G Data Software 2014 Einstellungen

[markus17]

Bei mir ist das Update seit gestern drauf - es gab keine Probleme, Performanceverbesserungen/-verschlechterungen sind ebenfalls nicht spürbar. Nur der Leerlaufscan war nach dem Update wieder aktiv... ist wohl so gewollt.

[ciacomo]

Welche Einstellung des Wächters sind in Bezug auf Performance/Sicherheit am sinnvollsten:
"Nur beim Lesen" oder "Nur beim Ausführen"?

VG

[olli]

Moin. Ich habe im Wächter das Scannen von Archiven ausgeschaltet und auf nur bei Ausführung prüfen gestellt. Damit ist die Performance echt für. Sicherheitsrisiko? ich denke nicht. Sobald eine Datei ausgeführt wird, wird dir Ausführung ja von Wächter überwacht. Das sollte reichen.
Bis denne
Olli

[DorfAdler]

Ich hab EAM ebenfalls schon viele Jahre und habe es auch immer parallel zu GData eingesetzt - problemlos. Ich kann dir EAM wärmstens empfehlen. Was besonders vorbildlich ist: Allfälligen Problemen nimmt man sich im Emsi-Forum sehr schnell und kompetent an - Kooperationswille vorausgesetzt.

Habe mich mittlerweile von G Data verabschiedet, da mit der aktuellen Version ich immer noch Probleme mit dem laden von so manchen Webseiten hatte, leider.

Danke dir Virusscanner für die Empfehlung, habe somit nach dem testen der 30 Tage Version eine sehr gute alternative gefunden, und bin endlich wieder voll zufrieden.
G Data schaue ich mich vielleicht in 1 Jahr wieder an, aber glaube eher nicht, da ich momentan mit Emsi sehr begeistert bin, und somit auch schon die Vollversion nutze.

Der Beitrag wurde von DorfAdler bearbeitet: 01.11.2013, 11:50

[olli]

Habe mich mittlerweile von G Data verabschiedet, da mit der aktuellen Version ich immer noch Probleme mit dem laden von so manchen Webseiten hatte, leider.

Mit welchen Seiten hattest du denn Probleme?

Bis denne
Olli

[Estarina]

IMAP empfohlen? Einziger Vorteil, du nutzt den Provider-Server, statt deiner Festplatte. Somit muss beim Provider der Spamschutz erfolgen. Lediglich ein Virenscan funktioniert noch, beim anzeigen/lesen der Mails. Wenn sichere Ports genutzt werden; ohne Zertifikatverbieger nicht mal das.

Also nix G-Data-spezifisch

@ Solution-Desing

Soeben kam gerade von T-Online noch einmal eine Mail zur Umstellung, wenn E-Mail-Programm auf Computer genutzt wird:

"... Die Initiative „E-Mail made in Germany“ hat es sich zum Ziel gemacht, hohe Sicherheits- und Datenschutzstandards bei der E-Mail-Kommunikation zu gewährleisten – ohne zusätzliche Kosten für Sie.
Deshalb werden Anfang 2014 alle E-Mail-Zugänge auf SSL-Verschlüsselung umgestellt – die unverschlüsselte Nutzung Ihres Postfachs ist dann nicht mehr möglich. Richten Sie darum unbedingt die SSL-Verschlüsselung auf Ihrem Gerät ein! "

[darkblade90]

Hey,
dachte auch zuerst verdammt durch den SSL-verschlüsselten Abruf der Emails kann ich diese nicht mehr auf Viren und Spam scannen.
Nach der Umstellung auf den verschlüsselten Abruf hat G Data die Emails auch nicht mehr gescannt in Thunderbird.

Habe das Problem einfach umgangen indem ich von Thunderbird auf Outlook 2010 umgestiegen bin.
Da G Data für Outlook ein extra Add-In anbietet werden alle meine Emails jetzt wieder gescannt!

Mit ein paar Anpassungen am Design, Aufbau und den Filtern ist Outlook genauso gut wie Thunderbird.
Habe sogar das Gefühl, dass der Mailabruf mit Outlook schneller geht als bei Thunderbird.

