Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann:

SparkCognition DeepArmor vs. 50 current ransomware samples

Wer tatsächlich noch der Meinung ist, dass signaturbasierte Scanner ausreichend sind, um aktuelle Bedrohungen erkennen und abwehren zu können, den möchte ich mit diesem Test eines besseren belehren. Um die Leistungsfähigkeit von DeepArmor unter Beweis zu stellen, habe ich 50 aktuelle Ransomware-Samples gegen DeepArmor getestet, und das Ergebnis dürfte für sich sprechen: Alle Samples wurden erkannt und geblockt bzw. in die Quarantäne verschoben, was einer Erkennungsrate von 100% entspricht. Vergleichen Sie dazu auch die Erkennungsrate der Scan Engines, die bei VirusTotal zum Einsatz kommen, mit der von DeepArmor – im Video ist deutlich zu erkennen, dass kein einziger der 62(!) zum Einsatz kommenden Virenscanner alle Ransomware-Samples erkannt hat!

Was das in der Praxis bedeutet, kann sich nun jeder selbst ausmalen. Fakt ist – und diese Meinung vertrete ich nach wie vor –, dass signaturbasierte Virenscanner für mich zu einer aussterbenden Spezies gehören. Die Zukunft gehört ganz klar Next Generation-Lösungen wie SparkCognition DeepArmor, die auf machine learning und kognitive Algorithmen setzen. Anders kann man der Flut an Malware nicht mehr Herr werden, denn unterschiedliche Quellen beziffern die Anzahl der täglich neu erscheinenden Malware-Samples auf eine Zahl zwischen 300.000 und 800.000(!), Tendenz steigend – hier sind Signaturen schlicht und ergreifend wirkungslos.

Selbstverständlich wird es wahrscheinlich niemals einen 100%-Schutz vor Malware und Ransomware geben, aber mit Hilfe von moderner AV-Software wie DeepArmor ist es zumindest möglich, den Schutz von Endgeräten drastisch zu verbessern. Nun genug der vielen Worte: Schauen Sie sich das Video an und bilden sich selbst ein Urteil:

Für Fragen verwenden Sie bitte das Kontaktformular auf www.securedsector.com oder senden mir eine Mail unter info AT msitc.eu.

 

SAMAS RansomWorm: Next-Generation Ransomware

Wer glaubt, dass Cyberkriminellen die Ideen ausgehen, der irrt gewaltig. Neben der Tatsache, dass es mittlerweile täglich über 4000 neue Ransomware Samples gibt, geht auch die technologische Entwicklung bei den Cryptolockern weiter. Die neueste Errungenschaft ist der SAMAS RansomWorm; wie der Name schon sagt, handelt es sich dabei um eine Mischung aus Ransomware und Wurm. Das heimtückische daran ist, dass sich dieses Exemplar in einem Netzwerk mit Hilfe von lateral movement und Windows-Bordmitteln fortpflanzen kann, indem beispielsweise das Active Directory zur Informationsgewinnung genutzt wird.

SAMAS RansomWorm

Obwohl das momentan nur Firmennetzwerke betrifft, dürfte es wohl nur eine Frage der Zeit sein, bis eine Version erscheint, die auch kleinere Heimnetzwerke infiltrieren kann. Was es bedeutet, wenn nicht nur ein Endgerät in einem Netzwerk infiziert wird, sondern gleich mehrere, muss ich an dieser Stelle nicht weiter ausführen – für kleine und mittelständische Unternehmen ohne funktionierendes Backup-Konzept und einem wirkungsvollen Endgeräteschutz auf Basis von effektiven Technologien wie Application Whitelisting kann das eine echte Katastrophe bedeuten.

Ab 25. Mai 2018 kommt noch erschwerend hinzu, dass nach der bisherigen Übergangsfrist die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) voll greift. Diese sieht u.a. vor, dass Unternehmen Breaches, also sicherheitsrelevante Vorfälle im Bereich der Informations- und IT-Sicherheit innerhalb von 72 Stunden der zuständigen Behörde melden müssen. Wird dies versäumt, dann können drastische Geldbußen verhängt werden. Eine Ransomware, die im schlimmsten Fall Dokumente mit Kundendaten ins Internet überträgt, um damit der Forderung nach Lösegeld mehr Nachdruck zu verleihen, muss auf jeden Fall gemeldet werden.

Aus technischer Sicht ist es deshalb schon jetzt sehr ratsam, zu effizienten Schutzmaßnahmen zu greifen. Bislang ist eine der sichersten Möglichkeiten zum Schutz vor Ransomware der Einsatz einer Application Whitelisting Lösung wie SecureAPlus, die eine Infektion mit Ransomware und Malware deutlich wirkungsvoller verhindern kann, wie es bei traditioneller AV-Software der Fall ist. Als IT Security Analyst und Incident Responder bin ich bestens mit dem täglich wachsenden Bedrohungspotential durch Ransomware und Malware vertraut und berate Sie gerne beim Thema Endpoint Security.

Überzeugen Sie sich anhand des nachfolgenden Videos selbst von der Wirksamkeit von Application Whitelisting:

SecureAPlus vs. Ransomware

Review: SecureAPlus – Next Generation Endpoint Protection and Application Whitelisting

 

Einführung

Um mit aktuellen Bedrohungen durch Malware und Ransomware Schritt halten zu können, bedarf es heutzutage mehr als nur einer signaturbasierten AV-Lösung. Insbesondere beim Thema Ransomware kommt es regelmäßig vor, dass traditionelle AV-Software, die primär auf Signaturen basiert, kläglich versagt und Signaturen zur Erkennung von Bedrohungen teilweise erst Tage später vom jeweiligen Hersteller bereitgestellt werden. Ich möchte an dieser Stelle keine Namen erwähnen, aber seien Sie versichert, dass ich mehrfach erlebt habe, dass Ransomware in Unternehmen nicht von der dort installierten Enterprise AV-Lösung entdeckt geschweige denn geblockt wurde.

