Microsoft hat wie angekündigt die Beta-Version seiner Antivirenlösung Microsoft Security Essentials MSE (Codename Morro) zum Download bereit gestellt. Offiziell soll MSE zwar zunächst nur Anwendern in den USA, UK, Israel, China und Brasilien zur Verfügung stehen, ob die Redmonder damit aber die installierte Windows-Version oder das Ursprungsland des Downloaders meinen, ist nicht ganz klar. Zumindest funktionierte der Download in einem ersten Versuch der heise-Security-Redaktion aus Deutschland ohne Probleme. MSE liegt für Windows XP als 32-Bit-Version und für Vista und Windows 7 jeweils als 32-Bit und 64-Bit-Version bereit.

Die Installation auf dem RC1 von Windows 7 verlief anschließend ebenfalls ohne Probleme. Nach dem ersten Start lädt MSE Signatur-Updates nach und unterzieht das System einem Schnelltest. MSE bietet sowohl einen On-Demand-Scanner als auch einen Echtzeitschutz. Standardmäßig überwacht es Dateizugriffe auf der Platte und die Aktivität von Programmen – was genau MSE dabei überwacht, müssen weitere Tests zeigen. Eine verhaltensbasierte Analyse soll MSE nicht enthalten.

Zudem prüft MSE heruntergeladene Dateien auf schädliche Inhalte. Bei einem Virenfund alarmiert es den Anwender und schlägt abhängig von der Stufe der Bedrohung eine Aktion vor, die sich global vordefinieren lässt. Überraschenderweise ist die Prüfung mobiler Datenträger wie USB-Sticks deaktiviert. Dafür lassen sich vor jeder Aktion Wiederherstellungspunkte setzen – falls der Desinfektionsversuch in die Hose geht.

Etwas unglücklich geraten ist Microsofts Name für die Cloud-basierte Unterstützung des Scanners: SpyNet. Per SpyNet sollen Anwender Informationen über erkannte Bedrohungen an einen Microsoft-Server senden und von diesem auch Informationen erhalten können. Allerdings können dabei in einigen Fällen laut Microsoft aus Versehen auch persönliche Informationen des Anwenders auf den Server gelangen. Microsoft betont aber, dass man diese Informationen nicht zur Identifizierung oder für eine Kontaktaufnahme benutzen wollen.

AV-Test.org hat MSE hinsichtlich der Erkennungsleistung einem Kurztest unterzogen. Einen Satz von 3194 weit verbreiteten Viren, Würmer und Bots erkannte MSE und behandelte sie entsprechend der definierten Aktion. Bei einem Test mit vielen, bekanntermaßen guten Dateien produzierte MSE keine Fehlalarme.

Im Test der heise-Security-Redaktion erkannte der Scanner bereits einen vor kurzem veröffentlichten Exploit, mit dem sich unter Windows 7 die UAC austricksen lässt. Eine kleine Auswahl von Viren auf einem Netzlaufwerk erkannte MSE ebenfalls und meldete die Bedrohung. Den Versuch, eine der Dateien zu starten, blockierte MSE zwar, gab jedoch keine weitere Warnmeldung aus. Die Historie behauptete zwar, einen Schädling gelöscht zu haben, dabei handelte es sich aber um eine lokale Kopie des Netzlaufwerks.

Der Name von Microsofts Lösung passt auch zum ersten, kurzen Eindruck: Die wesentlichen Elemente sind zwar vorhanden, man hätte das aber auch alles schöner, intuitiver und für den Anwender aussagekräftiger machen können. Man fühlt sich etwas an die Antivirenprodukte vor fünf Jahren erinnert, die dem Anwender viel Interpretationsarbeit über den Zustand seines Systems überließen. (Daniel Bachfeld) / (dab)