TÜV-Zertifikat 'Geprüfter Virenschutz' für SaferSurf.com

Gutachten zum zertifizierten Virenschutz von SaferSurf.com

Gutachter

TÜV Saarland Gruppe
tekit Consult Bonn GmbH
Alexanderstraße 10,
53111 Bonn

Peter Reiffert
TÜV-Sachverständiger für
Informationstechnologie

1. Der Vorgang
2. Einleitung
3. Aufgabenstellung
4. Ausgangssituation
5. Durchgeführte Untersuchungen und Ergebnisse
6. Zusammenfassung

Download als .pdf-Datei, Dateigröße: 324 KB

1. Der Vorgang

Seitenanfang

2. Einleitung

Viren, Würmer, Trojanische Pferde und andere schädliche Software (Malicious Software oder kurz: Malware) stellen eine erhebliche Gefährdung in unserer heutigen vernetzten Welt dar. Virenschutzsysteme haben die Aufgabe, diese Schädlinge zu erkennen und unschädlich zu machen, bevor sie (weitere) Schäden anrichten können.

Seitenanfang

3. Aufgabenstellung

Die Nutzwerk GmbH, vertreten durch ihre Geschäftsführer Herrn René Holzer, Herrn Matthias Brühl und Herrn Dietmar Schulz, hat der tekit Consult Bonn GmbH, Mitglied der TÜV Saarland Gruppe, den Auftrag erteilt, den Mailvirenschutz SaferSurf.Com auf dessen Effizienz zu untersuchen.

Die tekit Consult Bonn GmbH hat die AV-Test GmbH (im folgenden Unterauftragnehmer genannt) beauftragt im Rahmen dieses Projektes bestimmte Tests unter ihrer Überwachung durchzuführen und Testmittel zur Verfügung zu stellen. Die Gesamtverantwortung für das Projekt lag bei der tekit Consult Bonn GmbH, die für Tests und Zertifizierung im TK- und IT-Bereich spezialisiert ist. Seitens der tekit Consult Bonn GmbH kamen öffentlich bestellte und vereidigte Sachverständige, sowie unabhängige TÜV-Auditoren und Sachverständige zum Einsatz.

Seitenanfang

4. Ausgangssituation

Von der tekit Consult GmbH in Zusammenarbeit mit der AV-Test GmbH sollte geprüft werden, wie gut die Mailvirenschutz-Dienstleistung SaferSurf.Com arbeitet. Hierbei handelt es sich um einen von der Nutzwerk GmbH angebotenen Service, alle ein- und ausgehenden E-Mails einer Firma und von Privatkunden auf gefährlichen Code hin zu untersuchen und diesen auszufiltern. "Saubere" Mails sollen hingegen ohne Beeinträchtigungen oder Zeitverzug zur Verfügung gestellt werden. Im Folgenden wird die Bezeichnung "Virus" als Synonym für "Viren" und "Würmer" benutzt.

Als Referenzdatenset an infizierten Dateien kam die WildList-Virensammlung (www.wildlist.org) zum Einsatz. Die WildList-Organisation hat es sich zur Aufgabe gemacht, eine ständig aktualisierte Liste der Viren zu veröffentlichen, die wirklich bei Anwendern auftreten und dort stark verbreitet sind. Hierfür greift sie auf ein Netzwerk von ca. 85 Reportern weltweit zurück, die durch ihre Arbeit ständig mit Viren zu tun haben, etwa als Supporter bei Anti-Viren-Firmen oder als IT-Sicherheitsdienstleister eines Konzerns. Die Basis für die WildList bilden nur verifizierte Reports von Infektionen, die mit Samples (Virenbeispielen) belegt werden müssen. Nur Viren, die von mehr als zwei Reportern weltweit gesichtet werden, bilden die Basis des Testsets, das für ItW ('In-the-Wild') Anti-Viren-Tests und Zertifizierungen heran gezogen wird.

Jeder Virenscanner muss 100% aller WildList-Viren finden oder man kann ihn nur als löchrigen bzw. scheinbaren Schutz bezeichnen. Für diesen Test wurde die WildList 05/2009 vom 16. Juni 2009 (http://www.wildlist.org/WildList/200905.htm, siehe Anlage 7.1) herangezogen, wobei von jedem der dort aufgeführten 677 Viren jeweils ein bis zwei infizierte Dateien in der Virensammlung enthalten sind, so dass ein Scanner insgesamt 3.194 Viren finden muss. Das Testset bestand aus 3.072 infizierten Programmdateien (inkl. E-Mail-Würmern), 102 mit Makroviren verseuchte MS Office-Dokumente, sowie 20 Skriptviren.