Bereits im Heimbereich ist eine Infektion mit Ransomware nicht nur sehr ärgerlich, sondern kann auch ernste Folgen haben, wenn persönliche Daten, Bilder oder Dokumente irreversibel verschlüsselt werden. Ich bin sicher, dass in den wenigsten Haushalten oder Heimnetzwerken ein vernünftiges Backupkonzept existiert, mit dessen Hilfe sich im Schadensfall wichtige Daten schnell und zuverlässig wiederherstellen lassen. Für kleine und mittelständische Unternehmen (SMB/SOHO) kann die Kombination aus nicht entdeckter Ransomware und einem nicht vorhandenen Backup dazu führen, dass der Geschäftsbetrieb unterbrochen wird und wichtige Daten (Kundenaufträge, Konstruktionszeichnungen, Buchhaltungsdaten usw.) verloren gehen – was das konkret bedeutet, überlasse ich der Phantasie jedes einzelnen. Im schlimmsten Fall muss der Geschäftsbetrieb mit allen entsprechenden Konsequenzen eingestellt werden.

Mitigationsstrategien

Ich möchte an dieser Stelle nicht allzu sehr in die Tiefe abdriften, aber zu einer Mitigationsstrategie gehören für mich ganz klar u.a. folgende Faktoren:

Wirkungsvoller Schutz vor Malware und Ransomware auf dem Endgerät – das Endgerät ist das schwächste Glied in der Kette, auf den Perimeterschutz sollte man sich nicht verlassen
Durchdachtes und funktionierendes Backup-Konzept, das auf seine Wirksamkeit hin verifiziert wurde
Im Unternehmensumfeld: Schutz vor schädlichen Downloads/URLs durch Web Gateways/Proxies und Device Control, um die (nichtauthorisierte) Verwendung von Wechselmedien u.a. an USB-Ports zentral managen und kontrollieren zu können
Arbeiten mit normalen Benutzerrechten

Da in einem großen Unternehmen üblicherweise auch eine entsprechende IT-Abteilung existiert, die sich um derartige Themen kümmert, möchte ich mich im folgenden auf den SOHO-Bereich (Small Office/Home User) konzentrieren, da SecureAPlus dort meines Erachtens ein äußerst hohes Maß an Sicherheit bietet, das von konventionellen AV-Lösungen nur teilweise erreicht wird. Warum das so ist, werde ich nachfolgend näher erläutern.

Begriffsdefinition

Bevor es nun gleich ans eingemachte geht, halte ich es für wichtig, häufig verwendete Begriffe kurz zu erläutern, um das Review verständlich zu halten.

  • Endgerät oder Endpoint: Wird in diesem Review als Abkürzung für Windows-basierte Endgeräte verwendet (keine Smartphones!)
  • Whitelisting oder Application Whitelisting: Bezeichnet eine Technik, die von vielen Fachleuten als die sicherste Methode zum Schutz der Ausführung von unbekanntem Programmcode oder Anwendungen angesehen wird. Dazu wird ein Snapshot (Bestandsaufnahme) auf einem Endgerät erstellt und anschließend das Endgerät sozusagen versiegelt, d.h. nach dem initialen Snapshot wird keine Software mehr ausführt, egal ob sie vom Internet heruntergeladen oder von einer CD oder einem USB-Stick gestartet wurde. Dies ist dann nur noch nach expliziter Zustimmung des Anwenders möglich. Betriebssystem- oder Software-Updates sind davon natürlich nicht betroffen.
  • Universal AV Scan: Diese Bezeichnung wird von SecureAge, dem Hersteller von SecureAPlus, für die Anbindung von cloudbasierten Virenscannern verwendet. SecureAPlus bietet die Möglichkeit, beliebige Dateien mit Hilfe von 12 verschiedenen Scan Engines (u.a. von Eset, AVG, McAfee usw.) zu überprüfen. Dazu werden in der Standardeinstellung ausführbare Dateien in die Cloud zur Analyse hochgeladen, was sich aber auch deaktivieren lässt, falls man das nicht möchte. Der Universal AV Scan setzt eine Internetverbindung voraus, ansonsten kann diese Option nicht verwendet werden.
  • Offline AV Scan: Ist für Situationen gedacht (z.B. mobile Anwender ohne bestehende Internetverbindung), in denen der Universal AV Scan nicht zur Verfügung steht und dennoch Dateien gescannt werden sollen. In diesem Fall kommt der Open Source-Virenscanner ClamAV zum Einsatz. Ich möchte an dieser Stelle eindrücklich darauf hinweisen, dass ClamAV mittlerweile zwar auch brauchbare Ergebnisse erzielt, aber unter keinen Umständen als gleichwertiger Ersatz für ein kommerzielles AV-Programm betrachtet werden sollte. Hinter ClamAV steckt kein Hersteller, der regelmäßig neue Signaturen bereitstellt, sondern eine Community, in der Freiwillige diesen Job übernehmen.
  • Traditionelle AV-Software: Vor ungefähr zwei Jahren begann eine sehr interessante Entwicklung im AV-Bereich, die bis heute andauert. Die meisten AV-Programme wurden zwar im Laufe der Jahre weiterentwickelt, aber dennoch arbeitet ein Großteil immer noch mit Signaturen zur Erkennung von Bedrohungen. Signaturen alleine reichen heute aber nicht mehr aus, wenn man sich vor Augen hält, dass Stand Februar 2017 täglich über 300.000(!) neue Malware-Samples generiert werden, und selbst mit heuristischer oder verhaltensbasierter Analyse hinken traditionelle AV-Programme denen der nächsten Generation (Next-Gen AV) hinterher.

