Der vergangene Sommer brachte eine böse Überraschung für Netzwerkadministratoren, die sich mit ihren Antivirus-Strategien auf der sicheren Seite wähnten: W32/Blaster, W32/Welchia und Sobig.F rauschten durch das Internet und breiteten sich rapide aus - in ihrem Kielwasser blieben Schäden zurück, die in die Milliarden gingen. Diese Würmer waren etwas Besonderes, denn sie kombinierten Angriffsmechanismen wie Social-Engineering und Netzwerkkommunikationsattacken. Vor diesem Hintergrund untersuchten wir, welche Antivirus-Produkte am effizientesten vor neuen Generationen von Netzwerkwürmern und Viren schützen. Unsere zwei Schlüsselfragen waren: Ist es Antivirus-Herstellern gelungen, Produkte und Strategien zu entwickeln, die gegen Würmer und gemischte Bedrohungen sowie traditionelle Viren verteidigen? Gibt es irgendeinen Weg, Netzwerke zu schützen während der Periode der besonderen Verwundbarkeit, die bei allen Antivirus-Produkten existiert, weil sie sich auf rein reaktive Signatur-Scanning-Techniken stützen?
Die erste Frage ist einfacher zu beantworten: Nötig sind eine integrierte AV-Suite, die alle bekannten Infektionsvektoren (Pfade ins Netzwerk) kennt, ein gut durchdachter Ereignis-Reaktionsplan, 24x7-Hersteller-Support, gründliches Benutzertraining und reichlich Zeit für das Netzwerkpersonal vor, während und nach einem Ausbruch. Das mag nach mehr Arbeit klingen, als wir wünschen, aber dies ist für viele Organisationen eine erprobte Virus-Eindämmungsstrategie.
Die zweite Frage, wie sich das Infektionsrisiko während der Phase besonderer Verwundbarkeit reduzieren lässt, ist schwieriger zu beantworten. Alle Hersteller versprechen "Outbreak-Management-Systeme", die den Schaden verringern können, sofern sie richtig implementiert sind. Die von jedem Produkt verwendete AV-Signatur-Scanning-Technik ist bestenfalls ein zweischneidiges Schwert: Diese Technik funktioniert zwar gut, um die Unmenge der "in der freien Wildbahn" existierenden Viren an einem unwillkommenen Comeback zu hindern, aber sie ist rein reaktiv. Zwangsläufig gibt es eine signifikante Verzögerung zwischen dem Zeitpunkt der Entdeckung eines neuen Virus und der Installation einer defensiven Signatur auf dem Desktop des Benutzers. Diese Zeitspanne erzeugt das Fenster der Verwundbarkeit, sie ist die Achillesferse der Produkte - und Virenentwickler haben gelernt, sie zu missbrauchen. Sobig.F kam beispielsweise mit seinem bemerkenswert effizienten, eigenen SMTP-Server, der während des Zeitraums der Verwundbarkeit die Infektion mehrerer Millionen Desktops ermöglichte.
Folgende Testgebiete legten wir zu Grunde: Installation und Konfiguration, Managementkonsole und -Features, Mail-System-Scanner, Server-Dateisystem-Scanner, Client-(Desktop)- Scanner, Perimeter-Scanner (wo verfügbar), Outbreak-Management-Werkzeuge, automatisiertes Software- und Signatur-Deployment und -Update sowie Richtlinienmanagement für alle zuvor genannten Punkte.
Wir fanden zwar keine umfassende Problemlösung und auch keine revolutionär neue Technologie, aber wir fanden bemerkenswerte evolutionäre Verbesserungen. Nach folgenden Features sollten Sie in neuen AV-Produkten Ausschau halten:
• Breitgefächertere Anwendung von Outbreak-Richtlinien: Wenn ein neues Virus entdeckt wird, verstehen die Produkte den grundlegenden Angriffsmechanismus, lange bevor Signaturen zur Verfügung stehen. Innerhalb von Stunden können die Hersteller Vorlagen für Richtlinieneinstellungen herausgeben, die dem Virus den Zugang zu seinem Verteilungskanal verwehren. Kommt ein Virus zum Beispiel in einem spezifischen Dateianhang, beispielsweise .VBS versteckt in einer Zip-Datei, könnte die Outbreak-Richtlinie empfehlen, die kommenden Tage alle gezippten .VBS-Dateien vom Mail-Server oder Perimeter zu entfernen, selbst wenn die normale Richtlinie des Unternehmens dies nicht vorsieht. 3 Personal-Firewalls: Um mit kombinierten Bedrohungen fertig zu werden, benötigen einige Hersteller Personal-Firewalls, die von einer zentralen AV-Richtlinien-Managementkonsole aus verwaltet werden. Solche Firewalls bringen aber Probleme mit sich: Sie müssen beispielsweise vor Konfigurationsänderungen durch Benutzer geschützt werden, sonst wird die Firewall den Benutzer jedes Mal fragen, was sie tun soll, wenn eine Anwendung auf das Netzwerk zugreifen will - und der Benutzer wird jeden Zugriff sehr wahrscheinlich bestätigen.