Weiterhin wurde der Mailvirenscanner mit sauberen Dateien konfrontiert, die unter anderem aus den Standardinstallationen von Windows 2000 und XP stammen. Diese sollten vom Virenscanner als "nicht-infiziert" erkannt werden. Ebenso haben wir einige populäre Programme in die Sammlung der nichtinfizierten Dateien hinzugefügt. Insgesamt kamen 310 MB Daten in 4.600 Dateien für diesen Test zum Einsatz.

Seitenanfang

5. Durchgeführte Untersuchungen und Ergebnisse

Die Sicherheitsdienstleistung SaferSurf.Com wurde zunächst im Labor der AVTest GmbH im Beisein der Gutachter der tekit Consult Bonn näher untersucht. Die Untersuchung fand im Zeitraum vom 22. bis 26. Juni 2009 statt. Die Ergebnisse wurden später im Labor der tekit Consult Bonn durch weitere Stichproben verifiziert.

Die Tests wurden auf einem Intel Xeon Quad Core 3360 (2,83 GHz) mit 2048 MB Arbeitsspeicher (RAM), 500 GB SATA-Festplatte (Western Digital Raid Edition III), Gigabit Ethernet und DVD-RW-Laufwerk durchgeführt.

Als Testplattform verwendeten wir das Betriebssystem Windows XP Professional (Build 2600) mit Service Pack 3 und allen bis zum 15. Juni 2009 erhältlichen Microsoft-(Sicherheits-)Updates, die automatisch von der Webseite www.windowsupdate.microsoft.com installiert wurden.

Da es sich bei SaferSurf.Com um eine Dienstleistung handelt, die auf der Provider-Ebene statt findet, waren keine weiteren Programminstallationen auf unseren Testsystemen notwendig. Auf den Rechnern war lokal kein Virenschutz installiert, der die Dateien hätte abfangen (löschen) oder desinfizieren können.

Von der Firma Nutzwerk lag uns eine Vertraulichkeitserklärung vor, dass keine unserer verschickten Daten gespeichert, weitergegeben oder weiterverwendet werden. Daher haben wir unsere komplette Virensammlung für den Test herangezogen und ebenso alle Fehlalarm-Testdateien versandt.

Die Viren und anderen Testdateien haben wir mittels Skripten automatisch und Auszugsweise auch manuell von verschiedenen E-Mail-Adressen an mehrere durch SaferSurf.Com geschützte Mailpostfächer verschickt. Ein Teil der Postfächer hat die Firma Nutzwerk uns zur Verfügung gestellt, einen anderen Teil haben wir anonym registriert und eingerichtet.

Für dieses Testszenario wurden von einem Rechner in unregelmäßigen Zeitintervallen zufällig entweder eine infizierte oder eine nicht-infizierte Datei im Anhang einer E-Mail verschickt. Kurz darauf wurde diese Mail von einem zweiten Rechner abgeholt. Eine Verzögerung des Mailverkehrs durch die Schutzlösung lag in einem nicht näher bestimmbaren Bereich von unter zwei Sekunden.

Wir haben alle Mails und deren Inhalt geprüft und dabei festgestellt, dass von den insgesamt 3.194 infizierten E-Mails alle korrekt ausgefiltert und blockiert wurden. Die 4.600 nicht-infizierten Dateien wurden hingegen durchgelassen. Die E-Mail-Anhänge der nicht-infizierten Dateien waren mit den gesendeten Ausgangsdaten vollständig identisch. Fehlalarme traten bei unserem Test also nicht auf und es kam zu keiner unwissentlichen Veränderung der nicht-infizierten Mailanhänge.

Seitenanfang

6. Zusammenfassung

Die kommerzielle Mailvirenschutzlösung SaferSurf.Com weist im Bereich der Erkennung weit verbreiteten WildList-Viren eine sehr gute Leistung auf. Ebenso positiv ist, dass der Mailvirenscanner in unserem Test keine Fehlalarme auslöste und es zu keiner merklichen Verzögerung des Mailverkehrs kam.

Diese Testergebnisse beziehen sich ausdrücklich nur auf die von uns getestete Version des Virenschutzservices und den getesteten Zeitpunkt.

Es wird die Empfehlung ausgesprochen, den Mailvirenschutz "SaferSurf" von der Firma Nutzwerk GmbH mit "Geprüfter Virenschutz" zu zertifizieren.

Bonn, den 29.06.2009

Peter Reiffert
TÜV-Sachverständiger
für Informationstechnologie