Adminbox.de

Wie ich hier bereits angekündigt hatte, war ich am Donnerstag auf einer Präsentation der Firma AVIRA. Präsentiert wurden die geplanten Funktionsupdatezyklen 2008/2009.
AVIRA möchte ab 2009 nur noch ein (großes) Funktionsrelease durchführen (statt wie bisher zwei pro Jahr). Ursache hierfür sei der gestiegene Aufwand zur Qualitätssicherung aufgrund von wachsender Softwarekomplexität und dem erfolgreichen Wachstum im Ausland.
Die neue AVIRA Antivir V8-Version (Release in Kürze) erhält als Neuerung die “FACT-Technolgie” (Fast ACTivation) getaufte einfache Produktregistrierung. Bisher war zur Lizenzierung ein relativ umständliches Verfahren mit Registrierung auf der AVIRA-Homepage nötig. Dies wurde nun stark vereinfacht.
AVIRA hat nun auch erkannt, was andere Hersteller längst wußten: mit Virenscanner bestückte mobile Clients sind nicht immer am LAN angeschlossen. Die verteilten Clients haben in der neuen Version jetzt “Prioritätsserver” (der zentrale Verteilpunkt im LAN) und einen nachgeordneten Server (=Internet). Ist der Prioritätsserver nicht erreichbar, kontaktiert der Client automatisch den nächsten Server und zieht sich von dort das Update.
Als weitere Neuerung wurde ein tieferer Registry-Scan sowie verbesserte Rootkit-Desinfektion angegeben.

Bei Antivir Server konnten aufgrund von Verbesserungen an der Engine Performancegewinne von 10-15% erzielt werden. AVIRA unterstützt die Version 8.0, 7.x und 6.x noch bis zum 30.11.08 mit Patches und Signaturupdates. Ein Migrationstermin sollte sollte also kurzfristg angesetzt werden.

Der Virenscanner für den ISA-Server wurde stark beschleunigt – AVIRA spricht hier von Performancegewinnen im mittleren dreistelligen Prozentbereich. Unterstützt werden die ISA-Versionen 2004 und 2006.

Bei der SMC will AVIRA einen grundlegenden Paradigmenwechsel: statt der bisher eingesetzten Push-Technologie (der zentrale Server sendet an alle Client neue Updates), soll auf eine Pull-Technologie umgestellt werden. Viele Großkunden hätten diesen Wunsch an AVIRA herangetragen, weil das Push-Verfahren einen erheblichen Netzwerktraffic verursacht.

Für 2009 plant AVIRA die Version 9 mit einer zwingenden Neuinstallation. Neu hinzukommen sollen proaktive Erkennungsverfahren wie “HIPS” (Host based intrusion prevention). Dabei handelt es sich um im System installierte Sensoren, die Softwareverhalten erkennen und weitermeldet. Durch ein Regelwerk läßt sich einstellen, welches Verhalten als verdächtig eingestuft und verhindert werden soll. Ein innovativer Ansatz, wie ich finde. Das signaturbasierte Virenscanning dürfte in Zukunft eh weiter in den Hintergrund geraten.
Mit “HIPS” bietet AVIRA neben Signaturen, Heuristik, Generiken eine vierte Sicherheitsschicht.

AVIRA Mailgateway soll in Zukunft auch das Protokoll IMAP unterstützen. Im Release Q3 2009 soll außerdem ein Queue-Manager mit grafischer Oberfläche hinzukommen sowie Clusteringfunktionalität und Webmin-Unterstützung.

Fazit: AVIRA hat einiges vor sich. Bei der steigenden Malwarebedrohung ist Qualitätssicherung umso wichtiger, da sich immer mehr Attacken auch gegen Malwarescanner selbst richten. Der Schritt, die jährliche Release-Anzahl zu reduzieren, halte ich daher für richtig. HIPS scheint mir ein innovatives Verfahren, was aber sicherlich auch mit vielen Fehlalarmen zu kämpfen haben wird. Hier ist Qualitätssicherung zwingende Voraussetzung.