Vertrauensvorschuss

Zertifizierungen für Antivirus-Produkte

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Bei einer Zertifizierung haben Kunden mehr Sicherheit, dass der Antivirus-Anbieter nicht nur das Blaue vom Himmel verspricht.
Bei einer Zertifizierung haben Kunden mehr Sicherheit, dass der Antivirus-Anbieter nicht nur das Blaue vom Himmel verspricht. (Bild: Archiv)

Welches Security-Produkt ist für meine Zwecke das Beste? Hilfestellung bieten Testberichte, Diskussionsforen oder auch Produkt-Zertifizierungen durch unabhängige Experten. Diese bietet nun auch EICAR an – eine Organisation, die in der Vergangenheit den Fokus auf Antivirus setzte.

Zertifikate und Prüfsiegel sind allgegenwärtig – beinahe jedes Elektrogerät verfügt über einen Aufkleber, der die Einhaltung gewisser Normen und Vorschriften bestätigt. Zertifizierungen sind aber keine neue Erfindung, sondern bereits seit gut 150 Jahren etabliert.

Selbst die bunten TÜV-Plaketten von PKWs sind im Wesentlichen nichts anders als Zertifikate, welche die Verkehrstauglichkeit des Fahrzeugs bestätigt. Die Wurzeln des TÜV gehen auf die Überprüfung von Dampfkesseln zurück, ebenso wie die des amerikanischen Spezialversicherers HSB (Hartford Steam Boiler Inspection and Insurance Company).

Zertifikate für Security-Produkte

Für zentrale Security-Themen und Security-Personal gibt es eine Vielzahl unterschiedlicher Zertifikate. Die Anzahl der Zertifikate für Security-Produkte, speziell Antivirus, ist dagegen deutlich weniger umfangreich. Zu nennen ist hier beispielsweise:

  • CC (Common Criteria), welches in der Version 3.1 durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) vergeben wird.
  • ITSMIG (IT Security made in Germany) eine Initiative des Bundesministeriums des Innern (BMI), des Bundesministeriums für Wirtschaft und Technologie (BMWi) sowie Vertretern der deutschen IT-Sicherheitswirtschaft.
  • „EICAR Minimum Standard“ (EICAR trusted IT-security), ein Security-Standard für Anti-Malware-Produkte und in der Zukunft auch von Netzwerksicherheitsprodukten
  • ICSA Labs ist ein unabhängiger Geschäftsbereich von Verizon Business und bietet herstellerunabhängige Tests und Zertifizierungen von Sicherheitsprodukten.

Auch der TÜV bietet in diesem Umfeld eine generelle Prüfung der Software-Qualität an, die nicht auf Security-Tools beschränkt ist. Eine Übersicht der geprüften Software-Produkte liefert die Zertifikatsdatenbank.

CC ist ein komplexer Standard, dessen Überprüfung mit Zeit und Kosten verbunden ist. Daher wird dieser Standard bevorzugt für Produkte genutzt, für die eine CC-Zertifizierung erforderlich ist oder die eine längere „Lebensdauer“ aufweisen. Ein Übersicht der zertifizierten Produkte nach Anwendungsgruppen (Betriebssysteme, Digitale Signatur, Digitaler Tachograph ...) findet man auf der Webseite des BSI.

Was sagt nun aber eine Zertifizierung nach ITSMIG, EICAR oder ICSA aus? Wie sind die jeweiligen Prüfkriterien definiert, wie werden sie überprüft und was bedeute dies für den Käufer?

ITSMIG

Die Initiative des BMI und BMWI geht zurück auf das Jahr 2005 und hat heute eine breite Nutzungsbasis. Für ITSMIG gilt ‚Nomen est omen‘, denn das erste Kriterium der ITSMIG-Zertifizierung lautet, dass sich der Unternehmenshauptsitz in Deutschland befinden muss. Über 130 Unternehmen folgen der Selbstverpflichtung und sind berechtigt, das ITSMIG-Zertifikat zu führen, darunter auch klassische Anti-Malware-Hersteller wie AVIRA und G Data (Übersicht Zeichenträger).

Das Zertifikat erlangt man auf Antrag, der für Nicht-TeleTrusT-Mitglieder kostenpflichtig ist. ITSMIG-Aktivitäten erfolgen unter dem Dach des TeleTrusT in einer eigenständigen Arbeitsgruppe. Die Kriterien, die ein Unternehmen erfüllen muss, sind dabei auf Deutschland fokussiert.