Next-Gen AV-Software: Lässt sich auf deutsch am besten mit “AV-Software der nächsten Generation” übersetzen. Next-Gen AV kommt vollständig ohne Signaturen aus und arbeitet üblicherweise mit fortschrittlichen Methoden wie maschinenbasiertem Lernen, mathematischen Modellen oder künstlicher Intelligenz (AI). Das klingt zunächst nach vielen Marketing-Buzzwords, und genau das ist es bei einigen Herstellern auch. Insbesondere bekannte Namen aus dem Bereich der traditionellen AV versuchen nun auch auf diesen gewinnbringenden Zug aufzuspringen, aber in der Regel bleibt es bei diesem Versuch. Ohne Namen zu nennen, kann ich an dieser Stelle sagen, dass ich die Möglichkeit hatte, über mehrere Monate hinweg einen Proof Of Concept zu begleiten, in dem es um die Evaluierung einer Next-Gen-Lösung für den Unternehmenseinsatz ging, und bei sämtlichen Tests – egal, ob es sich um Trojaner, 0-day malware, Backdoors oder Ransomware handelte – lag die Next-Gen-Lösung stets vor der traditonellen AV-Lösung und lieferte absolut überzeugende Ergebnisse.

Natürlich könnte ich noch viel mehr dazu schreiben, aber ich belasse an dieser Stelle beim gesagten. Fakt ist aber, dass traditionelle AV-Programme für mich keine Zukunft haben – die Zukunft gehört ganz klar Next-Gen AV-Lösungen, da hier neue Methoden zur Erkennung von Malware und Ransomware zum Einsatz kommen und die neben einer ausgezeichnten Erkennungsrate auch deutlich ressourcenschonder ans Werk gehen als konventionelle AV-Programme. Noch wichtiger: Für mich ist uninteressant, mit welchen Buzzwords Hersteller um sich werfen, ich mache mir lieber ein eigenes Bild, und meine persönlichen Erfahrungen mit Next-Gen AV-Software sind einfach äußerst vielversprechend.

SecureAPlus, eine interessante Endpoint Protection-Lösung?

Ja, definitiv. SecureAPlus vereint nämlich mehrere Konzepte unter einer Haube:

  • Application Whitelisting
  • Universal AV Scan
  • Offline Scan

Ich möchte gleich beim ersten Punkt beginnen, und zwar beim Thema (Application) Whitelisting. Wer sich damit bereits auseinandergesetzt hat, weiß, dass Whitelisting zwar den bestmöglichen Schutz auf Endgeräten bietet, aber gleichzeitig mit einem immensen Pflegeaufwand verbunden ist. Das gilt zwar weniger für den SOHO-Bereich, aber dafür umso mehr im Unternehmensumfeld, denn dort heißt es bei jedem Applikationsupdate die Whitelist zu pflegen. Glücklicherweise bietet SecureAPlus einen ebenso einfachen wie wirkungsvollen Ansatz, um den Pflegeaufwand so gering wie möglich zu halten – dazu gleich noch mehr.

Den zweiten Punkt hatte ich auch schon erläutert, möchte aber dennoch etwas näher darauf eingehen. Stellen Sie sich folgende Situation vor: Sie laden eine Datei aus dem Internet herunter und prüfen diese mit Ihrem Virenscanner. Dieser kann nichts schädliches entdecken, und somit kann der Download als sicher gelten. Oder etwa doch nicht? Was, wenn Ihr Virenscanner schädlichen Programmcode einfach nicht entdeckt hat? Sie können die heruntergeladene Datei beispielsweise nun manuell zu Virustotal hochladen, um sie dort mit über 55 Virenscannern überprüfen zu lassen, doch ganz ehrlich: Wer macht das schon? Wer nimmt diesen Aufwand auf sich? Meiner Erfahrung nach so gut wie niemand.

Anders hingegen sieht es aus, wenn die Überprüfung per Kontextmenü und Mausklick über den Windows Explorer stattfinden kann, denn genau diese Funktionalität bietet SecureAPlus mit dem Universal AV Scan. Darüber hinaus wird der Universal AV Scan auch bei der Erstinstallation von SecureAPlus aktiv, um sicherzustellen, dass sich keine Malware im System befindet. Würde die Überprüfung nicht stattfinden, dann könnte dies im worst case dazu führen, dass bereits aktive Malware nicht erkannt wird und stattdessen auf der Whitelist landet. Mittels Universal AV Scan lassen sich Dateien mit 12 Scan Engines in der Cloud überprüfen, was die Wahrscheinlichkeit deutlich erhöht, auch aktuelle Malware zu erkennen.

Den Offline Scan möchte ich nur der Vollständigkeit halber erwähnen, weil hier ClamAV zum Einsatz kommt. ClamAV ist ein Open Source-Virenscanner, dessen Erkennungsrate nicht mit der von kommerziellen Produkten mithalten kann – er ist sicher besser als nichts, aber ich würde jederzeit dem Univeral AV Scan den Vorzug geben.

Das schärfste Schwert im Sortiment ist für mich ganz klar das Whitelisting. Ich habe SecureAPlus in meinem Lab mit hunderten von Samples getestet, darunter waren sowohl brandheiße Malware als auch aktuelle Ransomware. In keinem einzigen Fall wurde ein unbekanntes Programm ausgeführt, was einer Erfolgsquote von 100% entspricht. Natürlich besteht immer die Möglichkeit, dass ein findiger Hacker Mittel und Wege findet, auch eine Whitelisting-Lösung zu umgehen, doch dazu bedarf es eines erheblichen Aufwandes, und Wald- und Wiesen-Malware wird definitiv durch das Whitelisting-Konzept abgewehrt, was im übrigen auch für Ransomware gilt.

Ein weiterer wichtiger Punkt ist für mich das Thema Systemauslastung. Generell bremst ein Virenscanner bedingt durch seine Funktionsweise jedes System aus, auf älteren Endgeräten macht sich das allerdings noch viel stärker bemerkbar als auf einem Rechner der neuesten Generation. Das ist bei SecureAPlus anders, denn im Vergleich mit einem traditionellen AV-Programm ist es eher ein Leichtgewicht und lässt sich deshalb auch problemlos auf älteren Endgeräten einsetzen.

