SaferSurf.com

TÜV-Zertifikat 'Geprüfter Online-Virenschutz' für SaferSurf.com

 Gutachten zum zertifizierten Virenschutz von SaferSurf.com

TÜV-Zertifikat für SaferSurf.com 		Gutachter
TÜV Saarland Gruppe
tekit Consult Bonn GmbH
Alexanderstraße 10, 53111 Bonn



1. Einleitung

2. Untersuchungsgegenstand / Beauftragungsverhältnis

3. Ausgangssituation

4. Testdurchführung

5. Zusammenfassung Virenscanner


Download als .pdf-Datei, Dateigröße: 353 KB

1. Einleitung

Viren, Würmer, Trojanische Pferde und andere schädliche Software (Malicious Software oder kurz: Malware) stellen eine erhebliche Gefährdung in unserer heutigen vernetzten Welt dar. Anti-Viren-Programme haben die Aufgabe, diese Schädlinge zu erkennen und unschädlich zu machen, bevor sie (weitere) Schäden anrichten können.

2. Untersuchungsgegenstand / Beauftragungsverhältnis

Die Nutzwerk GmbH, vertreten durch Herrn René Holzer, hat der tekit Consult Bonn GmbH, Mitglied der TÜV Saarland Gruppe, den Auftrag erteilt, den Mailvirenschutz SaferSurf.com auf dessen Effizienz zu untersuchen.

Die tekit Consult Bonn GmbH hat die AV-Test GmbH (im folgenden Unterauftragnehmer genannt) beauftragt im Rahmen dieses Projektes bestimmte Tests unter ihrer Überwachung durchzuführen und Testmittel zur Verfügung zu stellen. Die Gesamtverantwortung für das Projekt lag bei der tekit Consult Bonn GmbH, die für Tests und Zertifizierung im TK-und IT-Bereich spezialisiert ist. Seitens der tekit Consult Bonn GmbH kamen öffentlich bestellte und vereidigte Sachverständige, sowie unabhängige TÜV-Auditoren und Sachverständige zum Einsatz.

3. Ausgangssituation

Von der tekit Consult GmbH in Zusammenarbeit mit der AV-Test GmbH sollte geprüft werden, wie gut die Mailvirenschutz-Dienstleistung SaferSurf.com arbeitet. Hierbei handelt es sich um einen von der Nutzwerk GmbH angebotenen Service, alle ein-und ausgehenden E-Mails einer Firma und von Privatkunden auf gefährlichen Code hin zu untersuchen und diesen auszufiltern. „Saubere“ Mails sollen hingegen ohne Beeinträchtigungen oder Zeitverzug zur Verfügung gestellt werden. Im Folgenden wird die Bezeichnung „Virus“ als Synonym für „Viren“ und „Würmer“ benutzt.

Als Referenzdatenset an infizierten Dateien kam die WildList-Virensammlung (www.wildlist.org) zum Einsatz. Die WildList-Organisation hat es sich zur Aufgabe gemacht, eine ständig aktualisierte Liste der Viren zu veröffentlichen, die wirklich bei Anwendern auftreten und dort stark verbreitet sind. Hierfür greift sie auf ein Netzwerk von ca. 80 Reportern weltweit zurück, die durch ihre Arbeit ständig mit Viren zu tun haben, etwa als Supporter bei Anti-Viren-Firmen oder als IT-Sicherheitsdienstleister eines Konzerns. Die Basis für die WildList bilden nur verifizierte Reports von Infektionen, die mit Samples (Virenbeispielen) belegt werden müssen. Nur Viren, die von mehr als zwei Reportern weltweit gesichtet werden, bilden die Basis des Testsets, das für ItW (‚In-the-Wild’) Anti-Viren-Tests und Zertifizierungen heran gezogen wird.

Jeder Virenscanner muss 100% aller WildList-Viren finden oder man kann ihn nur als löchrigen bzw. scheinbaren Schutz bezeichnen. Für diesen Test wurde die WildList 10/2004 vom 1. Dezember 2004 (http://www.wildlist.org/WildList/200410.htm, siehe Anlage 1) herangezogen, wobei von jedem der dort aufgeführten 393 Viren jeweils mindestens zwei infizierte Dateien in der Virensammlung landeten, so dass die Virenschutzlösung 872 Viren abfangen musste. Das Testset enthielt keine der drei auf der WildList aufgeführten Bootviren, da diese sich nicht über Netzwerke und daher auch nicht per Mail verbreiten können. Für den Test kamen 736 infizierten Programmdateien (inkl. E-Mail-Würmern), 110 mit Makroviren verseuchte MS Office-Dokumente, sowie 26 Skriptviren zum Einsatz.

