Menü
IT Sicherheit ist ein Weg, kein Ziel!
24.02.2018

Nutzen des eicar-Testfiles

Im Jahr 1991 wurde eicar als Vereinigung der Antiviren-Hersteller gegründet. Der Name eicar leitet sich von „The European Institute for Computer Anti-Virus Research“ ab. Seit der Gründung hat sich viel im Security-Umfeld verändert. Daher steht heute auch nicht mehr der Fokus auf AV (Anti-Virus), sondern auf IT Sicherheit generell. Demzufolge hat sich auch das Betätigungsfeld von eicar stark gewandelt.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Ein Überbleibsel aus frühen Jahren ist das sogenannte eicar-Antimalware Testfile. Dies ist eine Datei, die einen vereinbarten Text enthält, bei dem Virenscanner eine Meldung generieren.
Diese Meldung soll dazu dienen, festzustellen, ob der installierte Virenscanner generell einsatzbereit und funktionsfähig ist.

Was in der Vergangenheit Sinn machte, verliert heute jedoch massiv an Sinnhaftigkeit. Denn heute nimmt sich kein User mehr die Zeit, die Funktionalität zu verifizieren - vor allem, wenn im betrieblichen Umfeld vermehrt das "eicar-Testset" für Test genutzt wird, muss die Erkennung/Reaktion für den "eicar" deaktiviert werden, denn ansonsten läuft jedes Mal ein Prozess zur Virenbearbeitung an der sinnlos ist. Auch die technische Sicht einer Nutzung ist zu hinterfragen! Die Gründe dafür sind u.a.:

  • Nicht jedes heute verfügbare Produkt unterstützt den Funktionstest per eicar-Testfile
  • Verhaltensbasierte Schutzsysteme sehen keine Veranlassung für eine Reaktion, da das Testfile keine Schadfunktion ausführt
  • Das Testfile bestätigt lediglich eine Erkennung per Signatur-Mechanismus – andere Security-Mechanismen des Anti-Malware-Scanners werden nicht verifiziert
  • Die Nutzungsquote wird zunehmend geringer – weshalb also sollte die Tools alten „Ballast“ mitschleppen der nur von wenigen Anwendern genutzt wird

Leider ist dem in der Tat so und ein Mehrwert durch das eicar Antimalware-Testfile wird von Jahr zu Jahr geringer. Letztendlich kann man zwar das Testfile von der eicar-Webseite herunterladen  – aber ein qualitativer Test des installierten Schutz-Produktes lässt sich damit nicht ausführen. Wenn der lokale Virenschutz auf dem Handy oder PC eine Malware-Meldung am Bildschirm anzeigt oder den Download verhindert, ist das gut, aber wenn nicht, sagt dies auch nicht viel über die Produktqualität aus! Leider!

Letztendlich braucht es hier ein neues Testverfahren, welches signaturbasiert Scanner ebenso zu einer Meldung veranlasst, wie auch verhaltensbasierte Malware-Scanner oder auch andere Next-Gen-Software!
Nach wie vor bleibt leider die Frage offen:“ Wie erkenne ich, ob mein Schutzprodukt funktioniert?“

Man könnte kontrollieren, ob das Produkt Arbeitsspeicher belegt und der eigentliche Prozess Rechnerleistung erfordert (sofern möglich). Eventuell forciert ein beabsichtigtes Fehlverhalten (Impliziertes Laden/Ausführen von Programmen via Powershell) eine Warnmitteilung. Ggf. erzeugt auch eine fehlerhafte Konfigurierung eine Meldung – aber das alles sind nur Hinweise, auf das Programmtechnische Rahmenwerk des Tools. Ob es wirklich funktioniert und Schadsoftware, Hacker oder Ransomware erkennt und blockiert lässt sich erst im Ernstfall sagen.

Hier handelt es sich um eine fehlende Funktion, die man mit einem Augenzwinkern beim Produkt-Hersteller durchaus reklamieren kann. Frei nach dem Motto: „Stetiger Tropfen höhlt den Stein“. Denn wenn viele Nutzer eine solche Funktionalität fordern, wird sie hoffentlich irgendwann einmal realisiert werden. Denn das eicar-Testfile genügt heute nicht mehr den Ansprüchen!

Der Anfang des eicar Antimalware-Textdefinition: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-...