 

Installation und Konfiguration

Das Setup steht in zwei Varianten zur Verfügung. Bei der einen werden zu Beginn der Installation weitere Komponenten aus dem Internet nachgeladen, und bei der anderen befindet sich bereits alles benötigte im Setup. Nach der Installation beginnt SecureAPlus mit der Überprüfung des Systems, um eine Kompromittierung durch aktive Malware auszuschließen. Anschließend beginnt der Whitelisting-Prozess, der je nach Rechnergeneration bis zu mehreren Stunden dauern kann. Dieser Vorgang ist einmalig (Initial Full Scan) und die Grundlage für Application Whitelisting. Ab diesem Zeitpunkt ist ein Endgerät vollständig geschützt, d.h. die Ausführung von Programmen oder Scripts wird nun defaultmäßig unterbunden. Die Installation bzw. die Ausführung von neuen Programmen oder Scripts muss explizit erlaubt werden, damit sie der Whitelist hinzugefügt und als legitime Anwendung betrachtet werden; das ist am Anfang vielleicht etwas umständlich, aber dafür erhält man im Gegenzug einen Security Level, den ein traditioneller AV-Scanner nicht bieten kann.

SecureAPlus verfügt übrigens über ein deutsches Sprachpaket, das nach der Installation aktiviert werden kann. Leider steht die Support-Webseite von SecureAge nur auf englisch zur Verfügung, es lohnt sich aber definitiv, dort die Einführung in die Funktionsweise von SecureAPlus durchzulesen: https://support.secureaplus.com/

sap_language_settings

 

Arbeiten mit SecureAPlus

Wie ich bereits erwähnte, ist das Endgerät nach der Installation sozusagen versiegelt und lässt ohne explizite Erlaubnis weder die Installationv von Software noch die Ausführung von Scripts zu. Im Klartext bedeutet das, dass z.B. auch Ransomware, die üblicherweise durch maliziöse Dokumente verbreitet wird, keine Chance mehr hat, aktiv zu werden. Um bei diesem Beispiel zu bleiben, möchte ich kurz den Infektionsverlauf skizzieren:

1. Anwender erhält ein maliziöses Office-Dokument per Mail und wird per Social Engineering dazu gebracht, die Ausführung von Office-Makros in Dokumenten zu erlauben, die aus dem Internet heruntergeladen wurden

2. Im nächsten Schritt wird bösartiger Makrocode ausgeführt, der entweder direkt eine ausführbare .exe-Datei oder ein Script (Powershell oder Javascript) aus dem Office-Dokument extrahiert oder aus dem Internet nachlädt und ausführt

3. Was jetzt folgt, ist hinlänglich bekannt: Entweder wird der Schadcode vom Virenscanner erkannt oder eben auch nicht. Man sollte sich auch nicht verlassen, dass die User Account Control (UAC) von Windows zuschlägt, denn aktuelle Ransomware kennt auch üble Tricks, um die UAC zu umgehen (https://www.bleepingcomputer.com/news/security/erebus-ransomware-utilizes-a-uac-bypass-and-request-a-90-ransom-payment/). Damit bekommt der Anwender noch nicht einmal mehr mit, dass im Hintergrund möglicherweise etwas läuft, das dort besser nicht laufen sollte.

Im worst case – und das ist es in den meisten Fällen – hat der Anwender nun den Schaden und verschlüsselte Dateien auf der Festplatte.

Glücklicherweise schlägt genau diese Vorgehensweise bei Verwendung von SecureAPlus fehl, und zwar aus dem simplen Grund, weil die extrahierten oder heruntergeladenen Dateien nicht auf der Whitelist stehen und deshalb auch nicht ausgeführt werden. Soll eine legitime Software installiert werden, dann wird einfach das entsprechende Installationsprogramm gestartet und im Whitelist-Dialog die Option “Freigeben & Vertrauen” angeklickt. Damit wird die Whitelist um diese Anwendung erweitert, außerdem besteht an dieser Stelle die Möglichkeit, heruntergeladene Dateien direkt über den Universal/AV Cloud Scan auf Malware prüfen zu lassen. Selbstverständlich ist auch der Import und Export von Whitelists möglich.

sap_whitelisting_app

Für Anwender im Firmenumfeld gibt es auch noch die Möglichkeit, eine Freigabe von Anwendungen über das SecureAgePlus-Portal beim zuständigen Administrator zu beantragen; darauf möchte ich an dieser Stelle aber nicht näher eingehen, da Software in der Regel dort zentral gemanaged und verteilt wird und somit auch das Application Whitelisting durch die IT und nicht durch den Anwender erfolgt. Hinzu kommt, dass SecureAge die zentralen Managementmöglichkeiten gerade stark überarbeitet und in Zukunft das Portal zur Verwaltung von mehreren Endgeräten mit SecureAPlus über das Internet um weitere Funktionalitäten erweitern wird.

Sonstiges

Ich habe es schon mehrfach zum Ausdruck gebracht, deshalb mache ich es an dieser Stelle kurz: Application Whitelisting bietet ein Schutzniveau, das von einer herkömmlichen AV-Lösung nicht erreicht werden kann. Obwohl damit zumindest rein theoretisch ein 100%-Schutz vor Malware und Ransomware möglich ist, möchte ich zu bedenken gaben, dass es immer ein Wettlauf bleiben wird.

Dem Einfallsreichtum von Angreifern sind keine Grenzen gesetzt, deshalb hinken die Verteider immer hinterher. Gleichwohl gilt, dass es aus meiner Sicht deutlich schwieriger ist, eine Application Whitelisting-Lösung zu unterlaufen als eine tradtionelle AV-Lösung. Da SecureAPlus sehr leichtgewichtig ist und kaum Systemressourcen verbraucht, lässt es sich zusätzlich zu einem vorhandenen Virenscanner betreiben. Beachten Sie jedoch bitte, dass keine vollständige Kompatibilität zu sämtlicher AV-Software gewährleistet werden kann, deshalb möchte ich an dieser Stelle keine Empfehlungen für eine bestimmte AV-Lösung aussprechen – hier hilft notfalls nur testen und ggf. auch Ausschlüsse im Virenscanner definieren, falls doch Probleme beim Parallelbetrieb auftreten sollten.

