13.09.2022

Das Geheimnis des (Test)Erfolgs

Das Geheimnis des (Test)Erfolgs G DATA Campus

18 – für Anbieter von Endpoint-Protection-Lösungen eine fast magische Zahl. Schließlich handelt es sich um die Höchstpunktzahl der Produkttests des unabhängigen AV-Test-Instituts. Seit mehr als drei Jahren erhält die mobile Antiviruslösung von G DATA „Mobile Security Android“ in den Teilbereichen Schutzwirkung, Geschwindigkeit und Benutzbarkeit jeweils sechs Punkte und damit die Gesamtpunktzahl von 18 Punkten. Im Gespräch erzählen Stefan Decker, Mobile Security Experte bei G DATA CyberDefense, und Stefan Mutterlose, Product Owner im Bereich Mobile bei G DATA CyberDefense, welche Bedeutung die Testergebnisse haben und wie das Entwicklungsteam kontinuierlich die Schutzlösung weiterentwickelt

Wie genau läuft ein Testzyklus bei AV-Test ab?

Stefan Decker: Der Start erfolgt mit rund mehreren tausend Samples per SD-Karte. Das Testinstitut schaut, wie viele Samples von der getesteten Schutzlösung per Scan identifiziert werden und auch, was erkannt wird. Denn es kommen nicht nur bösartige, sondern auch gute Samples zum Einsatz. Diese sollte die Schutzlösung nicht erkennen und blockieren. Dann folgt über vier Wochen ein Test, bei dem ständig neue Samples auf dem Smartphone installiert werden. Die Schutzsoftware soll diese innerhalb einer festgelegten Zeitspanne erkennen, bevor bereits das nächste Sample folgt. Und auch hier sind saubere Apps aus dem Playstore dabei. In diesem Dauertest müssen die Antiviruslösungen also über einen längeren Zeitraum eine perfekte Erkennungsleistung bringen. Und es muss alles einwandfrei funktionieren.

Stefan Mutterlose

Die Tests der unabhängigen Testinstitute belegen, dass Kund*innen mit unserer Lösung sehr sicher unterwegs sind. Und wir liefern in den Tests über die Jahre hinweg immer konstant gute Ergebnisse.

Stefan Mutterlose

Product Owner im Bereich Mobile bei G DATA CyberDefense

Welche Bedeutung haben die Tests?

Stefan Decker: Diese Tests haben eine Benchmark-Funktion für uns. Das gilt aber auch für unsere Wettbewerber. An den Ergebnissen können sich nicht nur Kunden auf der Suche nach einer Sicherheitslösung orientieren, sondern auch Unternehmen sehen, wo sie aktuell stehen.

Hinzu kommt: AV-Test und AV Comparatives legen sehr viel Wert auf Sicherheitsfeatures und wie gut diese performen. Deren Gesamtwertungen sind vergleichbar mit der TÜV-Plakette für Autos. Andere Testanbieter nehmen in die Bewertung auch noch zusätzliche Kriterien mit auf – beispielsweise das Preis-Leistungs-Verhältnis. Sie gewichten die Einzelergebnisse auch anders, sodass die reine Erkennungsleistung weniger Einfluss auf das Gesamtergebnis hat. Das heißt also, dass günstige Anbieter mit einer schwächeren Erkennungsleistung manchmal besser dastehen als wir. Um mal ein anderes Bild zu nehmen: Wer würde ein günstiges Auto kaufen, das bei Crashtests schlecht abschneidet?

Stefan Mutterlose: Die Tests der unabhängigen Testinstitute belegen, dass Kund*innen mit unserer Lösung sehr sicher unterwegs sind. Und wir liefern in den Tests über die Jahre hinweg immer konstant gute Ergebnisse. Das zeichnet uns aus. Hinzu kommt: Wir erkennen auch Staatstrojaner und mit dem Standort Deutschland bieten wir Kunden zusätzliche Sicherheit.

Wie helfen die Ergebnisse dem Team, die Schutzlösungen weiterzuentwickeln?

Stefan Mutterlose: Die Testinstitute setzen sehr aktuelle Bedrohungsszenarien ein, die auch für unsere Kund*innen im Alltag relevant sind. Daher schauen wir auch zwischen den Test gezielt, was neue Malware macht. Hier stimmen wir uns intensiv mit unseren Virus Analysten ab.

Unser Ansatz dabei: Was haben schädliche Apps gemeinsam? Welche Dinge zeichnen sie aus, welche Bereiche nutzen sie, um Angriffe zu verüben? Mit diesem Wissen erarbeiten wir Mechanismen und Prozesse, die gezielt diese Sektoren miteinschließen oder besser erkennen. Mit dem Ziel, die Gefahr frühzeitig zu bannen. Das ist eine kontinuierliche Aufgabe. Das machen wir sowohl in als auch zwischen den Testphasen.