  • 1. Der Unternehmenshauptsitz muss in Deutschland sein.
  • 2. Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
  • 3. Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine „Backdoors“).
  • 4. Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.
  • 5. Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzes zu genügen.

Ergänzende Informationen darüber, wie und in welcher Häufigkeiten die Einhaltung der Kriterien überprüft werden, lässt sich über die Webseite nicht ermitteln. Aber der Hinweis „Bei nachträglicher Nichterfüllung eines oder mehrerer Kriterien kann die Zeichennutzung durch TeleTrusT untersagt werden.“ spricht für die Existenz einer geeigneten Verifikation.

Vor allem der Punkt 4 dürfte dabei kritisch hinterfragt werden, denn Europa wächst zusammen und eine Auslagerung von Software-Aktivitäten ins preiswerte Ausland ist heutzutage durchaus üblich. Ebenso wäre eine nach Schärfung des Begriffes „Backdoor“ nachzudenken, denn auch versteckte (z.B. nicht für den Anwender dokumentierte) Funktionen, die nicht der Backdoor-Definition entsprechen, stellen eine Gefährdung dar.

ICSA LABS

Im amerikanischen Sprachraum sind die Zertifizierungen der ICSA Labs ein fester Faktor für das Marketing. Anti-Malware-Produkte bekannter AV-Hersteller wie Avast, Symantec, Trend Micro, Sophos und McAfee/Intel (u.a.) nutzen die ICSA Labs zur Überprüfung Ihrer Produkte (Liste der zertifizierten Anti-Virus-Tools).

Die Aktivitäten der ICSA Labs im Umfeld Anti-Malware entsprechen dabei weitestgehend denen, die im DACH-Umfeld von Unternehmen wie AV-Test und AV-Comparatives erbracht werden – die Qualitätsprüfung von Virenscannern und deren Erkennungsraten. ICSA behält es sich vor, mehrmals im Jahr, unangekündigt, das Produkt zu testen. Wobei die primären Test Module (Kriterien) im Vordergrund stehen. Dabei handelt es sich um:

  • 1. Detect Malware on-demand
  • 2. Detect and prevent the replication of viruses on-access
  • 3. Report no false positives
  • 4. Log the results of malware detection attempts
  • 5. Perform necessary administrative functions

Bezüglich der Kosten hält man sich bedeckt und informiert auf Anfrage den Auftraggeber direkt. Für die Sparte Antivirus-Produkte ist die Überprüfung via ICSA Labs gleichzusetzen mit den Ergebnissen der bereits genannten AV-Test-Labore. Hinsichtlich der anderen Prüfthemen wie IoT-Komponenten, Firewall-Systemen, Netzwerk-IPS oder Anti-Spyware-Programme bietet der Service eine Zertifizierung, die man als Käufer durchaus betrachten sollte.

EICAR

Im Rahmen der „EICAR Trustworthiness Strategy“ ist man bei EICAR bemüht, für mehr Sicherheit, Vertrauen und Transparenz zu sorgen. Dazu stellte man Mitte 2015 den „EICAR Minimum Standard für Anti-Malware-Produkte“ der Öffentlichkeit vor, der nachfolgendes Ziel hat:

  • Die Einhaltung von Datenschutzbestimmungen,
  • Transparenz über die Kommunikation der Produkte zu den Herstellern sowie
  • eine Versicherung, dass die Produkte nicht manipuliert sind.

Aktuell ist dies nur auf Basis einer Selbstverpflichtung möglich, da die entsprechenden Verifikationsmöglichkeiten noch nicht existieren. Man agiert bei EICAR nach einem mehrstufigen Plan, der in der dritten „Ausbaustufe“ Testprozeduren bereitstellen/definieren wird. Mit dem Test-Labor AV Comparatives konnte im November 2015 der erste Test-Partner gewonnen werden. Man darf daher annehmen, dass der dritte Punkt der „Minimum Standards“ aber zeitnah umgesetzt wird.

Die Security-Company Trend Micro hat sich als erste dazu bekannt, den Minimu- Standard einzuhalten und dies für drei ihrer Produkte (OfficeScan, Deep Security und Deep Discovery) bestätigt. In einer Pressemeldung von Raimund Genes, CTO von Trend Micro, über die positiven Einflüsse der EICAR-Aktivität findet sich auch ein Link, der die EICAR-Kriterien auflistet.

