Menü

Web.de will E-Mail-Nutzer vor Schädlingen schützen

Web.de hat seinem FreeMail-Dienst einen Virenschutz für alle Kunden des Services spendiert. Nach Angaben des Unternehmens werden auf Wunsch des Nutzers ab sofort "alle eingehenden E-Mails auf Viren, Würmer und Trojaner geprüft". Befallene Dateianhänge sollen wahlweise sofort entfernt oder in den vom Spam-Schutz bekannten Quarantäne-Ordner "Unerwünscht" geschoben werden.

In einem ersten Kurztest von heise online erkannte der neue Service allerdings längst nicht alle Viren und Würmer. Verwundert über dieses Ergebnis, fragten wir beim Unternehmen nach, welche Software dort zum Einsatz kommt. Web.de nutzt für den Virenscan nach eigenen Angaben zwei Tools: Ausgehende E-Mails werden vom F-Secure-Scanner geprüft, eingehende Kundenpost durchläuft die Open-Source-Software Clam AntiVirus. Während sich F-Secure in einem entsprechenden Test von c't bewähren konnte, fiel die Alpha-Version 0.54 des ClamAV-Scanners durch eine sehr schwache Erkennungsrate von Viren und Würmern auf.

Anzeige

Gegenüber den Kunden erklärte Web.de heute, der Scanner schütze "Postfach und PC wirksam vor Angriffen durch infizierte E-Mails", was angesichts des c't-Testergebnisses etwas trügerisch erscheint. Daher bat heise online den Antiviren-Experten Andreas Marx von der Universität Magdeburg, die wohl von Web.de eingesetzte aktuelle Version 0.65 Alpha von ClamAV nochmals unter die Lupe zu nehmen.

Das Ergebnis: Von 716 weit verbreiteten Schädlingen aus der aktuellen "Wildlist" erkannte ClamAV gerade mal 242, was einer Trefferquote von 33,8 Prozent entspricht. "Den Virenschutz von ClamAV kann man also nicht als solchen bezeichnen", kommentierte Marx dieses Ergebnis. Jeder kommerzielle Anti-Viren-Scanner weise in entsprechenden Tests eine Erkennungsrate von mindestens 99 bis meist sogar 100 Prozent auf. Weil ClamAV nicht über eine Code-Emulation verfüge, sei die Software überdies zurzeit völlig wirkungslos gegen polymorphe Viren. Im Test erkannte es 0,3 Prozent von untersuchten 70.000 Dateien. Zum Vergleich: Scanner von Symantec, Network Associates/McAfee, Trend Micro und anderen Unternehmen finden in der gleichen Sammlung alle 70.000 infizierten Dateien. Eine OLE2-Engine fehle ClamAV ebenso, weshalb dem Scanner praktisch alle Makroviren durch die Lappen gingen.

Auffällig sei außerdem gewesen, dass ClamAV ungewöhnlich oft fälschlicherweise Alarm schlägt: Von 5000 sauberen Dateien die er mit ClamAV ueberprüft habe, seien mehr als 50 als mit einem Virus infiziert erkannt worden, erläuterte Marx. Diese "falsch positiven" Treffer führt Marx auf die schlechte Qualität der von ihm analysierten Signaturdatenbank von ClamAV zurück.

Experten wie Marx weisen allerdings ausdrücklich darauf hin, dass das Open-Source-Projekt ClamAV im gegenwärtigen Alpha-Stadium besser noch nicht in Produktivumgebungen als einziger Virenscanner eingesetzt werden sollte. Damit erweise Web.de den Entwicklern von ClamAV und auch den Nutzern des E-Mail-Services "einen Bärendienst". Das Unternehmen selbst dagegen verweist auf eine "sehr gute Erkennungsquote" von ClamAV bei internen Tests. (hob)

Anzeige