• Hardware-Beschleuniger: So wie die Hardware-Beschleunigung in den vergangenen Jahren Firewall- und Intrusion-Detection-Produkte revolutioniert hat, beginnt sie sich nun auch in AV-Suiten zu zeigen. Trend Micro liefert beispielsweise einen HTTP-AV-Proxy, der einen AV-Beschleuniger von Tarari verwendet, um die Verzögerungszeit dramatisch zu reduzieren.
• Entdeckung und Zügelung nicht konformer Maschinen: McAfee arbeitet mit anderen Herstellern zusammen, um Maschinen, die ins Netzwerk kommen, auf Up-to-Date-AV-Software zu testen. Maschinen, die diese Software nicht besitzen, wird die Netzwerkverbindung verweigert. Einige Universitäten setzen diese Technik bereits ein. Die Syracuse University verlangt beispielsweise von den Usern, AV-Software auszuführen. Falls McAfee-AV eingesetzt wird, hält die Universität es via McAfees e-Policy-Orchestrator aktuell. Benutzer, die andere AV-Software verwenden, sind selbst verantwortlich und tragen das Risiko, dass ihre Netzwerk-Ports geschlossen werden, sollten sich ihre Maschinen infizieren.
• Virtual-Machine-Technik: Norman Data Defense war beim AV-Einsatz der Pionier. Die Theorie ist, dass verdächtig erscheinender Code in der VM ausgeführt wird, um festzustellen, ob er ein gefährliches Verhalten an den Tag legt. Anschliessend kann entschieden werden, ob der Code für "normale" Maschinen geeignet ist.
Wir haben die Produkt-Suite nach folgenden Kriterien bewertet:
• Plattformabdeckung: Deckt der Hersteller alle möglichen Infektionsvektoren für eine ganze Reihe unterschiedlicher Plattformen ab? Dies ist ein kritischer Erfolgsfaktor. Obwohl alle Produkte die notwendigen Infektionsvektoren implementieren, gab es bei der OS-Unterstützung ein paar Überraschungen. Am bemerkenswertesten war das Fehlen von Linux-Unterstützung, was das Ergebnis der ansonsten sehr fähigen Produkte von Network Associates und Symantec negativ beeinflusste.
• Management: Ein weiterer kritischer Erfolgsfaktor waren automatische Client-Installation, automatisches Update und fortlaufendes AV-Richtlinien-Management. Sophos zeigte die intuitivste Managementschnittstelle. F-Secure und Trend Micro enthalten weniger elegante, aber eben so nützliche Managementwerkzeuge. Die Produkte von Network Associates und Symantec punkteten mit ihren robusten Managementfähigkeiten ganz gut - wer ein grosses Netzwerk hat, der braucht vielleicht genau das, was die beiden bieten. Aber beide erforderten einige Arbeit bei der Installation und sahen eher nach Sammlungen zusammengeklebter Einzelprodukte aus, bei denen sich die "Suite"-Integration überwiegend auf der Marketingebene abspielt.
• Strategischer Plan: Verfügt der Hersteller über einen effizienten Plan zur Vermeidung von Ausbrüchen? AV-Verteidigung ist eine hochentwickelte Form elektronischer Kriegsführung. Kein General würde ohne soliden strategischen Plan in die Schlacht ziehen. Alle getesteten Produkte besitzen solche soliden Pläne, aber einigen Herstellern, beispielsweise Trend Micro, gelingt es besser, ihre Produkte den jeweiligen Plan direkt unterstützen zu lassen. Genau so wichtig ist die AV-Strategie Ihres Unternehmens - Sie haben doch eine?
