- Werbung -

Täglich liest man ja neue Horrorbotschaften von gehackten Webseiten, die einem einen Schadcode unterschieben wollen, oder von Viren und Trojanern, die – geschickt getarnt – als E-Mail-Anhang daherkommen. Pctools verspricht nun mit einer neuartigen Software einen verbesserten Schutz gegen solche Bedrohungen.

Nach Angaben des Herstellers liegt die Stärke von ThreatFire darin, dass es auch solche Angriffe erkennt, die von herkömmlichen Antiviren-Programmen noch nicht registriert werden, weil sie so neu sind, dass es noch keinen Eintrag in den Signatur-Dateien gibt. Bei Pctools klingt das so:

"ThreatFire schützt Sie umfassend gegen "Zero-Day-Angriffe", die von Ihrem traditionellen, auf Signaturen beruhenden Antivirus-Programm nicht entdeckt werden."

und weiter

"Im Vergleich mit traditionellen Antivirus-Programmen bietet sie einen um 243% besseren Schutz. Siehe die folgende Tabelle."
Das Programm läuft nach Angaben von Pctools auf allen gängigen Windows-Betriebssystemen: Windows Vista/SP1, Windows XP SP1 oder SP2 (Home, Pro & Media Center Edition), Windows 2000 SP 4 mit Update-Rollup 1 und Windows 2003. Die Software gibt es in einer kostenlosen und einer kostenpflichtigen Version. Letztere richtet sich an kommerzielle und gewerbliche Nutzer und bietet telefonischen Support sowie erweiterte Konfigurationsmöglichkeiten.



Der erste Test fand auf einem etwas älteren, aber gut ausgebautem Rechner mit Windows 2000 statt. Die Hardware des Rechners besteht unter anderem aus einem AMD Athlon64-3000+ (der läuft mit 1,8 GHz), 1,5 GByte RAM und einer 200 GByte S-ATA-Festplatte. Das reicht aus, um alle eingesetzten Büro-Programme aber Bildbearbeitung zügig laufen zu lassen.

Die Installation von ThreatFire war einfach und verlief zunächst reibungslos. Bei dem anschließenden Neustart des Rechners gab es erstmal eine unangenehme Überraschung: Windows meldete sich mit einer Fehlermeldung - und zwar an der Stelle, wo das Passwort beim Windowsstart abgefragt wird:

„Windows Treiber Einsprungpunkt nicht gefunden
Der Gerätetreiber \systemRoot\system32\drivers\TfFsMon.sys konnte den Einsprungpunkt "IoGetDeviceAttachmentBaseRef" in Treiber "ntoskrnl.exe" nicht finden“

Die Fehlermeldung ließ sich durch einen Klick auf "OK" schließen und nach Eingabe des Passwortes startete Windows ganz normal und ThreatFire war aktiv. Es ist an dem kleinen Flammensymbol im Systemtray zu erkennen.


Threadfire-Icon im System Tray

Mit einem rechten Mausklick auf dieses Symbol öffnet man das Kontrollcenter von ThreatFire. Dort bekommt man als erstes eine Übersicht präsentiert, welche Malware oder Adware das Programm in den letzten Stunden weltweit blockiert hat. Das ganze wird dann noch hübsch auf einer Weltkarte dargestellt. Das ist jetzt eher eine Spielerei oder Marketing-Krimskrams. Die Auflistung der blockierten Schadprogramme basiert auf Rückmeldungen von Usern, die ThreatFire einsetzen.


Threatfires Controllcenter

In dem Kontrollcenter kann man verschiedene Einstellungen vornehmen, beispielsweise das Schutzniveau in fünf Stufen einstellen oder das Verhalten beim Erkennen einer möglichen Gefahr. Die Einstellungen habe ich bei den Standardwerten belassen. Dann habe ich als erstes einen vollständigen Systemscan durchgeführt. Bei über 300.000 Dateien auf dem Rechner dauerte das eine gute Stunde. Gefunden hat ThreatFire dabei nichts. Als Antiviren-Software habe ich auf dem Rechner noch AntiVir von Avira im Einsatz. Die beiden Programme kommen sich – wie von Pctools versprochen - nicht in die Quere.

Spaßbremse mit Fehlalarmen
Beim Runterfahren des Rechners zum Feierabend gab es dann allerdings das nächste Problem: anstatt sich, wie üblich, beim Herunterfahren auszuschalten, blieb Windows mit einem leeren, grauen Bildschirm (der Hintergrundfarbe des Desktops) hängen und der Rechner ließ sich nur noch über den Ein-/Ausschalter abschalten. Nachdem ich ThreatFire wieder deinstalliert hatte, sind diese Hänger ebenso verschwunden, wie die Fehlermeldung beim Start des Rechners.
Während des Testbetriebs in den folgenden Tagen – wegen der Probleme beim Hoch- und Runterfahren des Rechners habe ich den Test später auf einem anderen Rechner mit WindowsXP weiterlaufen lassen – gab es nur zwei Warnhinweise, die sich beide als blinder Alarm entpuppten.
Ein Alarm beispielsweise warnte vor "Livenote.exe". Dabei handelt es sich allerdings nicht um ein Schadprogramm sondern um den Update-Mechanismus für die Asus Grafiktreiber.


Threatfire warnt vor möglicherweise gefährlicher Anwendung

Da diese Anwendung nur als „möglicherweise unerwünscht“ eingestuft hat, bietet ThreadFire die Möglichkeit das Programm fortzusetzen oder zu beenden. Zusätzlich gibt es noch die Option, dass es sich die Antwort merkt und künftig immer auf die gleiche Weise reagiert, wenn das betreffende Programm starten will.Diese Festlegung kann man im Control-Center auch wieder rückgängig machen – zum Beispiel wenn man feststellt, dass ein vermeintlich bösartiges Programm harmlos ist und gebraucht wird.

Die Performance beider Rechners hat - entgegen den Werbeversprechungen - spürbar gelitten. Vor allem in Firefox kam es häufig zu merklichen Verzögerungen, wenn ich eine Webseite aufgerufen habe. Diese Verzögerungen bewegten sich im Bereich von ein bis höchstens zwei Sekunden. Was aber schon einigermaßen nervig ist. Es mag sein, dass diese Verzögerungen bei stärkerer Hardware tatsächlich nicht mehr spürbar sind, auf meinen Rechnern waren sie allerdings inakzeptabel.

Fazit
Ob die Software tatsächlich so viel mehr an Sicherheit bringt, kann ich nicht abschließend beurteilen, weil im Testzeitraum kaum Alarme auftraten – und diese noch dazu Blindgänger waren. Aber zugegeben, man fühlt sich etwas sicherer, wenn da noch eine Sicherheitssoftware läuft. Dagegen waren die Beeinträchtigungen bei der Benutzung beider Rechner so gravierend, dass ich ThreatFire nicht einsetzen werde – auch nicht dem gefühlten Mehr an Sicherheit zuliebe. Stattdessen werde ich mir lieber ein anderes Sicherheitskonzept anschauen: Sandboxie. Dazu mehr in einem Artikel, der in Kürze erscheint.

Links:
Pctools/ThreatFire (deutsch und englisch): www.threatfire.com
Avira Antivir: (deutsch): www.avira.com