Sobald die ersten Next-Gen AV-Lösungen auf Basis von machine based/deep learning für den SOHO-Bereich verfügbar sind (ich gehe von Mitte des Jahres aus), kann ich jedem Anwender nur empfehlen, auf eine derartige Lösung umzusteigen und diese als optimale Ergänzung zum Application Whitelisting zu verwenden. Ich hatte im vergangenen Jahr die Möglichkeit, an einem längeren Proof Of Concept einer Next-Gen-Lösung teilzunehmen, und die Ergebnisse dieses PoCs haben für mich ganz klar gezeigt, wem die Zukunft gehört – es sind definitiv nicht signaturbasierte traditionelle AV-Lösungen. Sobald Verfahren wie machine based learning und AI (Artifical Intelligence) zum Einsatz kommen, kann signaturbasierte AV einpacken, aber dazu ein anderes Mal mehr.

Videos

Der Anfang ist bereits gemacht, und für die Zukunft habe ich schon weitere Videos geplant, in denen SecureAPlus im Einsatz zu sehen sein wird. Ein Bild sagt bekanntlich mehr als tausend Worte, für ein Video gilt das natürlich umso mehr. Vergleichen Sie selbst, wie leistungsfähig SecureAPlus im Vergleich mit adäquaten Programmen oder diversen Antiviren-Lösungen ist. Abonnieren Sie unseren MSITC Youtube-Kanal, um keine neuen Videos zu verpassen. 

SecureAPlus vs Cerber Ransomware

 

Fazit

Als Incident Responder und IT Security Analyst bin ich bestens mit digitalen Bedrohungen jeglicher Art vertraut, denen Endgeräte heutzutage ausgesetzt sind. Da ein zuverlässiger und sicherer Endgeräteschutz immer wichtiger wird, um mit der permanent wachsenden Zahl von Bedrohungen Schritt halten zu können, bietet eine Application Whitelisting-Lösung ein sehr hohes und adäquates Schutzniveau. Egal, ob Ransomware, Malware, Backdoors, drive-by-downloads, phishing mails oder maliziöse Office-Dokumente: Ich habe SecureAPlus lange und intensiv getestet und kann daher sagen, dass in keinem einzigen Fall schädlicher Code ausgeführt werden konnte. Während moderne AV-Scanner von Avast, Avira, Bitdefender, Kaspersky usw. zwar auch gute Erkennungsleistungen zeigen, besteht dennoch immer die Möglichkeit, dass ein gut getarntes und erst wenige Minuten oder Stunden altes Malware- oder Ransomware-Sample nicht erkannt wird. Da spielt es dann auch keine Rolle, ob die Erkennungsrate ansonsten bei 99% oder höher liegt – das eine Ransomware-Sample schlägt ein und führt dann zu den bekannten unangenehmen Konsequenzen für den Anwender.

Da mir der Hersteller von SecureAPlus einen Einblick in die Entwicklungspläne zuteil werden ließ, kann ich an dieser Stelle nur sagen, dass noch sehr interessante Dinge kommen werden, die den jetzt schon sehr guten Schutz, den SecureAPlus bietet, noch weiter erhöhen werden. Auch für das zentrale Management in Firmen wird es in naher Zukunft deutlich mehr Möglichkeiten geben; ich werde darauf in einem follow-up eingehen, sobald es spruchreif ist.

Wenn man den Leistungsumfang betrachtet, den man mit dem Erwerb einer Premium-Lizenz von SecureAPlus erhält, dann bekommt man aus meiner Sicht ein Komplettpaket mit einem Rundumschutz vor aktuellen Bedrohungen zu einem sehr guten Preis-/Leistungsverhältnis.

 

Bezugsquelle

Wir sind offizieller SecureAPlus Reseller, SecureAPlus Premium-Lizenzen sind bei uns im Shop erhältlich. Für weitere Fragen zu SecureAPlus oder Supportanfragen können Sie uns gerne über das Kontaktformular im Shop .

Wirksamer Schutz vor Ransomware mit Application Whitelisting und Next-Generation AV

Auch 2017 wird voll und ganz im Zeichen von Ransomware stehen; warum das so ist, habe ich in diesem Artikel bereits näher erläutert. Erst vor wenigen Tagen gab es wieder einige Fälle, die durch die Presse gingen:

Ehrlich gesagt könnte man im Grunde genommen jeden Tag über derartige Vorfälle berichten. Wichtiger ist aber die  Frage, die sich jeder selber stellen kann, der einen Internet-Anschluss sein eigen nennt und darüber im Web surft oder Mails empfängt: Wie hoch ist eigentlich mein persönliches Gefährdungspotential und welche Mitigationsstrategien gibt es, um dieses auf ein Minimum zu reduzieren? Entscheidend ist nicht “Bekomme ich auch Mails mit maliziösen Anhängen zugeschickt?”, sondern vielmehr “Wann wird das der Fall sein und welche vorbeugenden Maßnahmen habe ich bis dahin getroffen?”. Lassen Sie mich Ihnen versichern, dass das nur eine Frage der Zeit ist.

Das liegt nicht zuletzt auch daran, dass phishing campaigns mit Ransomware immer raffinierter und ausgeklügelter werden, so dass sich teilweise sogar schon Fachleute schwer tun, derartige Mails auf Anhieb als maliziös zu identifizieren. Hinzu kommt, dass auch regelmäßig neue Angriffsvektoren wie beispielsweise Schwachstellen in Anwendungsprogrammen ausgenutzt werden, um unbedarften Anwendern Ransomware unterzujubeln. Moderne Ransomware wie Spora ist auch in der Lage, sich via Wechselmedien wie USB-Sticks von einem System zum anderen fortzupflanzen – Sie sehen, die Möglichkeiten sind mannigfaltig und das Ende der Fahnenstange ist längst noch nicht erreicht.

Dass signaturbasierte AV-Programme speziell gegenüber Ransomware immer mehr ins Hintertreffen geraten, liegt auf der Hand. Es müssen deshalb andere Maßnahmen zum Einsatz kommen, um der zunehmenden Bedrohung durch Malware und Ransomware Herr zu werden, und das funktioniert meines Erachtens in Zukunft nur noch per Application Whitelisting und Next-Generation AV-Software, die nicht mehr auf Signaturen basiert, sondern auf maschinenbasiertem Lernen (machine based learning/artificial intelligence). Wie das genau funktioniert, werde ich in einem anderen Blogbeitrag näher erläutern, ebenso das Thema (Application) Whitelisting.