• Outbreak-Management: Hat der Hersteller einen effizienten taktischen Plan zur Minderung des Schadens während eines Ausbruchs, was sich als Rettung für die fundamental geschwächte Signatur-Scanning-Technik erweisen könnte? Wir haben diesem Kriterium ein sehr hohes Gewicht beigemessen, weil wir schon sahen, wie 100'000 Menschen tagelang damit beschäftigt waren, Ausbrüche in Unternehmen in den Griff zu bekommen. Wieder setzte sich Trend Micro mit glänzendenOutbreak-Management-Fähigkeiten an die Spitze. Nicht überraschend erhielt Trend Micro schliesslich unsere Auszeichnung "Testsieger".
Schliesslich bewerteten wir noch Installation, Dokumentation und Preis. Installation und Dokumentation tragen zwar nur mit einem geringen Gewicht zum Gesamtergebnis bei, aber auf der Frustrationsskala können sie deutlich höher angesiedelt sein, wenn der Hersteller die Sache nicht richtig macht. Beim Preis ist zu beachten, dass viele Produkte mehrere Komponenten enthalten und verschiedene Preis-Schemata existieren.
Trend Micro gewann verdient unsere Auszeichnung "Testsieger", weil das Unternehmen unsere beiden Schlüsselfragen am überzeugendsten beantwortete. Am Anfang der Enterprise-Protection-Strategy (EPA) von Trend Micro steht die Prämisse, dass die Konzentration allein auf Antivirus nicht ausreicht. Der Hersteller erkennt die Unzulänglichkeiten der Antivirus-Technologie an und hat eine Sammlung von Produkten, Diensten, Operationstaktiken und Managementwerkzeugen entwickelt, welche die Kosten (und Kopfschmerzen) der Behandlung des unvermeidbaren Virusausbruchs reduzieren. Trend Micro zeigte im Test die robustesten Outbreak-Management-Fähigkeiten. Die überlegt zusammengestellte Suite deckt Perimeter, Mail-Server, Dateiserver und Desktops ab und bleibt dabei mit Hilfe einer intuitiven, Web-basierenden Konsole - Control-Manager - erst noch gut administrierbar.
Wir mussten zwar die individuellen Produkte separat installieren, aber Control-Manager-Agenten binden sie eng zusammen und erlauben ein handliches, zentralisiertes Management. Die Installation auf einem halben Dutzend Server verlief wunderbar ereignislos. Gleiches lässt sich für die automatische Installation der Desktop-Scanning-Software auf einem halben Dutzend Test-PCs sagen.
Glanzstück der Trend-Micro-Produkt-Suite ist die Outbreak-Manager-Komponente der Control-Manager-Konsole. Diese Komponente reduziert den möglichen Schaden während der Phase der Verwundbarkeit, die es bei jeder Signatur-Scanning-Technik gibt. Wenn ein neues Virus auftaucht, holt sich der Outbreak Manager automatisch eine Sammlung von Richtlinien-Steuerungsvorlagen von der Trend-Micro-Support-Website. Diese Richtlinienvorlagen neutralisieren das aktuelle Virus. Die Vorlagen lassen sich so einrichten, dass sie sich automatisch auf Endpunkt-Server und Arbeitsstationen laden oder sich in eine Warteschlange einreihen, damit sie vor der Distribution noch editiert werden können. Die meisten mittleren und grossen Organisationen werden es sicher bevorzugen, die Vorlagen zunächst zu editieren und die Richtlinien dann manuell zu verteilen, aber es sieht schon gut aus, wenn jemand automatisch die Führung übernimmt, um dieses Loch zu stopfen. Auch die anderen Hersteller machen Richtlinienvorlagen verfügbar, aber die Trend-Micro-Implementation ist die gelungenste.
Das rapide Wachstum von Trend Micro in den vergangenen Jahren ist kein Zufall. Das Unternehmen konzentriert sich auf Antivirus, und seine Produkte decken alle Basen mit einer gut integrierten Toolsammlung ab, die den strategischen Schwerpunkt unterstützt: das Management von Virenausbrüchen.
Die jahrelange Erfahrung von Network Associates scheint durch mit einer strategischen Architektur, die nicht nur alle gefragten Basen abdeckt, sondern auch zu sehr grossen Konfigurationen skaliert. "McAfee Active Virus Defense Suite" bietet Schutz für alle getesteten Vektoren.
