Erfahrungen mit GData Security und zentrale Verwaltung

Nach mittlerweile 2 Jahren Erfahrung oder besser gesagt Frust mit der Netzwerkversion der GDATA Security Suite bzw. dem GDATA Administrator im Netzwerk mit > 50 PCs möchte ich mit diesem Beitrag Entscheider warnen.

Ursprünglich kannten wir nur Symantec/Norton, welches wir ohne zentrale Verwaltung als Client-Lizenz nutzten. Damals war dies für mich der Maßstab an Schmerz dem man einem Admin hinzufügen kann.

Meine Vergleiche ziehe ich daher zu Symantec und Avira da ich mit beiden ebenfalls zu tun habe.

Ich setze aktuell folgende Versionen ein: GDATA Virenscanner Version 13.1.0.224 (26.09.2014)

Antivirus Client Pro +

  • hohe Erkennungsrate durch Einsatz zweier Virenscanner (G-Data kauft externe Engines ein)

Antivirus Client Contra –

  • hoher Speicherbedarf (ca. 800MB virtueller Speicher)
  • Performanceeinbußen

Firewall Pro +

  • blockiert zuverlässig

Firewall Contra –

  • Performance ist unterirdisch (ich habe selbstprogrammierte Software ändern müssen, da die Firewall die Datenbankabfragen derart ausbremst, dass die Software dadurch langsam scheint)

Zentrale Verwaltung und GDATA Administrator – Pro

  • zentrale Lizenzverwaltung
  • Regel einfach auf mehrere Clients anwendbar
  • Hotline ist erreichbar und hilft (in den Grenzen der Möglichkeiten)

Zentrale Verwaltung und GDATA Administrator – Contra

Kurzfassung: Dieses Produkt zur zentralen Verwaltung im Unternehmen einzusetzen ist eine nervige und teure Fehlentscheidung. Für mich ein unreifes Unprodukt, es sorgt für Schmerzen gleichermaßen bei Admins und Anwendern und hat mich schon mehr Zeit gekostet als die manuelle Regeleinstellung und Lizenzverwaltung bei Symantec. Unsere Nutzer sind genervt und es gibt schon Leute die sich privat eine Symantec-Lizenz gekauft haben um hier außen vor bleiben zu dürfen.

Beispiele was alles schief läuft

  • Viren- und Firewallmeldungen von Clients laufen innerhalb von “ca. 15min” auf,  dem Anwender der jetzt am Telefon ist und sein Programm nicht starten kann, kann man gar nichts sagen
  • es gibt keine Firewallregeln auf IP-Basis a la “Blockiere Verbindungen zum Intranetserver grundsätzlich nicht”
  • gesetzte Regeln aus dem Admin werden innerhalb von “ca. 15min” übernommen, wieder steht der Anwender auf dem Schlauch, der aber *jetzt* einen Abschluss senden muss
  • Fehlerkennungen: ohne dieses Problem wäre viel anderes verschmerzbar aber wir haben bei ca. 50 Clients jeden Tag ca. 15 Fehlerkennungen, betrifft vor allem die Firewall
  • der Virenscanner erkennt sich selbst, den Firewallproxy und den eigenen Uninstaller als Virus, krasser gehts bei Falscherkennung nicht mehr
  • die Firewall blockiert das eigene Update, den Virenscanner und die Verbindung der Security Suite zum Server. Hier hilft nur als Admin den Firewall-Dienst zu deaktivieren, neu starten und aktualisieren lassen, Dienst wieder aktivieren, erneut neu starten. Erkennt man als Admin wenn sich Clients nicht mehr aktualisieren. Uralte Virensignaturen = Sicherheitslücke
  • von der Firewall blockierte Dateien werden ohne Pfad gemeldet. Es gibt keine Chance den Pfad zu sehen um zu entscheiden was es eigentlich für ein Programm ist. Viel Spass beim erraten um was es hier eigentlich geht. Ich habe gerade die “firefox.exe” für pc15 freigegeben, es kann natürlich auch ein Virus mit Namen firefox.exe sein aber ich habe keine Chance das irgendwie herauszufinden – Sicherheitslücke!
  • irgendwie ist die Firewall auch wenn durch Nutzer deaktiviert “noch ein bißchen an”, es wird also weiterblockiert, Dienst deaktivieren hilft, geht aber nur nach Neustart
  • in einem sowohl vom Dateisystemscan wie auch vom Zugriffsscan ausgeschlossenen Ordner werden trotzdem Dateien als Virus erkannt und desinfiziert. Laut Hotline muss zusätzlich noch jede Datei als Prozessausnahme hinzugefügt werden (natürlich einzeln für jede Datei per Dateiauswahlfenster und für jeden Client einzeln – viel Spass bei 40 .exe Dateien einer Businesssoftware)
  • trotz dem im Virenscanner eingestellt ist Dateien nicht zu desinfizieren, wird trotzdem desinfiziert. Dadurch lässt sich eine Falschmeldung nicht mal eben wieder rücksetzen sondern die Datei muss erst wieder vor extern (DVD/CD/Hotline) beschafft werden
  • Installation der Firewallanwendung aus dem GDATA-Administrator heraus funktioniert in der Regel nicht

