität hier ähnlich hoch wie beim Client-/Server-Produkt von Symantec: Wie Abbildung 6 zeigt, lassen sich bestimmte Datei-Typen dabei ebenso vorgeben wie unterschiedliche Arten von Exploits.

Abbildung 6: Scan-Einstellungen bei Panda (zum Vergrößern anklicken)

Ein Test-Scan fand 16 Exploits im Zusammenhang mit Metasploit und nahm etwa 45 Minuten in Anspruch. Panda wird vom Windows-Sicherheitszentrum als Firewall- wie Antivirus-Funktion erkannt.

Außer mit ihren unterschiedlichen Funktionsumfängen für die Installation auf Desktops zeichnen sich McAfee, Panda wie Trend Micro mit komplexen Preismodellen aus. Alle drei bieten unter bestimmten Umständen wie etwa mehrjährigen Lizenzen oder großen Volumina Rabatte.

Das Preismodell von Trend Micro ist dabei am einfachsten: Eine Einzelversion von OfficeScan mit allen Funktionen des Produkts kostet 58 Dollar pro Jahr und Desktop. Dieser Preis umfasst zwei Desktop-Lizenzen: eine für die Software selbst und eine für deren Verwaltung (aufgrund der Art, wie Cloud-Software installiert und aktiviert wird, lassen sich diese Lizenzen nicht zusammenlegen).

Von McAfee Total Protection gibt es vier Versionen mit unterschiedlichen Preisen:

  • Basic: Antivirus, Antispyware, Desktop-Firewall und Basis-Schutz für Web-Surfen (35 Dollar/Jahr)
  • Extended: Basic plus Web-Filter und Schwachstellen-Scanner (44 Dollar/Jahr)
  • Advanced: Extended plus Schutz für E-Mails und E-Mail-Server (60 Dollar/Jahr)
  • Nur E-Mail-Schutz als Software as a Service (SaaS): 26 Dollar pro Jahr

Die Panda-Website ist ein verwirrender Mischmasch aus Produkten und Preisen, doch letztlich finden sich hier zwei Optionen: Sie können für 55 Dollar pro Jahr nur Cloud Office Protection kaufen oder für 62 Dollar pro Jahr ein Bündel aus allen drei Cloud-Versionen.

Traditionelle Client-/Server-Produkte zum Virenschutz kosten in etwa das Gleiche wie diese Cloud-Dienste (bei Symantec etwa liegt die Spanne bei fünf Lizenzen zwischen 24 und 35 Dollar pro Stück). Aus diesem Grund bieten Cloud-Lösungen zum aktuellen Zeitpunkt keinen Preisvorteil – unter Umständen können sie letztlich sogar teurer sein.

Das ideale Cloud-basierte Antivirus-Produkt wäre eine Mischung der Funktionen, die wir bei den drei getesteten Diensten gesehen haben: Es bräuchte die Planungsmöglichkeiten und genauen Berichte von Panda, koMByteiniert mit der sehr feinkörnigen Entdeckung von McAfee sowie dem begrenzten Arbeitsspeicher-Bedarf und der Intrusion Detection für den Host von Trend Micro.

Keines der drei Cloud-Produkte ist rundum besser als die anderen, und keines von ihnen bietet den Umfang und die Tiefe an Schutz, die gewöhnliche Client-basierte Produkte aufweisen. Hinsichtlich Funktionen, Preis und Schutzumfang ist deshalb die bewährte Lösung Symantec Endpoint oder ein anderes Client-/Server-Produkt Ihrer Wahl zu bevorzugen. Falls Sie es nicht mit einer sehr mobilen und verteilten Belegschaft zu tun haben, würde ich empfehlen, vorerst bei diesem Modell zu bleiben.

Die Cloud ist also noch kein vollkommen sicherer Ort für den Schutz Ihrer PCs, doch jeder der Anbieter wird seine Angebote natürlich weiter verbessern. Es könnte sich deshalb lohnen, in ein paar Monaten noch einmal zu schauen, was sich seitdem getan hat.

ÜBER DEN AUTOR:

David Strom ist freiberuflicher Autor und professioneller Redner mit Sitz in St. Louis in den USA und ehemaliger Redakteur bei TomsHardware.com, dem Magazin Network Computing und DigitalLanding.com. Mehr Beiträge von ihm finden Sie unter Strominator.com.

Artikel wurde zuletzt im Juli 2010 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close