In letzter Zeit bin ich häufiger über Webroot SecureAnywhere gestolpert, und da ich es bislang eher als Vertreter der Kategorie Legacy AV/signaturbasierter AV-Scanner auf dem Radar hatte, habe ich diesem Produkt ehrlich gesagt keine große Bedeutung beigemessen, da mein Schwerpunkt auf signaturenloser Next Generation AV-Software wie SparkCognition DeepArmor liegt. Nachdem ich mich allerdings in das Funktionsprinzip von Webroot SecureAnywhere eingelesen hatte, ist mein Interesse nun doch erwacht, denn Webroot SecureAnywhere (oder abgekürzt WSA) bietet einige interessante Merkmale, die ich so von anderen Anti-Malware-Produkten nicht kenne.

Um mir selbst ein Bild von WSA zu machen, habe ich eine virtuelle Maschine damit bestückt und die große Malwareschatzkiste geöffnet, um zu sehen, wie gut Webroot SecureAnywhere damit umgehen kann.

Einführung

Nun, um der Wahrheit die Ehre zu geben, sind für Dinge wie Phishing-Schutz oder ein Webfilter, der vor dem Besuch von infizierten Webseiten schützen soll, kein Alleinstellungsmerkmal mehr und für mich persönlich auch unwichtig. Damit möchte ich diese sicher nicht unwichtigen Funktionen keinesfalls in Abrede stellen, denn der “normale” Anwender ist eben in der Regel nun mal kein IT Security-Experte, der in der Lage ist, diese Art von Bedrohungen im Schlaf zu erkennen. Ich für meinen Teil lege allerdings mehr Wert auf die Erkennung von Malware jeglicher Coleur, um im privaten Bereich und im geschäftlichen Bereich ein Höchstmaß an Endgerätesicherheit zu erzielen. Dazu gehört für mich Ransomware als größter Bedrohungsfaktor, dicht gefolgt von Banking-Trojanern oder sehr gut getarnter Malware, die von konventionellen Virenscannern nicht erkannt und geblockt werden.

Ich erspare mir an dieser Stelle eine vollständige Aufzählung aller Produktmerkmale und Features und verweise stattdessen auf die Übersicht auf der deutschen Webroot-Homepage. Das dort gesagte gilt mehr oder weniger auch für die Homeversion von Webroot SecureAnywhere für Privatkunden.

Was ist Webroot SecureAnywhere und wie unterscheidet es sich von anderen AV-Produkten?

Hier möchte ich direkt auf den Punkt kommen und die wesentlichen Merkmale erwähnen, die WSA aus meiner Sicht ziemlich interessant machen und in denen sich SecureAnywhere von Mitwerberprodukten unterscheidet:

• Webroot SecureAnywhere kommt ohne Signaturen aus und greift auf einen Mix aus Verhaltensanalyse (Behavior Analysis), aktuellen Bedrohungsdaten in Echtzeit aus der Cloud (Webroot Intelligence Network) sowie machine learning zurück
• Der SecureAnywhere Agent ist im Vergleich mit anderer AV-Software ein echter Winzling, was sich in der Größe des Agents (nur 750 KB!) und dem geringen Ressourcenverbrauch niederschlägt
• Für den Fall, dass Ransomware tatsächlich einmal nicht erkannt werden sollte, steht eine Rollback-Funktion zur Verfügung, die verschlüsselte Dateien in den Ursprungszustand versetzen kann (Journaling)

Was WSA sonst noch zu bieten hat, kann hier nachgelesen werden.

Wie schlägt sich Webroot SecureAnywhere im praktischen Einsatz?

Ich möchte darauf hinweisen, dass es sich hier um eine Kurzvorstellung und nicht um einen vollständigen Produkttest handelt. Aus diesem Grund habe ich zunächst die üblichen Verdächtigen getestet, wie beispielsweise die Ransomware-Samples von testmyav.com. Hier hat WSA schon mal ordentliche Ergebnisse abgeliefert, denn alle 50 Ransomware-Samples wurden erkannt und eliminiert. Auch mit mpress modifizierte Samples wurden erkannt und abgeräumt, was insofern erwähnenswert ist, weil signaturbasierte Scanner mit der Erkennung von modifizierten Samples des öfteren Probleme haben.

Die Systemauslastung hielt sich während dem Scan der Samples in Grenzen und erreichte zu keinem Zeitpunkt einen Auslastungsgrad zwischen 50-100%, wie es bei anderen Lösungen durchaus vorkommen kann.

Damit möchte ich es für heute gut sein lassen, mehr folgt dann in Teil 2 meiner Kurzvorstellung.