Bis dahin können Sie sich gerne vorab ein paar informative Videos im MSITC Youtube Channel zu Gemüte führen…

MSITC SecureAPlus Application Whitelisting vs. Cerber Ransomware – securedsector.com

SecureAPlus ist ein weiteres Endpoint Security-Produkt, das primär auf Application Whitelisting setzt. Dazu wird einmalig eine Art Snapshot erstellt, in dem alle bekannten Applikationen und Systemdateien aufgezeichnet werden.

Alle nachfolgenden Änderungen wie die Installation neuer Software müssen dann explizit erlaubt werden, andernfalls werden sie geblockt. Application Whitelisting bietet einen extrem hohen Level an Sicherheit und wird von vielen Experten sogar als das sicherste Mittel betrachtet, wenn es um den Schutz vor Malware und Ransomware auf Endgeräten geht.

VoodooShield: Next-Generation AV-Software zum effektiven Schutz vor Malware und Ransomware

In einem früheren Blogbeitrag habe ich erläutert, weshalb traditionelle Antiviren-Software im Vergleich mit AV-Lösungen der nächsten Generation nicht mehr mithalten kann. Allerdings muss man auch fairerweise erwähnen, dass die bekannten Anbieter in diesem Bereich wie Cylance, Invincea oder auch SentinelOne primär im Enterprise-Bereich (sprich: große Firmen) unterwegs sind und zumindest derzeit (Stand Januar 2017) keine Versionen für den SOHO/SMB-Markt (Small Office und Home users) anbieten. Mir ist  ein Anbieter bekannt, der auch an einer Version für Endkunden arbeitet, aber ein Releasedatum kenne ich nicht.

Da ich unseren Kunden einen wirkungsvollen Schutz insbesondere vor Ransomware anbieten möchte, habe ich nach weiteren Lösungen gesucht und bin dabei auf ein Produkt namens VoodooShield gestoßen, das aus meiner Sicht sehr interessant ist. VoodooShield arbeitet entweder standalone oder als Ergänzung zu einem vorhandenen Virenschutz und kombiniert Whitelisting mit AI (Artifical Intelligence = künstliche Intelligenz) sowie einem cloudbasierten Blacklist Scan mit über 50 Scan Engines. Whitelisting ist nach Meinung vieler Experten die sicherste Möglichkeit, einen Computer vor Malware oder bösartigem Code zu schützen, denn beim Whitelisting-Ansatz wird nur bekannte (sprich: sichere) Software ausgeführt. Ich teile diese Einschätzung, denn angesichts der Tatsache, dass täglich über 200.000(!) neue Malwaresamples erscheinen, kann man nachvollziehen, dass signaturbasierte Virenschutzlösungen mit der Erkennung von Malware nicht mehr hinterherkommen.

vs_1_blocked

Wie Whitelisting in VoodooShield genau funktioniert, werde ich in einem anderen Beitrag detaillierter erläutern; an dieser Stelle möchte ich deshalb nur kurz erwähnen, dass ein Endgerät dazu in einem sog. Trainingsmodus für eine bestimmte Zeitspanne operieren muss, um zu lernen, welche Programme und Prozesse legitim sind. Wenn diese Lernphase abgeschlossen ist, dann ist das Whitelisting aktiv und die Ausführung von unbekanntem Programmcode wird unterbunden. VoodooShield wurde sowohl für den privaten Bereich als auch für den Einsatz im Firmenumfeld konzipiert und ist schon seit längerem auf dem Markt; man merkt der Software ihren hohen Entwicklungsgrad auch an.

Das einzige Manko aus meiner Sicht ist die Tatsache, dass VoodooShield derzeit nur in englisch verfügbar ist, was aber andererseits keine unüberwindbare Hürde darstellt. Zum einen arbeitet der Hersteller daran, VoodooShield im Lauf des Jahres mehrsprachig zu machen, und zum anderen wird man – wenn überhaupt – nur wenige Änderungen an der Konfiguration vornehmen müssen.

Um es auf den Punkt zu bringen: Technologisch ist VoodooShield dank seines Whitelisting-Ansatzes traditionellen AV-Lösungen überlegen. Während andere Lösungen bei einer nicht vorhandenen Internet-Anbindung auf einem Auge schon blind sind, weil dadurch kein cloudbasierter Scan möglich ist, funktioniert das Whitelisting auch offline. Ich habe VoodoShield in meinem Lab intensiv mit frischen Malwaresamples jeglicher Coleur getestet (0-day, Ransomware, Backdoors usw.), und in allen(!) Fällen wurde die Ausführung von schädlichem Programmcode erfolgreich unterbunden. Weitere Vorteile von VoodooShield sind:

  • Extrem schnell und ressourcenschonend
  • Übertragung von ausführbaren Programmen zur detaillierten Analyse in eine cloudbasierte Sandbox
  • Sehr gutes Preis-/Leistungsverhältnis

Sowohl das Funktionsprinzip als auch die Leistungsfähigkeit von VoodoShield haben mich voll und ganz überzeugt, und deswegen habe ich VoodooShield in unser Portfolio aufgenommen. Beim Kauf von VoodooShield-Lizenzen über unseren Shop erhalten Sie außerdem Installationssupport (max. 15 Minuten). Darüber hinaus gibt es in wenigen Wochen auch die Möglichkeit eines zentralen Managements über eine Webkonsole, womit ich unseren Kunden VoodooShield dann auch als managed solution anbieten kann; dazu aber mehr, sobald es spruchreif ist.