Virusscan-Enterprise, das Flaggschiff-Produkt, bietet AV-Schutz für Desktops und mobile Benutzer. Integriert mit ePolicy-Orchestrator bildet sich ein Feature, das wir ganz besonders mochten: Laptop-Benutzer lassen sich auffordern, ihren AV-Schutz aktuell zu halten, selbst wenn sie nicht bei jedem Verbindungsversuch ein komplettes Update durchführen.
Im Gleichklang mit den Ansätzen anderer AV-Hersteller nutzt Network Associates die McAfee-Desktop-Firewall-Lösung (ebenfalls integriert mit ePolicy-Orchestrator), um mit kombinierten Bedrohungen fertig zu werden. Die einzige Unzulänglichkeit der McAfee-Linie war ihre herausfordernde Installation. Die getesteten Produkte waren sehr funktionell, aber sie ins Laufen zu bekommen, war harte Arbeit. Der Suite scheint ein Dokument zu fehlen, das die korrekte Installationsreihenfolge des Gesamtpakets beschreibt.
Wir waren überrascht festzustellen, dass die Suite Linux nicht unterstützt. Network Associates und Symantec waren die beiden einzigen Hersteller, die zum Testzeitpunkt Linux nicht unterstützten. Wir testeten auch die McAfee-Webshield-e500-Perimeter-Appliance, die neben Inbound- und Outbound-SMTP auch Inbound-POP3-Nachrichten, HTTP- und FTP-Verkehr scannt. Die 1HE-Box enthält Dual-PIII-1GHz-Prozessoren mit 256 MByte Speicher und zwei gespiegelte 17,4-GB-SCSI-Platten. Diese Hardwarekonfiguration entspricht im wesentlichen dem, was auch andere Hersteller als Plattform für ihre Perimeter-Gateway-Server-Software empfehlen. Das bemerkenswerteste Feature von Webshield-500 ist die völlig einfache Installation. Wir hatten die Appliance in ein paar Minuten am Laufen, und die Konfiguration via Web-Schnittstelle war eine Kleinigkeit. Die Steuerung der e500 von der zentralen ePolicy-Orchestrator-Konsole aus war ein sehr intuitiver Prozess.
Das eTrust-Produkt ist die Antivirus-Komponente der grösseren Cross-Plattform-Suite Threat-Management, die Intrusion-Detection, Secure-Content-Management (Spam-, URL- und AV-Filterung) sowie Richtlinienmanagement-Produkte für die Überwachung von Sicherheitsrichtlinien umfasst. eTrust ist ein leicht administrierbares Produkt der Enterprise-Klasse, das unter den getesteten Produkten mit die beste Abdeckung bot. Wer eine Plattform hat, die Antivirus-Schutz benötigt, für den hat CA die Antwort: Windows 9x, Windows NT/2000/XP, Linux, Solaris, Netware, MacOS, Palm-OS und Pocket-PC-2002 sind die vollständig administrierbaren Clients, die eTrust-Antivirus unterstützt.
Auf strategischer Ebene versteht CA durchaus die Einschränkungen der Technologie. CA verfolgt eine der klarsten Strategien und arbeitet hart daran, mitzuteilen, dass es keine halben Antworten gibt. Tatsächlich nahm der Hersteller kein Blatt vor den Mund und sagte uns ganz offen, dass aus seiner Sicht das schwache Glied vieler Unternehmens-Antivirusrichtlinien der Mensch ist, der vor dem Computer sitzt.
CA unterstützt Outbreak-Management mit vordefinierten Richtlinienplänen, die wir ausführen konnten, als es nötig war. Dazu gehören auch Richtlinien-gesteuerte Signatur-Updates und eine ganze Reihe von Ausbruch-Alarmierungsfähigkeiten, darunter Netzwerk-Broadcast, SNMP, SMTP, Pager, Trouble-Ticket und Verknüpfungen mit CAs Unicenter-Netzwerk-Management-Produkt.
eTrust nutzt zwei Scanning-Engines, um die Chancen zu reduzieren, dass vielleicht ein Bug durchs Netz schlüpft. Der einzige andere Hersteller, der mehrfache Engines (drei) unterstützt, war F-Secure. Unter den getesteten Produkten war eTrust das einzige, das während der gesamten Produktlebensdauer kostenlose Signatur-Updates bietet, und zwar unabhängig von der Art des abgeschlossenen Wartungsvertrags - das ist höchst ungewöhnlich für eine Branche, die Signatur-Update-Abonnements als Haupteinnahmequelle betrachtet.
