Auf PCs wie auch deren mobilen Vertreter, die geschäftlich oder im geschäftlichen Umfeld benutzt werden gehört immer eine vernünftige AV-Lösung. Schliesslich ist die Gefahr, dass man sich irgendwelche Malware in die Firma einschleppt, nicht von der Hand zu weisen.
Dummerweise kann man sich hier wunderbar drüber streiten, welche Lösungen nun "vernünftig" sind.
Für mich wäre zuerst mal der Super-GAU, wenn irgendeine Antivirensoftware False-Positives produziert und Daten löscht. Insbesondere, wenn es sich dabei um Windows Systemdateien handelt, wäre das hier der absolute Super-GAU, denn im Ernstfall habe ich innerhalb von wenigen Minuten hunderte von PCs firmenweit gehimmelt.
Das hat für mich Top Prio, dass so etwas nicht passiert. Ähnlich wichtig sind Updates, die nicht mal eben irgendwelche Funktionalitäten verändern dürfen. Insofern sehe ich allgemein eine Verhaltenserkennung eher kritisch.
Das A und O (nicht nur) in Firmen ist die saubere Grundkonfiguration der Systeme. Möglichst alle User ohne Adminrechte, Zugriffe nur auf die Daten, die auch benötigt werden. Einschränkungen in der Programmausführung durchsetzen, d.h. AppLocker oder ähnliches. Zur Not im kleinen Umfeld erst mal mit SAFER arbeiten. Windows Firewall per GPO konfigurieren - insbesondere so, dass in unbekannten Netzen erst mal alles ohne Ausnahme dicht ist.
Dann ganz am Ende kommt noch ein Virenscanner. Der ist dann ein ganz kleiner Teil eines gesamten Konzeptes.
Wenn denn das Kind in den Brunnen gefallen ist, und wichtige, unternehmensrelevante Daten durch ein "schlechtes" AV Programm verloren gegangen sind, fängt das Heulen und Köpfe rollen an. Nur sind selten die Köpfe dabei, die aus falschem Geiz Geld für brauchbare AV Programme gespart haben.
Dumm ist es halt, wenn man viel Geld für Antivirensoftware ausgegeben hat und trotzdem auf die Nase fällt. Kommt oft genug vor. Wessen Kopf ist dann dran? Auch der Herr Kaspersky übernimmt keine Garantien.
Kann mich nur wiederholen: Wenn jemand wirklich aussagekräftige Testresultate zur Kaufentscheidung nutzen möchte, schaue bei AV-Comparatives.org und/oder bei AV-Test rein.
Ja, da sieht man dann einen gewissen Test mit bestimmten Samples und was erkannt wird und was nicht. Das ist nett zu wissen, insbesondere im Bezug auf die Systembelastung und die False Positives. Aber es zeigt kein reales Umfeld und gibt Ergebnisse nur verzerrt wieder. Signaturen sind eh an der Grenze des Möglichen angekommen.
Wir haben das vor einiger Zeit mal etwas realer getestet. Ein damaliger Kollege hat selber eine kleine Software entwickelt, die irgendwann mal in der Verhaltenserkennung der Scanner hängen bleiben musste, weil sie einiges an in der Menge verdächtiger Funktionen ausgeführt hat (Browserstartseite ändern, Taskmanager deaktivieren, usw.). Und dann wurde überprüft, wie eine Gruppe von Virenscannern darauf reagiert. Das Ergebnis war ziemlich verheerend.
Ab einem gewissen Punkt meldeten zwar einige der Scanner das verdächtige Programm, aber die große Mehrzahl blockierte es dann nicht! Stattdessen wurde der User gefragt, wie mit dem Programm umzugehen sei - und währenddessen konnte das Programm weiter Einstellungen ändern. Es gab nur zwei Scanner, die das Programm zuerst blockiert haben und dann danach gefragt bzw. es in Quarantäne gesteckt haben. Kaspersky war übrigens keiner davon.
Es ging übrigens damals um eine größere Umgebung, d.h. Enterprise-Lösungen. Vieles flog da gleich wieder raus, weil es kaum sinnvoll zu administrieren war. Das ist dann noch mal ein Punkt, der bei den meisten Scannern gerade im Firmenumfeld wichtig ist. Wie einfach kann man das Teil verteilen, konfigurieren, überwachen und aktualisieren, insbesondere auch dann, wenn die Clients nicht im LAN hängen.
.
. Stimmt, ist gängiger...