Aktuell beschreiben 16 Anforderungen, was ein Anti-Malware-Programm zu tun hat und was nicht. Diese Festlegung ist derzeit durchaus richtungsweisend!

So hat man z.B. das Risiko „Backdoors“ besser abgegrenzt und für den Käufer klarer definiert, was er erwarten kann bzw. wovor er geschützt ist.

Auch die im Dokument aufgeführten Anforderungen hinsichtlich der Qualifizierung und Kenntnis des genutzten Programmcodes („[...] Der Anbieter muss sämtliche Teile des in dem Produkt vorhandenen Codes, ob intern oder extern entwickelt, hinreichend kontrollieren können [...].“) sind echte Herausforderungen.

Diese können z.B. nachhaltig die Nutzung von Open-Source-Code (z.B. OpenSSL) in Security-Programmen verändern!

Für das Security-Unternehmen ist die Zertifizierung kein billiges Vergnügen, denn je Produkt und Jahr sind rund 5.000 Euro zu entrichten. Allerdings ist dies eine Investition, die sich durchaus bezahlt machen kann, denn Zertifikate werden in Zukunft wahrscheinlich stärker das Kaufverhalten beeinflussen.

Rainer Fahs, Chairman von EICAR, berichtete, dass inzwischen auch an der Zertifizierung von „nicht AV-Tools“ gearbeitet wird und man auch hinsichtlich der Zusammenarbeit mit anderen Firmen und Organisationen gute Fortschritte macht. Details dazu werden sicherlich die nächsten Pressemitteilungen genannt.

Der Nutzen für den Käufer?

Wie steht es nun aus mit dem Mehrwert für den Käufer. Bieten zertifizierte Produkte mehr hinsichtlich Qualität, Berücksichtigung von Datenschutzregeln und stärken Sie das Vertrauen des Käufers? Die Antwort darauf ist ein JA, aber aktuell ist das gewünschte Niveau noch nicht erreicht.

ITSMIG: Starker Marktanteil und das Zertifikat ist bekannt. Aber eine Erweiterung der Kriterien bzw. eine Ausarbeitung der Anforderungen wäre aus Käufersicht wünschenswert, da dies dem Wert des Zertifikats steigert.

ICSA Labs: Für den Bereich Antivirus / Anti-Malware nützlich, aber die Stärken liegen auf anderen Produkten. Bzgl. der Scanner-Qualität und anderen Scanner-Eigenschaften sind die Testergebnisse von Test-Laboren detaillierter.

EICAR: Das Zertifikat hat Potential zum neuen Standard zu werden! Aktuell fehlt es aber noch einer korrekten, belegbaren Überprüfbarkeit der Zertifikatskriterien. EICAR muss hier einen Gang zulegen.

Empfehlung

Zertifikate und Gütesiegel gibt es für viele IT Komponenten. Man sollte sich nie vom grafischen Label, den verwendeten Begriffen und Namen beeindrucken lassen, sondern immer selbst überprüfen, was da eigentlich zertifiziert wird und welchen Nutzen die Kriterien bieten.

Einen Einstieg in die Validierung können die folgenden Fragestellungen geben:

  • 1. Wer erteilt das Zertifikat mit welcher Befähigung?
  • 2. Welche Kriterien werden vorausgesetzt bzw. erwartet?
  • 3. Wie lange ist das Zertifikat gültig bzw. wie häufig erfolgt eine Re-Zertifizierung?
  • 4. Werden Datenschutz-Themen angesprochen bzw. berührt?
  • 5. Welche Ausschluss-Klausen oder Beschränkungen sind genannt?
  • 6. Gibt es eine Übersicht der bisherigen Zertifikats-Nutzer?
  • 7. Ist die Bestätigung überregional anerkannt bzw. bekannt?
  • 8. Wie kann man Verstöße gegen die Kriterien melden?
  • 9. Ist das Zertifikat kostenpflichtig?
  • 10. Kann der Nutzer einer zertifizierten Leistung die Kriterien (teilweise) selbst validieren?

Zertifikat + Technik

Bei Anti-Malware besteht auch die Möglichkeit, einem Zertifikat durch technische Prüfwerte mehr Gewicht zu verleihen. Produktaussagen bzgl. der Erkennungsqualität, Scan-Geschwindigkeit, Speichernutzung etc. liefern hier Test-Labore wie AV-Comparatives und AV-Test. AV-Comparatives ist als „Trusted IT-Security Testing Lab“ durch EICAR zertifiziert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44165528 / Malware)