Dabei müssen wir immer einen Spagat wagen, denn die Analyse auf dem Smartphone muss so granular sein, dass sie die Bedrohung identifiziert, aber darf auch nicht zu fein, um dann nicht zu viel zu erkennen. Ich will nicht auf allen Kundengeräten gleichzeitig eine Erkennung auslösen. Das ist eine Gratwanderung, wenn wir neue Erkennungsmechanismen bauen.

Stefan Decker

Dank des guten Fundaments können wir heute sehr flexibel agieren und neue Technologien für veränderte Bedrohungen einbauen. So können wir individuell handeln, ohne ein ganzes Haus neu zu errichten.

Stefan Decker

Mobile Security Experte bei G DATA CyberDefense

Wie schaffen wir es, konstant die Höchstpunktzahl bei AV-Test zu erzielen?

Stefan Mutterlose: Ein Großteil des Erfolgs geht auf unsere neue Engine zurück, die wir vor fünf Jahren eingeführt haben. Seitdem schneiden wir bei den Tests deutlich besser ab. Der Entwicklungsaufwand dafür war sehr hoch. Umso erfreulicher ist es also, dass sie so gut läuft. Auch im Backend haben wir etwa die Signatur-Pipeline verbessert. Damit konnten wir die Erkennungszeit deutlich reduzieren. Die Engine ist sehr modular aufgebaut, sodass wir dementsprechend immer wieder Änderungen implementieren konnten, damit es so gut funktioniert. Schließlich verändert sich auch das Android-Betriebssystem stetig – es kommen unter anderem neue Berechtigungen dazu. Da müssen wir das System immer wieder anpassen.

Was uns auch in die Karten spielt, sind die Weiterentwicklung im Windows-Bereich. Wir können diese mitbenutzen und Dinge in unsere Lösung übertragen. Und eine Sache dürfen wir nicht vergessen. Das Team ist recht klein: Gerade einmal ein Dutzend Entwickler*innen kümmern sich bei G DATA um die mobilen Lösungen.

Stefan Decker: Wir haben vor fünf Jahren ein sehr gutes Fundament entwickelt. Damals haben wir auch so Erkennungstechniken wie Master Key Exploit Detection gebaut, um mehrfach verpackte Schadsoftware zu enttarnen. Unsere Engine konnte die verdächtige Software auf dem Gerät entpacken, untersuchen und direkt Alarm schlagen. Seit Android 7 ist eine solche Erkennungstechnik nicht mehr notwendig, weil Google sich mit neueren Betriebssystemen selbst um solche Verdachtsfälle kümmert. Wir konnten die Funktionalität also rausnehmen, weil sie nicht mehr erforderlich war und dafür dann andere Erkennungsmechanismen integrieren, um beispielsweise Stalkerware zu erkennen. Dank des guten Fundaments können wir heute sehr flexibel agieren und neue Technologien für veränderte Bedrohungen einbauen. So können wir individuell handeln, ohne ein ganzes Haus neu zu errichten.

Hinzu kommt, dass wir einen guten Sample-Income haben. Kunden schicken uns verdächtige Apps zu, die wir dann prüfen und entsprechend einstufen. Davon profitieren am Ende alle.

Stefan Mutterlose: Wir haben jetzt gerade einen weiteren Meilenstein erreicht, indem wir die App-Entwicklung mit dem Research-Bereich zusammengelegt haben, sodass wir jetzt ganzheitlich die Erkennungsfeatures entwickeln. Durch diese geänderte Organisation sind wir deutlich agiler und liefern Features schneller an unsere Kunden aus. Ein wesentlicher Erfolgsfaktor ist, dass wir uns schneller absprechen und abstimmen können.

Wie geht ihr bei der Weiterentwicklung vor?

Stefan Mutterlose: Als agiles Team setzen wir unterschiedliche Techniken ein. So können wir innerhalb eines Sprints von 14 Tagen einen Prototyp bauen und den daraufhin nebenherlaufen lassen – ohne dass das direkten Einfluss auf unsere Kund*innen hat. Wir können dann trotzdem sehen, was wir zusätzlich an Erkennungen erhalten würden.