Review: Niwalker Vostro BK-FA09S XHP35 HI 2400 ANSI-Lumen 555.000(!) Lux

 

Einführung

Tja, das war noch eine wirklich gelungene Überraschung im alten Jahr – Niwalker hat völlig überraschend die Vostro BK-FA09S vorgestellt, einen Thrower mit wirklich sensationellen 555.000(!) Lux. Ich werfe ungern mit Superlativen um mich und werde es auch in diesem Fall nicht tun, aber eines kann ich an dieser Stelle bereits ganz klar sagen: Die neue Niwalker Vostro BK-FA09S gehört definitiv mit ihren Leistungsdaten zur Weltspitze der Serienthrower ohne Modifikationen wie dedoming usw. Was die Niwalker Vostro BK-FA09S sonst noch so zu bieten hat, möchte ich in diesem Review näher erläutern.

Eines noch der Vollständigkeit halber: Die BK-FA09S ersetzt NICHT die BK-FA01S, sondern ergänzt die Vostro-Serie als High End-Thrower.

Review Niwalker Vostro BK-FA09S

 

Verpackung und Zubehör

Die Vostro BK-FA09S wird in der nun standardmäßigen Niwalker-Verpackung geliefert. Folgendes Zubehör ist im Im Lieferumfang enthalten:

  • Holster
  • Lanyard
  • Ersatz-O-Ringe
  • Bedienungsanleitung in deutsch und englisch

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Erster Eindruck

Wer bereits eine Taschenlampe aus der Vostro-Serie sein eigen nennt, dem wird vermutlich als erstes der Heckschalter ins Auge stechen. Dieser sorgt wie auch bei den anderen (aktualisierten) Modellen BK-FA01S und BK-FA02S für eine echte Unterbrechung des Stromkreises, d.h. damit lässt sich die Lampe vollständig ausschalten, so dass auch im Standby kein Strom mehr fließt und die Akkus damit (bei langer Standbyzeit) entleert werden können. Das halte ich ich auf jeden Fall schon mal für eine gute Sache, denn damit lässt sich auch wirkungsvoll das unbeabsichtige Einschalten der Lampe verhindern, wenn sie beispielsweise in einer Tasche transportiert wird.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Davon abgesehen zeigt der massive und tiefe Lampenkopf auf den ersten Blick, wo der Hase langläuft. In Kombination mit einer modernen XHP35 HI-LED sorgt dieser Lampenkopf für die Hammerperformance dieser Lampe, wozu ich nachher noch ein paar Worte verlieren möchte. Im Gegensatz zur ersten Generation der Vostro-Serie kommt auch bei der BK-FA09S mittlerweile eine schwarze Anodisierung zum Eisatz; zum schwarzgrauen Look der Vorgänger gab es unterschiedliche Meinungen, Fakt ist aber, dass die jetzige Anodisierung weniger anfällig für Flecken oder Verschmutzungen ist.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Selbstverständlich wird auch die Niwalker Vostro BK-FA09S über einen Selektorring bedient, der weich und geschmeidig läuft und auch problemlos mit einer Hand bedient werden kann. Die Lichtfarbe ist übrigens sehr angenehm (5500K) und geht eher Richtung neutral white.

 

Verarbeitung

Die Niwalker BK-FA09S bewegt sich ganz klar auf dem High End-Niveau, das man von Niwalker erwartet. Die Attribute massiv, schwer und wuchtig dürften die Niwalker Vostro BK-FA0S am besten umschreiben, hinzu kommt die hochwertige Verarbeitung. Das Akkumagazin sieht im Vergleich zum Vorgänger etwas anders aus und hat nun am Ende einen Clicky, der sich wiederum in den Heckschalter am Lampenende einfügt. Was ich nicht unerwähnt lassen möchte: Die Federn im Akkumagazin sind sehr stark ausgeführt. Das hat einerseits den Vorteil, dass eingelegt Akkus wirklich bombenfest fixiert sind, gleichzeitig führt es aber auch dazu, dass man (längere) geschützte Akkus entweder nicht oder nur mit leichter Gewaltanwendung hineinbekommt. 

Davon abgesehen sticht wie bereits erwähnt der massive Reflektor ins Auge, und in meinem Video aus der Serie Helle Taschenlampen@Night kann man auch gut erkennen, dass der Reflektor genau das hält, was er schon rein äußerlich verspricht, nämliche pure Performance in Bezug auf Leuchtkraft und Reichweite.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

 

Größenvergleich

Der obligatorische Größenvergleich mit meinen Referenzlampen Niwalker Nova MM15 und Lumapower STRIVE darf natürlich nicht fehlen.

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Review Niwalker Vostro BK-FA09S

Von links nach rechts: Niwalker Nova MM15MB, Niwalker Vostro BK-FA09S und Lumapower STRIVE RX

 

User Interface

Wie bereits erwähnt, ist der Heckschalter am Lampenende neu, anonsten folgt die Bedienung der Niwalker BK-FA09S dem gleichen Schema, wie es auch schon bei der BK-FA02 der Fall war. Die einzelnen Leuchtmodi werden hierbei hier über den Selektorring am Lampenkopf ausgewählt.

 

Laufzeiten und Lumen

  •     Strobe
  •     Level 5: 2400 ANSI-Lumen/130 Minuten
  •     Level 4: 1280 ANSI-Lumen/245 Minuten
  •     Level 3: 580 ANSI-Lumen/9,8 Stunden
  •     Level 2: 168 ANSI-Lumen/15 Stunden
  •     Level 1: 3 ANSI-Lumen/20 Tage

 

Technische Details

  •    CREE XHP35 HI LED 5500K
  •    550.000(!) Lux
  •    Beschlagfreie ultraklare und kratzfeste Linse
  •    Anodisierung nach HA Type III
  •    Lampenkörper aus strapazierfähigem Flugzeugaluminium
  •    Verstärkte ultraklare Linse mit doppelseitiger Antireflex-Beschichtung
  •    Digitale Regelung für optimale Laufzeit und konstante Helligkeit
  •    Energieversorgung: 4 x 18650-Akku
  •    Effiziente Wärmeableitungsmaßnahmen (große Kühlrippen, copper heat sink pad)
  •    Wasserdicht nach IPX-8
  •    Fünf Leuchtstufen, die über den Selektorring ausgewählt werden
  •    Versteckter Strobe Mode
  •    Speziell entwickelter SMO-Reflektor für optimale Reichweite
  •    Low voltage warning zeigt rechtzeitig an, wenn die Akkus erschöpft sind
  •    Länge: 20,85 cm
  •    Durchmesser Batterierohr: 5,2 cm
  •    Durchmesser Lampenkopf: 8,8 cm
  •    Gewicht: 550 Gramm (ohne Akkus)
  •    Reichweite: 1500 Meter
       