Das finnische Unternehmen F-Secure bietet verschiedene Produkte und Dienstleistungen, die ahnen lassen, dass der Hersteller "unsere Schmerzen kennt" und hart daran arbeitet, sie zu lindern. Als Teil der Produktsammlung "Total Suite", die alle erforderlichen strategischen Basen abdeckt, offeriert F-Secure Personal-Firewalls und drei Scanning-Engines. Enthalten ist ein "Radar" genanntes Outbreak-Benachrichtigungssystem, das Administratoren selbst dann berücksichtigen sollten, wenn F-Secure nicht der primäre AV-Produkt-Anbieter des Unternehmens ist.
In Sachen Outbreak-Benachrichtigung steht der Radar-Dienst für sich allein. Zwar boten alle getesteten Produkte einen Benachrichtigungsdienst, aber Radar ging einen Schritt weiter und schickte uns Benachrichtigungen direkt auf den Pager oder das Mobiltelefon. Die Theorie besagt, dass eine E-Mail-Benachrichtigung, die ein paar Stunden in der Posteingangsbox schlummert, nichts auszurichten vermag gegen SoBig.X, den neuen Wurm, der 100'000 Maschinen pro Stunde infiziert.
Das F-Secure-Produkt ist das einzige im Test, das gleich drei Scanning-Engines enthielt. Dieser Doppelt- und Dreifach-Ansatz ist typisch für die gesamte F-Secure-Produkt-Suite und bietet zusätzlichen Schutz. Da selbst die beste Scanning-Engine einen kleinen Teil von Infektionen übersehen kann, reduziert die Lösung von F-Secure diese Wahrscheinlichkeit auf fast Null.
Die F-Secure-Suite ist eine der am leichtesten zu installierenden; die Dokumentation umfasst einen detaillierten Testplan, der eine EICAR-Virustest-Datei enthält, mit der sichergestellt werden kann, dass alle Produkte korrekt installiert sind und wie vorgesehen arbeiten. Diese EICAR-Datei ist ein Standard-Testwerkzeug, das ein Virus darstellt, das von allen AV-Scanning-Engines erkannt wird. Das primäre Einsatzgebiet dieser Datei ist das Testen von Antivirus-Lösungen, ohne dass es dabei zu Schäden kommt. Weitere Informationen sind unter www.eicar.org zu finden.
Die Policy-Manager-Konsole ist klar, intuitiv und informativ. Mit ihr konnten wir leicht Client-Software und aktualisierte Signaturdateien auf unsere Desktops, Server und Laptops laden. Gefallen hat uns auch der effiziente Signatur-Proxy-Server, der es erlaubt, Signaturdateien kontrolliert und mit nur geringen Beeinträchtigungen in grossen Netzwerken zu verteilen.
Die Architektur des Produkts von Sophos ist, um es mit einem Wort zu sagen, elegant. Die Suite war zudem völlig einfach zu installieren und zu administrieren. Die Produktlinie ist nicht ganz so breit gefächert wie die einiger anderer Mitspieler, aber die Sophos-Implementation ist für die meisten mittelgrossen Netzwerke komplett genug.
Sophos ist zwar spezialisiert auf AV-Lösungen für Unternehmen, stellte uns aber ein Consumer-Produkt zur Verfügung. Trotzdem bot die Kombination aus Sophos' Anti-Virus, Mail-Monitor und Enterprise-Manager alles, was wir für unsere fünf Server sowie unsere lokalen, fernen und mobilen Computer und Mail-Server benötigten. Die vom Hersteller patentierte Intercheck-Technik liess uns verfolgen, welche Dateien bereits gescannt waren. Dateien scannt die Lösung nur dann wiederholt, wenn sie kürzlich modifiziert wurden - dieses Feature trägt dazu bei, die Bandbreitennutzung zu reduzieren.
Die Sophos-Anti-Virus-Schnittstelle war im Test eins der am leichtesten anwendbaren Managementwerkzeuge und gab uns vollständige Kontrolle über die aktuellen Revisionslevel aller Clients im Netzwerk. Die Schnittstelle nutzt eine Central-Installation-Directories genannte, einfache Technik, die den Download und die Distribution von Signaturdateien in geografisch verstreuten Netzwerken steuert.