Alles in allem habe ich jetzt verschlüsselte, viren- und spamgeprüfte Emails. Besser gehts kaum!

Mit freundlichen Grüßen
darkblade90

[Krond]

Du weißt aber schon, was der preisliche Unterschied zwischen Outlook und Thunderbird ist? Du weißt aber auch, dass Outlook kein reiner Mailclient ist und sich auch eigentlich nicht als solcher verstehen will? Outlook als reinen Mailclient einzusetzen ist wie mit Spatzen auf Kanonen schießen - oder doch umgekehrt?

Nicht jeder hat Outlook nur so irgendwo herum liegen, bzw. dessen Lizenz.

Wozu man sich jetzt darauf versteift, dass jedes Mail schon beim Empfang gescannt werden muss, wenn der Scanner sowieso beim Speichern oder Ausführen der Anhänge greift, ist sicher eine Glaubensfrage.

[darkblade90]

@Krond
Ich kann dir in allen Punkten nur zustimmen, du hast vollkommen recht.
Ist natürlich eine Preisfrage.

Wobei ich es auch schon bei einem G Data Nutzern gesehen hab, dass der Scanner (nicht der Email- sondern der normale Wächter, SSL verschlüsselter Abruf) nicht gleich auf eine Mail mit Schadcode im Anhang reagiert hat. Erst der Leerlaufscan einen Tag später hat die Mail bemängelt. Die gleiche Mail wurde bei mir vom Emailwächter sofort erkannt. Keine Ahnung ob das nur ein Zufall war oder ein genereller Geschwindigkeitsvorteil beim Emailwächter vorhanden ist.

Was halt bei Thunderbird beim SSL Abruf komplett herausfällt ist der SPAM-Filter von G Data. Der funktioniert in Outlook durch das Addon.


Mit freundlichen Grüßen
darkblade90

Der Beitrag wurde von darkblade90 bearbeitet: 07.11.2013, 17:16

[Estarina]

Hey,
dachte auch zuerst verdammt durch den SSL-verschlüsselten Abruf der Emails kann ich diese nicht mehr auf Viren und Spam scannen.
Nach der Umstellung auf den verschlüsselten Abruf hat G Data die Emails auch nicht mehr gescannt in Thunderbird.

Habe das Problem einfach umgangen indem ich von Thunderbird auf Outlook 2010 umgestiegen bin.
Da G Data für Outlook ein extra Add-In anbietet werden alle meine Emails jetzt wieder gescannt!

Mit ein paar Anpassungen am Design, Aufbau und den Filtern ist Outlook genauso gut wie Thunderbird.
Habe sogar das Gefühl, dass der Mailabruf mit Outlook schneller geht als bei Thunderbird.

Alles in allem habe ich jetzt verschlüsselte, viren- und spamgeprüfte Emails. Besser gehts kaum!

Mit freundlichen Grüßen
darkblade90

Danke darkblade90

Kann man durchaus darüber nachdenken - wieder zurück zu Outlook zu wechseln, habe eine Lizenz von Outlook 2007.
Kann man denn den Kalender und das Adressbuch von Thunderbird bei Outlook importieren? Hatte vor einiger Zeit schon mal im Internet recherchiert - leider nichts positives gefunden.

Mit besten Grüßen
Eure Estarina

Der Beitrag wurde von Estarina bearbeitet: 07.11.2013, 18:39

[Virusscanner]

@ Solution-Desing

Soeben kam gerade von T-Online noch einmal eine Mail zur Umstellung, wenn E-Mail-Programm auf Computer genutzt wird:

"... Die Initiative „E-Mail made in Germany“ hat es sich zum Ziel gemacht, hohe Sicherheits- und Datenschutzstandards bei der E-Mail-Kommunikation zu gewährleisten – ohne zusätzliche Kosten für Sie.
Deshalb werden Anfang 2014 alle E-Mail-Zugänge auf SSL-Verschlüsselung umgestellt – die unverschlüsselte Nutzung Ihres Postfachs ist dann nicht mehr möglich. Richten Sie darum unbedingt die SSL-Verschlüsselung auf Ihrem Gerät ein! "

Nur wegen der SSL-Verschlüsselung sind die Mails noch lange nicht sicher. Da wähnt man sich genau in einer falschen Sicherheit, weil nur der Login verschlüsselt stattfindet. Nun will T-Online also der NSA mit SSL ein Schnippchen schlagen? Naja, sie werden nebst dem Logo auch pinke Brillen haben...

