Windows Defender im Test gegen Ransomware: Hält er was er verspricht?

6

Screenshot von der Windows-Sicherheit App

Seit der Einführung des Windows Defender (anfangs nur über USB-Speichermedien bootbar) wird über den in Windows 10 integrierten Virenschutz von Microsoft heiß diskutiert. Zu seinen Anfangszeiten wurde er oft als unvollständige Virenschutzlösung kritisiert, mit unzureichender Sicherheit. Begründet wurde das durch unabhängige Testlabore wie „av-test.org“ oder „av-comparatives.org“, welche Antivieren-Software testen und in verschiedenen Kategorien bewerten. Heutige Tests zeigen aber, dass der Defender sehr wohl mit den führenden Antiviren-Lösungen mithalten kann und durchaus den Windows-Usern ein Stück Sicherheit gibt.

In diesem Artikel möchte ich meinen Eindruck zum Defender schreiben und ihn einem kleinen Sicherheitstest unterziehen.

Auf Telegram habe ich Euch gefragt, welche Antivirensoftware ihr benutzt und das Ergebnis ist auf Bild 1 zu sehen:

Screenshot der Telegram-Umfrage. Es haben 27 Leute abgestimmt. Folgendes Ergebnis kam heraus: 92% nutzen den Windows Defender, 8% Kaspersky und 8% Norton.

Bild 1

Es ist eindeutig zu erkennen, dass die meisten Leser ihre Sicherheit dem Defender anvertrauen.

 

Testsystem

Prozessor:                         AMD Ryzen 9 3900X 12-Core Processor @ 4.28 GHz

RAM:                                 16,0 GB

Windows Edition:           Windows 11 Pro

Version:                             21H2

Betriebssystembuild:      22000.376

 

Benutzerfreundlichkeit

In der Geschichte von Microsoft konnte Windows nie mit Benutzerfreundlichkeit und Übersichtlichkeit glänzen. Leider trifft dies auch auf den Defender zu. Will man gezielt eine Einstellung ändern, muss sich teilweise durch fünf Unterpunkte gekämpft werden, bevor man zum gewünschten Ziel kommt.

 

Sicherheit

Die Sicherheit eines Antiviren-Programms kann in sehr vielfältigen Testszenarien bestimmt werden. Ich lege mich in diesem Artikel auf Ransomware fest und werde den Defender in zwei Verfahren testen: „Online“ und „offline ohne Zertifikatsprüfung“. Gerade der letzte Test ist gut, um zu erfahren, wie gut der Defender schützt, wenn ein 0-Day Exploit nicht in der Datenbank enthalten ist und die tiefergreifenden Schichten zum Einsatz kommen müssen.

Test 1: Online, Standard-Einstellungen:

Screenshot eines Windows-Desktops, auf dem Dateien auf dem Desktop durch eine Ransomware verschlüsselt wurden.

Bild 2

Im ersten Test konnte der Defender jede Ransomware vom Computer abwehren, bis auf eine. Siehe Bild 2
Leider konnte diese die Dateien vollständig verschlüsseln und es war nicht mehr möglich, auf diese nativ zuzugreifen. Das System sah glücklicherweise aber bis auf die verschlüsselten Dateien noch intakt aus, weswegen die Hoffnung besteht, das System von der Ransomware zu befreien und diese durch fremde Tools entfernen zu lassen. Das lässt zwar aufatmen, jedoch darf man trotzdem nicht vergessen, dass der Defender mit allen Security-Features selbst bekannte Ransomware nicht zu 100% abwehren konnte.

Immerhin konnte der Ransomware-Schutz in Windows Defender zu 100% meine persönlichen Dateien schützen. Das betrifft aber leider nur die angegebenen (einzelnen) geschützten Ordner wie: Dokumente-Ordner, Bilder-Ordner etc. und nicht Orte wie den Desktop.

Der Ransomware-Schutz verweigert Anwendungen den Zugriff auf die angegebenen Ordner und erlaubt dies nur mit Bestätigung von Adminrechten. Dieses Feature ist standardmäßig deaktiviert und muss erst aktiviert werden. Eine Aktivierung sollte in Erwägung gezogen werden, da die Funktion sinnvoll ist, aber bei Nutzung den Workflow beeinträchtigen kann.

 

Test 2: Offline, Echtzeitschutz aus (Zertifikatsprüfung):

Im Gegensatz zum ersten Test, hat der Windows Defender schutztechnisch hier nun komplett versagt. Während beim ersten Test „nur“ alle Dateien verschlüsselt waren, sind hier deutlich mehr Eingriffe ins System zu erkennen. Wir können deutlich sehen, dass es nicht nur eine Ransomware geschafft hat, in das System einzubrechen, sondern deutlich mehr… Siehe Bild 3

Screenshot einer von Ransomware befallenen Windows Installation. Zu sehen ist ein Fenster des Schädlings, auf dem nach Geld verlangt wird, um die verschlüsselten Dateien wieder freizugeben.

Bild 3

Mir war es unter anderem kaum bis gar nicht möglich, die aufpoppenden Ransomware-Meldungen zu schließen, um mir selbst einen Eindruck vom System verschaffen zu können.
Nach einem Neustart gelang es mir dann halbwegs auf das System zuzugreifen, was aber auch schnell durch Ransomware-Meldungen unterbunden wurde. Siehe Bild 4

Ein weiterer Screenshot einer weiteren Ransomware-Meldung, die erneut darauf hinweist, dass alle Dateien verschlüsselt wurden. Erneut iwrd nach Geld zur Entschlüsselung/Freigabe verlangt.

Bild 4

Unter diesem Umstand war es schwierig, den Explorer zu bedienen. Trotzdem konnte ich noch feststellen, dass der Ransomware-Schutz, anders als noch im ersten Test, keinen Schutz bieten konnte. Die Dateien in den hinterlegten Ordnern sind ebenfalls teilweise verschlüsselt worden. Es war mir nicht möglich einen Screenshot anzufertigen, da kurz darauf, ein gefälschtes Windows Update erschien, was ebenfalls zur Ransomware gehört. Siehe Bild 5

Screenshot des gefälschten Windows Updates. Da hat jemand den Update-Bildschirm von Windows nachgebaut, um den Nutzer zu verwirren.

Bild 5

 

Fazit

Meine kurzen Tests zeigen, dass der Windows Defender sich leider immer noch hinter den großen Antivirenprogrammen verstecken muss! Die getestete Ransomware war lange bekannt und teilweise schon vier Jahre alt, da sollte nichts durchgehen. Der PC war kaum noch zu gebrauchen und die Daten definitiv weg, mit wenig Hoffnung auf Wiederherstellung.

Doch ist der Defender komplett unbrauchbar? Definitiv nicht, der Defender hat auf jeden Fall seine Daseinsberechtigung. Dieser Test zeigt auch nur eine Handvoll der bekanntesten Ransomware Dateien, es gibt deutlich mehr als diese und noch viele andere Virenarten. In meinen Augen ist der Defender für Leute gut geeignet, die etwas erfahrener im Umgang eines Rechners sind, oder die kein zusätzliches Geld für Schutz ausgeben möchten. Immerhin ist er kostenlos und schon integriert. Für Benutzer, die allerdings weniger erfahren sind und den bestmöglichen Schutz möchten, empfehle ich jedoch andere AV-Lösungen.

3 8 votes
Article Rating
Advertisements

Über den Autor

Subscribe
Benachrichtige mich zu:
6 Comments
neuste
älteste beste Bewertung
Inline Feedbacks
View all comments