Klassische reale Anwendungszenarien die Verzweiflung bringen

Fall 1: Es wird eine Businesssoftware aktualisiert (hier im Beispiel von DHL). Während der Installation kommt es durch Fehlerkennung zum Fehler, der Virenscanner löscht außerdem während der Deinstallation der älteren Businesssoftwareversion deren Deinstaller, damit wird auch nicht sauber deinstalliert. Außnahmen werden hinzugefügt und manuell nachgearbeitet, es funktioniert für diesen Tag und die Software wird genutzt. Am nächsten Morgen blockiert die Firewall dann plötzlich an 4 von 5 Clients die Businesssoftware erneut.

Fall 2: Es wird eine sogenannte .net 1-Click-Anwendung eingesetzt. Mit *fast* jedem Update wird die Anwendung erneut von der Firewall blockiert. Es gibt laut Support hier keine andere Möglichkeit. Eine Firewallregel um grundsätzlich alle Zugriffe auf den Intranetserver zuzulassen ist nicht möglich.  Besonders schlecht ist die oben genannte Verzögerung bei der Meldung von Blockierungen durch den Client an den Server und die Rückmeldung der Regel. Für jedes Update muss also einkalkuliert werden, dass die Software für 30min nicht genutzt werden kann, da man als Admin nicht schneller reagieren kann.

So läuft ein Telefongespräch mit der Hotline:

  • Ich: Nach dem Update des G-Data Administrator ist die Eingabe von Port XX als E-Mailserver für Benachrichtigungen nicht mehr möglich und ohne diese Eingabe lassen sich sämtliche Servereinstellungen nicht mehr ändern. Bisher nutzen wir aber genau diesen Port
  • Hotline: Geben Sie dort bitte nur Port 25 ein
  • Ich: Port 25 wird bei uns blockiert und ist nicht möglich
  • Hotline: Es ist dort nur die Eingabe von Port 25 erlaubt
  • Ich: Warum kann ich dort frei eine Zahl für den Port eingeben, wenn nur Port 25 erlaubt ist?
  • Hotline: Bitte geben Sie dort Port 25 ein.
  • Ich: Wir nutzen bis jetzt Port XX und es lief wunderbar, mit dem Update geht dies nicht mehr. Port 25 hilft mir nicht. Dies ist für mich ein Bug und muss geändert werden, könnten Sie dies bitte für die Entwickler weitergeben.
  • Hotline: OK
  • Lösung: Nur der von uns genutzte Port ging nicht mehr weil er theoretisch für SSL vorbehalten ist, was wohl nicht mehr unterstützt wird.  Wir haben auf TLS und anderen Port umgestellt und alles funktioniert. Da es keine Aktualisierungsinfos von G-Data gibt konnte man das nur erraten.

 

Fazit: Hände weg von G-Data für zentrale Verwaltung! Die Software ist unbrauchbar und zumindest an der Hotline hatte ich nicht das Gefühl, dass das Produkt überhaupt verbessert werden soll.

Tags:

Leave a Reply