[olli]

Moin zusammen,

ich zitiere mich mal hier selber, da habe ich was zu meinen Erfahrungen bei der Erkennung von Ransoms geschrieben
http://www.rokop-security.de/index.php?s=&...st&p=377959

Bis denne
Olli

[Gast_sleeptab_*]

@G Data: Man müsste die Software noch sicherer gegen User-Fehler machen. Ich habe jetzt absichtlich die von olli gepostete Testdatei gedownloadet und ausgeführt: hXXp://5.254.101.58/40/movie1080p.mkv.exe
Auch wenn G Data grundsätzlich vor der Datei schützen kann, muss am Programm noch gearbeitet werden, ich hoffe das wird auch an die Entwicklungsabteilung weitergeleitet.

Test 1)
Ransom ausgeführt, Verhaltenserkennung blockt die Datei, fragt ob erlaubt werden soll. Soweit perfekt. Ich erlaube das Ausführen, nichts passiert. Also nächster Test.

Test 2)
Ransom ausgeführt, Verhaltenserkennung blockt die Datei, auch hier alles perfekt. Also "Immer erlauben". Programm startet jetzt problemlos, aber erst, nachdem ich die Exe das zweite Mal ausgeführt habe. PC wird gesperrt, war auch nicht anders zu erwarten. Wenn ich jetzt aber neustarte, startet das Programm uund nimmt sofort den PC ein. Und genau hier sehe ich ein Problem. Richtig, G Data macht was es soll (ich hoffe Mal, dass G Data die Ramson überprüft hat und die Eingabe vom letzten Mal erkannt hat und die Ramson nicht schon vor GF Data gestartet ist). ABER wie komme ich als normaler User, der die Datei nicht kennt, dazu, sie wieder zu entfernen. Und genau hier sollte G Data meiner Meinung nach erneut fragen, ob man sich bei der Regel sicher ist. Ich kenne genug Leute, die das unwissentlich genau so machen würden wie ich hier im Testszenario, weil sie denken, ein Film wurde geblockt. Nach dem Sperrbildschirm ist das Wissen da, dass der Film aber tatsächlich ein Virus war. Eine zweite Nachfrage wäre hier angebracht.
Entfernen konnte ich das Programm schließlich über den Abgesicherten Modus mit Eingabeaufforderung.


Test 3)
Jetzt wird es für mich unerklärlich. Ransom neu gedownloadet, Datei ausgeführt. G Data fragt nicht ob die Datei erlaubt werdne soll (ist das eine Regel, die man irgendwo deaktivieren kann?) und jetzt wird es noch kurioser. Es wird nur noch der Desktop sichtbar, das Programm startet komischerweise nicht mehr komplett, auch wenn Windows am Laden ist. Nach 2 Minuten hab ich dann abgebrochen: Drei-Tasten-Griff und Abmelden. Zuerst beendet Windows die Ramson und fragt dann, ob der User wirklich abgemeldet werden soll. Ein Klick auf Abbrechen offenbart mir schließlich den normalen Desktop mit allen geöffneten Programmen und einer Nachfrage von der G Data Verhaltensüberprüfung, ob das Programm wirklich ausgeführt werden soll.

Irgendwo scheint da was mit Test 3 verbuggt zu sein, Test 2 hat aber auch ein paar Vorschläge. Es kann sich ja jemand vond er Firma mal dazu äußern.

[markus17]

@sleeptab

bezüglich Test2:
Das Problem ist, dass die Meldung der Verhaltensanalyse aufgrund aktuell stattgefundener Prozesse ausgelöst/getriggert wird. Nach einem Neustart hat sich die Malware aber schon im System eingenistet und legt nicht mehr das selbe Verhalten da. Die Malware muss nur noch starten und sich nicht mehr in Verzeichnisse/die Registry kopieren - eben alles schon vor dem Neustart passiert. Daher gibt es auch keine erneute Meldung.

bezüglich Test3:
Hast du den Test immer am selben System ausgeführt ohne vorher ein Image zurückzuspielen? Falls ja, dann könnte es sein, dass die Malware erkennt, dass die schon einmal auf dem System ausgeführt wurde bzw. noch Altlasten vorhanden sind. Fehlt ein Parameter (z.B. noch vorhandenes File in einem Systemverzeichnis), dann reicht das womöglich schon, dass sich G Data nicht mehr meldet.