Falls eine Organisation nicht unbedingt die Enterprise-Features benötigt, die andere Produkte bieten, ist Sophos' Lösung einen genaueren Blick wert, denn der Systemadministrator-Overhead ist eben so gering wie der Preis des Produkts.
Gemessen an der Anzahl der Mitbewerber, die in ihren Produkt-Suiten Migrationswerkzeuge integriert haben, die sich auf Symantec beziehen, ist Symantec offensichtlich der Hersteller, der durchaus zu schlagen ist. Das Angebot von Symantec basiert auf einer Architektur, die für das Management des Antivirus-Schutzes der grössten Netzwerke entworfen ist - allerdings brauchten wir recht lange, um herauszufinden, welche Kombination der 20 Antivirus-Produkte für unser simuliertes 1500-Knoten-Test-Netzwerk die richtige war. Schliesslich griffen wir zu Symantec-Antivirus-Enterprise-Edition in der Version 8.6. Symantec hat erheblich daran gearbeitet, ihre Consumer-Abteilung - Trademark "Norton" - von der Enterprise-Software-Abteilung - Symantec - zu trennen. Für unsere Zwecke testeten wir ausschliesslich Symantec-Enterprise-Software und haben die Norton-Consumer-Produkte nicht angerührt.
Symantecs Erfahrung als einer der ältesten Mitspieler auf diesem Markt ist offensichtlich. Die Antivirus-Management-Architektur war für jede von uns geforderte Basis verfügbar. Symantecs Antivirus-Corporate-Edition, die den Antivirus-Corporate-Edition-Server enthält, arbeitet als zentrales Repository für Client-Software, Konfigurationspakete und Antivirus-Signatur-Updates. Wir konnten alle Aktivitäten des Corporate-Edition-Servers entweder lokal oder mit der Symantec-System-Center-MMC-Konsole auch von einer Remote-Arbeitsstation aus administrieren. Unlängst durchgeführte Erweiterungen enthalten höhere Sicherheit für die Managementkonsole und ein besseres Auditing für Client-Maschinen, das deren Aktualität gewährleistet.
Der Symantec-SMTP-Gateway und Antivirus/Filterung für Exchange-Produkte zählten zu den ersten von uns getesteten Produkten. Dabei drängte sich eine Frage auf: Ist es nicht redundant, Inbound- und Outbound-Verkehr erst im Perimeter und dann noch einmal auf dem Mail-Server zu scannen? Ja, natürlich. Aber Gespräche mit Herstellern haben ergeben, dass eine Anzahl kürzlich durchgeführter Attacken einen Mail-Server überfluten könnte, so dass er nicht mehr in der Lage ist, seinen primären Job, die Auslieferung von Mail, und seine sekundäre Aufgabe, das Scannen nach Viren, zu erledigen.
Symantecs Angebot ist sehr fähig, aber die Installation hat schon etwas mit Arbeit zu tun. Ein halbes Dutzend Produkte ist in einer bestimmten Reihenfolge zu installieren, um Schutz auf allen Angriffsvektoren zu erlangen. Wir mussten die Installation zweimal durchführen, weil die Installationsvoraussetzungen nicht klar waren. Die einzige Überraschung, die es mit Symantecs AV-Suite gab, war die nicht vorhandene Unterstützung von Linux.
Vor dem Hintergrund unserer zwei Schlüsselfragen enttäuschte uns keines der Produkte. Jeder Testkandidat besitzt Methoden zur Abwehr der Flut von Angriffen, und die meisten Hersteller verlassen sich dabei auf Desktop-Firewalls. Alle sechs verbessern ihre Outbreak-Management-Richtliniendistribution bis zu dem Punkt, an dem diese Technik Standard wird - dies sollte in wenigen Monaten bereits der Fall sein.
Die Wahrheit ist allerdings, dass Technologie, unabhängig vom Produkt, nicht alles leisten kann. Die Lösungen von Trend Micro und Network Associates führen zwar das Feld an und können eine grosse Hilfe sein, aber ein Grossteil der Last, nämlich die Formulierung einer Antivirus-Strategie und deren Transport zu den Endbenutzern, liegt nach wie vor auf den Schultern der IT. Der IT-Stab muss in AV-Seminaren die Benutzer schulen, um Würmer und Viren zu vermeiden. Ein klein wenig Schulung kann grosse Auswirkungen haben.
Die Test-Kandidaten im Vergleich