Weiterhin wurde der Mailvirenscanner mit sauberen Dateien konfrontiert, die unter anderem aus den Standardinstallationen von Windows 2000 und XP stammen. Diese sollten vom Virenscanner als „nicht-infiziert“ erkannt werden. Ebenso haben wir einige populäre Programme in die Sammlung der nichtinfizierten Dateien hinzugefügt. Insgesamt kamen 245 MB Daten in 1900 Dateien für diesen Test zum Einsatz.

4. Testdurchführung

Die Sicherheitsdienstleistung SaferSurf.com wurde zunächst im Labor der AV-Test GmbH im Beisein der Gutachter der tekit Consult Bonn näher untersucht. Die Untersuchung fand im Zeitraum vom 01. Dezember bis 16. Dezember 2004 statt. Die Ergebnisse wurden später im Labor der tekit Consult Bonn durch weitere Stichproben verifiziert.

Die Tests wurden auf zwei baugleichen Rechnern mit einem Pentium III 800- Prozessor und 256 MB Arbeitsspeicher (RAM), sowie folgender Ausstattung durchgeführt:
  • 30 GB Festplatte (Maxtor)
  • DVD-Rom-und Floppy-Laufwerk
  • Level1-Netzwerkkarte (100 MBit)
  • SoundBlaster 128 PCI (Compact)
Als Testplattform verwendeten wir das Betriebssystem Windows XP Professional (Build 2600) mit Service Pack 2 und allen bis zum 15. November 2004 erhältlichen Microsoft-(Sicherheits-)Updates, die automatisch von der Webseite www.windowsupdate.microsoft.com installiert wurden. Die Versionsnummer laut winver lautet „Microsoft (R) Windows Version 5.1 (Build 2600.xpsp_sp2_rtm.040803-2158: Service Pack 2)“.

Da es sich bei SaferSurf.com um eine Dienstleistung handelt, die auf der Provider-Ebene statt findet, waren keine weiteren Programminstallationen auf unseren Testsystemen notwendig. Auf den Rechnern war lokal kein Virenschutz installiert, der die Dateien hätte abfangen (löschen) oder desinfizieren können.

Von der Firma Nutzwerk lag uns eine Vertraulichkeitserklärung vor, dass keine unserer verschickten Daten gespeichert, weitergegeben oder weiterverwendet werden. Daher haben wir unsere komplette Virensammlung für den Test herangezogen und ebenso alle Fehlalarm-Testdateien versandt.

Die Viren und anderen Testdateien haben wir mittels Skripten automatisch und auszugsweise auch manuell von verschiedenen E-Mail-Adressen an mehrere durch SaferSurf.com geschützte Mailpostfächer verschickt. Ein Teil der Postfächer hat die Firma Nutzwerk uns zur Verfügung gestellt, einen anderen Teil haben wir anonym registriert und eingerichtet.

Für dieses Testszenario wurden von einem Rechner in unregelmäßigen Zeitintervallen zufällig entweder eine infizierte oder eine nicht-infizierte Datei im Anhang einer E-Mail verschickt. Kurz darauf wurde diese Mail von einem zweiten Rechner abgeholt. Alle empfangenen Mails waren mit dem Hinweis „[SaferSurf.com Status: eMail virus free]“ versehen. Eine Verzögerung des Mailverkehrs durch die Schutzlösung lag in einem nicht näher bestimmbaren Bereich von unter zwei Sekunden.

Wir haben alle Mails und deren Inhalt geprüft und dabei festgestellt, dass von den insgesamt 2772 E-Mails (d.h. 1900 Mails mit nicht-infizierten Dateien und 872 Mails mit infizierten Dateien) exakt 1900 E-Mails auf den zweiten Rechner eingegangen waren. Alle 872 infizierten Mails wurden korrekt ausgefiltert. Die E- Mail-Anhänge der nicht-infizierten Dateien waren mit den gesendeten Ausgangsdaten vollständig identisch. Fehlalarme traten bei unserem Test also nicht auf und es kam zu keiner unwissentlichen Veränderung der nicht-infizierten Mailanhänge.

5. Zusammenfassung Virenscanner

Die kommerzielle Mailvirenschutzlösung SaferSurf.com weist im Bereich der Erkennung der weit verbreiteten WildList-Viren eine sehr gute Leistung auf. Ebenso positiv ist, dass der Mailvirenscanner in unserem Test keine Fehlalarme auslöste und es zu keiner merklichen Verzögerung des Mailverkehrs kam.

Diese Testergebnisse beziehen sich ausdrücklich nur auf die von uns getestete Version des Virenschutzservices und den getesteten Zeitpunkt.


Ort, Datum

gez. Dipl. Phys. A. Meinerzhagen
Sachverständiger

© 2002–2005 Nutzwerk GmbH