Ich bin mir sogar manchmal nicht sicher, ob Malware intelligent genug ist und anhand der IP-Adresse (oder sonstiger Daten) eines Rechners merkt, dass hier etwas nicht stimmt, wenn man sie 3-4 mal ausführt. Ich konnte bei mir mit einem Sample bei einer VM ohne Internetverbindung mehrmals hintereinander eine Meldung von G Data provozieren. Bei einer VM mit Internetverbindung konnte ich das aber nur einmal, obwohl ich die VM vorher zurück gesetzt habe und so eigentlich alles unberührt war. Nach 24h konnte ich das selbe Verhalten mit dem identischen Sample erneut nachstellen. (1x ausführen mit Internetverbindung -> erkannt, danach keine Erkennung mehr trotz "neuer" VM). Der Rechner wurde bei den nicht erkannten Versuchen aber auch nicht infiziert, d.h. die Malware hat wirklich nichts mehr gemacht.

[scu]

Wenn ich das richtig verstanden habe, hast du unter Punkt 2 "Immer Erlauben" gewählt und wunderst dich dann, dass unter Punkt 3 bei dem gleichen Sample keine Nachfrage von der Verhaltensüberwachung kommt. Wie genau definierst du "immer"?

[Virusscanner]

@G Data: Man müsste die Software noch sicherer gegen User-Fehler machen. Ich habe jetzt absichtlich die von olli gepostete Testdatei gedownloadet und ausgeführt: hXXp://5.254.101.58/40/movie1080p.mkv.exe
Auch wenn G Data grundsätzlich vor der Datei schützen kann, muss am Programm noch gearbeitet werden, ich hoffe das wird auch an die Entwicklungsabteilung weitergeleitet.

Im Prinzip ist deine Überlegung schon ab dem Zeitpunkt der Meldung falsch, da der gemeine DAU hier eigentlich dem AV, in diesem Falle also GData, das entsprechende Vertrauen entgegenbringen und der Annahme sein muss, dass die Meldung ihre Berechtigung hat. Wenn die Datei von einer nicht bekannten Quelle abstammt, hat selbst ein DAU anzunehmen, dass da etwas faul sein muss - selbst wenn es nicht so ist, ist ein DAU immer besser beraten, dem AV zu glauben. Sinn würde hier gegebenenfalls ein späterer automatischer Quarantäne-Scan machen, der eine "entfernte" Datei wieder von selbst zurück spielt, wenn sie als unschädlich erkannt wurde.

Dein Vorgehen wird eher vom fortgeschrittenen User ausgeführt. Der weiss, dass er unter Umständen mit Konsequenzen zu rechnen hat.

Ich verstehe natürlich dein Anliegen und jeder wünscht sich ein intelligentes AV, das einen Schädling auf jeden Fall korrekt erkennt, selbst wenn ein User eine Fehlentscheidung trifft. Aber das wird es mit Sicherheit niemals geben. Ein DAU kauft sich ein GData, weil er sich davon Sicherheit verspricht - und ein DAU geht wohl niemals von einem FP aus, bzw. weiss wahrscheinlich nicht einmal, was das ist. Dann wird prinzipiell schon deshalb geblockt, weil man für GData ja was bezahlt hat und ein DAU davon ausgeht, dass Bezahlsoftware dies schon richtig erkennt. Alles was darüber hinausgeht (fortgeschrittener User, Profi), wird abschätzen können, was drin liegt und was nicht. Gegebenenfalls wird gegengecheckt (avtotal, jotti) oder eben ein Risiko eingegangen. Wer im letzteren Fall kein Image angelegt hat, ist selber schuld und sollte sich dann auch nicht fortgeschrittener User oder gar Profi schimpfen.