Bei der Stalkerware haben wir uns zunächst Wissen zu dem Thema angeeignet und die Dinge genauer unter die Lupe genommen. Darauf aufbauend haben wir mehrere Iterationen geplant, um uns der Problematik Schritt für Schritt zu nähern. Daraus ergibt sich auch die Planung für den Aufbau der Systeme. Bei Stalkerware ging es zum Beispiel um die Analyse der Berechtigungen, weil diese schon ein deutlicher Hinweis dafür sind. Über die weiteren Iterationen verfeinern wir das immer weiter – bis wir endlich sagen, dass wir das Thema abgeschlossen haben und eine funktionierende Lösung ausrollen können. Diese erkennt dann die gefährlichen Apps und hat gleichzeitig wenig False Positives, also Fehlalarme.

Stefan Decker: Aber gerade beim Thema Berechtigungen bewegen wir uns auf einem schmalen Grat. Denn eine Kamera-App ist beispielsweise legitimiert, auf die Kamera zuzugreifen. Diese darf unsere Schutzlösung nicht erkennen und blockieren. Also müssen wir immer schauen, dass wir die guten Apps durchlassen und die bösen trennen. Wenn wir dann merken, dass der Prototyp unsere Vorgaben nicht vollumfänglich erfüllt, arbeiten wir im nächsten Sprint genau daran. Und das machen wir so lange, bis es passt und wir es an unsere Kund*innen ausliefern können.

Stefan Decker

Wenn persönliche Daten wie Standortverläufe in falsche Hände geraten, wird es schnell problematisch. Das Wissen können beispielsweise Einbrecher für ihre kriminellen Zwecke missbrauchen.

Stefan Decker

Woher nehmt ihr die Informationen für die Weiterentwicklungen?

Stefan Mutterlose: Wir müssen immer auf zwei Seiten schauen: Was wollen unsere Kund*innen? Und: Welche Entwicklungen gibt es bei Schadsoftware, welche Trends gibt es bei Apps? Denn Cyberkriminelle nutzen solche Dinge auch für sich, indem sie beispielsweise einfach eine erfolgreiche iOS-App für Android nachbauen. Dafür haben wir uns ein eigenes Alarmsystem gebaut, um besser informiert zu sein. Aus dieser proaktiven Analyse heraus entscheiden wir dann die nächsten Schritte für unsere Schutzlösungen. Und aufgrund der kurzen Sprintzyklen können wir sehr schnell reagieren.

Stefan Decker: Natürlich profitieren wir auch von dem Schwarmwissen des gesamten Unternehmens. Immer wieder bringen uns Kolleg*innen aktuelle Smartphones, sodass wir uns diese im Auslieferungszustand anschauen können. Dann wissen wir, welche Apps ab Werk eingerichtet sind. So konnten wir auch schon einmal vorinstallierte Malware erkennen, weil ein Wiederverkäufer Schadsoftware installiert hatte.

Abschließende Frage: Welche Bedrohungen kommen in den kommenden Jahren auf Smartphones zu?

Stefan Decker: Ich gehe davon aus, dass wir in nächster Zeit Malware haben, die uns vormacht, dass wir irgendwo was mit dem Handy bezahlt haben. Die anschließend den Anwender oder die Anwenderin auffordert, eine Rechnung zu bestätigen. Aber der Download des Dokuments beinhaltet dann Malware oder vielmehr der Link in der Nachricht löst einen Download von Schadsoftware aus. Denn das Handy wird immer mehr die ec-Karte ersetzen und irgendwann komplett verdrängen – bis mobile Geräte das Zahlungsmittel Nummer eins sind. Dann nutzen wir das Handy zum Bezahlen so selbstverständlich wie heute einen Geldschein. Diese Entwicklungen werden auch Cyberkriminelle antizipieren. Und dann erhalten Sparkassen-Kund*innen vermeintliche, aber gefälschte Mahnungen. Das Risiko nimmt in den kommenden Jahren zu.

Beim Thema Smart Home braucht es derzeit ein paar Jahre, bis es für Cyberkriminelle lohnend wird. Das liegt aber auch daran, dass es noch keinen branchenweiten Standard gibt. Und dann gibt es gerade in Deutschland den Irrglauben, dass ein echter Schlüssel deutliche sicherer ist als ein digitaler. Aber heute reicht nur das Foto eines Schlüssels, um den nachzumachen. Bei Autos sind wir schon weiter. Auch hier übernimmt das Smartphone die Funktion des digitalen Türöffners.

Ein weiteres Problem: Handys wissen mehr als wir selbst, wenn sie etwa immer unseren Standort aufzeichnen. Wenn solche Daten wie Standortverläufe in falsche Hände geraten, wird es schnell problematisch. Das Wissen können beispielsweise Einbrecher für ihre kriminellen Zwecke missbrauchen.



Stefan Karpenstein

Stefan Karpenstein

Public Relations Manager

Mehr erfahren

Artikel teilen

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein