AVLab-Test im März mit Fokus auf Telemetrie: Emsisoft blockiert alle Bedrohungen

Beim „Advanced In-the-Wild Malware Test“ der AVLab Cybersecurity Foundation im März 2026 kam eine bessere Verwaltung der Infrastruktur zum Einsatz, während der Fokus weiter auf der Telemetriequalität lag. Emsisoft Enterprise Security + EDR erreichte bei den 421 einzigartigen Malware-Beispielen eine Erkennungsrate von 100 % und damit das Zertifikat „Excellent“.

Laut Testergebnissen wurden 80,29 % der Beispiele auf Internetebene und 19,71 % während der Laufzeit erkannt. Die durchschnittliche Bereinigungszeit lag für Emsisoft bei 4,67 Sekunden. Bei diesem Testlauf legte AVLab noch mehr Gewicht auf die Dokumentation bestimmter Vorfälle, um aufzuzeigen, wie die unterschiedlichen Lösungen Angriffe erkennen, blockieren und transparent protokollieren.

Neuerungen im Testverfahren im März 2026

Die AVLab Cybersecurity Foundation hat mit diesem Testlauf Verbesserungen bei der Infrastruktur eingeführt. Die Verwaltung der Windows-11-Geräte innerhalb der Linux-Hostumgebung wurde verbessert mit einer deutlicheren Trennung von Start- und Prozesszuständen. Diese Neuerung sorgt für weniger API-bedingte Fehler und mehr Stabilität während der Tests aufgrund einer unvollständigen VMware-Implementierung.

Der Grenzwert für die Zertifizierung liegt weiter bei dem erhöhten Wert von 99,6 %, der im Januar 2026 eingeführt wurde. Um mit „Excellent“ ausgezeichnet zu werden, müssen die Produkte also etwa vier von tausend Beispielen blockieren. Die Produkte werden mit Standardkonfiguration getestet und etwaige Änderungen für volle Transparenz entsprechend ausgewiesen.

Mit diesem Testlauf wurden nun auch bestimmte Vorfälle dokumentiert, um die Erkennung und Telemetrie der getesteten Produkte im Vergleich abzubilden. AVLab zeichnete dazu jeden blockierten Prozess mit Protokollen, Screenshots und Ausführungsstrukturen auf. Diese stehen den Anbietern auf Nachfrage als ausführlicher technischer Bericht zur Verfügung.

Bedrohungslandschaft und Zusammenstellung der Beispiele

Beim Test im März 2026 kamen 421 Malware-Beispiele zum Einsatz, wovon 349 per HTTP und 72 per HTTPS verteilt wurden. Der Fakt, dass Malware immer noch über HTTPS bereitgestellt wird, zeigt, dass SSL-Zertifikate lediglich für Verschlüsselung stehen, nicht für Sicherheit. Die kompromittierten Server befanden sich hauptsächlich in Deutschland (152), China (88) und den USA (69).

LOLBINs (Living off the Land Binaries) bleiben ein zentraler Punkt bei den Angriffsketten. Beim Test im März wurden unter den häufig missbrauchten Windows-Tools folgende Prozesse verzeichnet:

• svchost.exe: 12 910
• msedge.exe: 8 556
• certutil.exe: 8 007
• explorer.exe: 4 914
• sh.exe: 4 137
• taskhostw.exe: 2 955

Das zeigt, wie komplex die Erkennung von ausgeführten Prozessen ist. Malware missbraucht zum Ausführen vertrauenswürdige Systemprozesse, weshalb ein schlichtes Blockieren von Dateien nicht ausreicht, sondern eine ausführliche Verhaltensanalyse erforderlich wird.

Emsisofts Leistung

Wie bereits erwähnt hat Emsisoft Enterprise Security + EDR alle 421 Beispiele blockiert und damit eine Erkennungsrate von 100 %, womit es sich das AVLab-Zertifikat „Excellent“ gesichert hat.

Aufteilung der Abwehr

• Schutz auf Internetebene (vor dem Ausführen): 80,29 %
• Abwehr während der Laufzeit (nach dem Ausführen): 19,71 %
• Bereinigungszeit: durchschnittlich 4,67 Sekunden – Bei der Bereinigungszeit wird gemessen, wie lange es dauert, die Bedrohung zu neutralisieren und das System wiederherzustellen, wozu auch das Entfernen schädlicher Rückstände und das Zurücksetzen von Systemänderungen zählen.

Das Produkt wurde mit seiner Standardkonfiguration getestet: Werkseinstellungen mit automatischer PUP-Reparatur sowie EDR, Rollback-Funktion und Browserschutz aktiviert.

Fazit

Die Testergebnisse im März 2026 bestätigen erneut, dass Emsisoft Enterprise Security + EDR durch das Blockieren aller 421 Malware-Beispiele den hohen Zertifizierungsgrenzwert von 99,6 % überschreitet. Mit 80,29 % der Erkennung auf Internetebene und 19,71 % während der Laufzeit zeigt sich, dass die Architektur über mehrere Ebenen Bedrohungen sowohl vor als auch nach dem Ausführen wirksam abwehrt. Die durchschnittliche Zeit zur automatischen Bereinigung liegt dabei mit 4,67 Sekunden in einem funktionalen Bereich.

Die Testverfahren der AVLab Cybersecurity Foundation entwickeln sich ständig weiter. So wurden die Infrastruktur verbessert, die Zertifizierungsstandards erhöht und ein stärkerer Fokus auf Telemetrie und die Rückverfolgung von Vorfällen gelegt. Die beständige Leistung von Emsisoft bietet Unternehmen auf der Suche nach einer Sicherheitslösung einen zuverlässigen Anhaltspunkt, um eine faktenbasierte Kaufentscheidung zu treffen.

Übersetzung: Doreen Schäfer