[Gast_sleeptab_*]

@scu: Das wäre ja okay, wenn es so wäre. Wie gesagt, ich würde mir eine zweite Nachfrage wünschen, aber da sind wir schon bei Virusscanners Einwand. Was mich aber viel mehr wundert, ist, dass nachdem ich die Datei ausgeführt und über Dreitastengriff Windows abmelden wollte, auf dem Desktop (vorausgesetzt ich kann den Abmelde-Vorgang abbrechen, nachdem Ransom.exe beendet wurde) dennoch die Verhaltenserkennung fragt, ob Ransom.exe ausgeführt werden soll. Meiner Meinung nach dürfte das gar nicht passieren oder das immer wird ignoriert und müsste erneut fragen, aber bevor Ransom.exe gestartet wurde. G Data meldet ja auch die Exe-Datei und nnicht Other.res aus dem Roaming-Ordner. Und für "Immer erlauben" würde ich mir eine einfach zu findende Funktion im Hauptmenü oder zumindest in den Einstellungen wünschne, die das rückgängig macht.

@Virusscanner: Ich musste mich schon um genug PCs von Leuten kümmern, die dann "Erlauben" klicken. Ich war auch schon in Gesprächen dabe, als movie2k als garantierte Quelle für virenfreie Filmdownloads genannt wurde. Und ich behaupte mal, die intellektuelle Fähigkeit zur Anfertigung eines System-Images ist doch noch einiges höher ist. Ich behaupte mal auch, dass der ideale DAU kein G Data benutzen wird, mit der Ausnahme ihm hat es jemand installiert. Wenn AV, dann Avira oder Norton :P. Aber darum geht es nicht. Wie schwer es wäre, sowas zu programmieren, kann ich nicht einschätzen. Im Prinzip müsste man ja ein HIPS mit intelligenter Rückerkennung einbauen. Wird aber denke ich auch nicht kommen.

@markus17: Kann durchaus sein, ich hab auf die Schnelle nichts mehr in typischen Ransom-Ordnern/Registry-Bereichen gefunden, aber das hat nichts zu sagen. Die Idee mit "intelligenter Malware" hatte ich auch schon ein paar Mal gehabt. Obwohl ich da immer der Meinung war, dass das eher an irgendwelchen Rückständen liegen muss, weil ich mir eher schlecht vorstellen kann, dass jemand so eine serverseitige Überprüfung einbaut. Hast du die Maschine wirklich komplett zurückgesetzt?


Obwohl meiner Meinung nach alleine schon die Tatsache, dass G Data ohne das Programm zu kennen doer Online-Abgleich zu machen von sich aus angeschlagen ist schon viel über die Real-World-Tauglichkeit des Programms aussagt, ist mir aber auch schon oft bei dem Programm aufgefallen. Und nebenbei, Emsisoft Anti-Malware (ohne Online Armor) konnte das Programm übrigens nicht erkennen.

[simracer]

Und ich behaupte mal, die intellektuelle Fähigkeit zur Anfertigung eines System-Images ist doch noch einiges höher ist.

OT
Kommt drauf an auf den User und was für ein Programm derjenige dafür nimmt. Mit Paragon brauch ich keine Minute das Programm zu starten, die externe Festplatte einzuschalten und das starten eines Smart Backups in Gang zu bringen.

[markus17]

Was ich überlesen habe, dass du (sleeptab) auf "immer erlauben" geklickt hast. Damit trifft wohl eher die Aussage von scu zu - trotzdem konnte ich bei mir mit vereinzelten Samples so ein komisches Verhalten nachstellen. VM wurde immer vollständig zurückgesetzt, da konnten also keine Rückstände sein und einen Tag später klappte es wieder. (meine IP wechselt alle 8h, da dynamisch)

Da G Data aber meistens "Programm anhalten und in Quarantäne verschieben" vorschlägt, denke ich, dass sich die meisten User nicht auskennen und vorsichtshalber die "empfohlene" Option verwenden.

[Virusscanner]

... denke ich, dass sich die meisten User nicht auskennen und vorsichtshalber die "empfohlene" Option verwenden.

Meine Worte