Luxmessung

Dieses Mal gibt es keine Luxmessung von mir, und zwar aus dem einfachen Grund, dass mein Luxmeter maximal bis 200K Lux geht. Bevor ich nun obskure Messungen vornehme (die gibt es im Internet leider schon zur Genüge), übernehme ich die Angaben von Niwalker. Die 555.000 Lux halte ich aber für realistisch; wenn man mit der Niwalker BK-FA0S1 aus kurzer Distanz an eine Wand leuchtet, dann ist der Spot dermaßen hell, dass man schon nach sehr kurzer Zeit freiwillig woanders hinschaut. 

 

Akkuempfehlung

Generell empfiehlt Niwalker die Verwendung von IMR-Akkus in High End-Modellen wie der Vostro BK-FA09S. Meine Erfahrungen aus der Praxis zeigen, dass auch geschützte Soshine 18650 3400 mAh- und 3600 mAh-Akkus hervorragend mit Niwalker-Taschenlampen harmonieren, deshalb empfehle ich unseren Kunden auch diese, wenn sie lieber geschützte Akkus verwenden wollen.

Wie bereits erwähnt, hat Niwalker im Akkumagazin sehr starke Federn verbaut. IMR-Akkus ohne PCB passen dort problemlos hinein, bei längeren Akkus wird es deutlich schwieriger. Aus diesem Grund möchte ich an dieser Stelle ausdrücklich darauf hinweisen, als Stromquelle für die BK-FA09S nur IMR-Akkus zu verwenden – dies gilt aber wirklich nur für die BK-FA09S. Wahrscheinlich funktionieren auch ungeschützte Akkus, diese habe ich aber nicht getestet, da ich persönlich nur geschützte Lithium-Ionen- und IMR-Akkus verwende und die Verwendung ungeschützter Akkus unseren Kunden auch nicht empfehle. Erfolgreich getestet habe ich die Vostro BK-FA09S mit Efest 18650 3000 mAh– und Shockli 18650 3000 mAh-IMR-Akkus.

Review Niwalker Vostro BK-FA09S

 

Video

Das Video aus der Serie Helle Taschenlampen@Night zeigt die Niwalker Vostro BK-FA09S beim nächtlichen Einsatz:

Niwalker Vostro BK-FA09S nightly video review

 

 

Beamshots

Gibt es dieses Mal aufgrund der aktuellen Wetterlage nicht, ich werde sie aber nachreichen. Zum einen liegt noch dermaßen viel Schnee auf dem Dachfenster, dass es sich nur teilweise öffnen lässt, und zum anderen möchte ich bei Minusgraden im zweistelligen Bereich mein Equipment keinem unnötigen Beschädigungsrisiko aussetzen. Ich behaupte aber, dass im Video die Leuchtcharakteristik der BK-FA09S deutlich zu erkennen ist.

 

Pro und Contra

+ Außergewöhnlich leistungsfähig bezüglich Leuchtkraft und Reichweite
+ Adäquates Preis-/Leistungsverhältnis
+ Gut abgestimmte Leuchtmodi
– Federn im Akkumagazin könnten etwas kürzer sein

 

Fazit

Wie ich eingangs schon sagte, möchte ich ungern in Superlativen schwelgen. Zum einen findet sich immer ein Hersteller, der die Messlatte dann wieder ein Stück höher legt, und zum anderen gibt es nunmal nicht den “besten Thrower der Welt blabla”. Es gibt Taschenlampen, die sich für bestimmte Einsatzbereiche besonders gut eignen, aber das ist auch immer eine individuelle Geschichte, und was dem einen sehr gut gefällt, ist für den anderen weniger toll.

Nichtsdestotrotz möchte ich an dieser Stelle deutlich zum Ausdruck bringen, dass ich die neue Niwalker Vostro BK-FA09S für eine Wahnsinnslampe halte. Hier hat Niwalker eine Taschenlampe auf den Markt gebracht, die den Begriff “Mega Thrower” zu Recht verdient hat. Wie gesagt: Wer die BK-FA09S einmal live erlebt hat, der möchte sie nicht mehr hergeben! Ich habe auf meiner Teststrecke schon viele Thrower getestet, aber von der Leistungsfähigkeit her steht die Niwalker BK-FA09S Stand Januar 2017 ganz weit vorne. Und nicht nur da, denn auch das Preis-/Leistungsverhältnis ist aus meiner Sicht exzellent – adäquate Modelle von Mitbewerbern kosten in der Regel deutlich mehr, und ich kenne ehrlich gesagt zum aktuellen Zeitpunkt keine andere Serienlampe, die satte 555.000 Lux liefert.

Um es auf den Punkt zu bringen: Wer auf der Suche nach einem Thrower mit maximaler Reichweite und Leuchtkraft ist, der kommt an der Niwalker Vostro BK-FA09S nicht vorbei.

Review Niwalker Vostro BK-FA09S

 

Bezugsquelle

Die Niwalker Vostro BK-FA09S ist im MSITC Shop und im Taschenlampen-Shop erhältlich. Bitte beachten Sie dazu auch Produktankündigungen auf Facebook und unserem Support-Forum:

https://www.facebook.com/msitcshop
https://www.helle-taschenlampen.de/forums/neuheiten-und-produktank%C3%BCndigungen.6/

Produktankündigung: MTE H8-3i Thrower XHP-70 4022 Lumen max.

Die neue MTE H8-3i ist eine universell einsetzbare Taschenlampe mit einem OP-Reflektor, der für einen praxisnahen Beam mit einer ausgewogenen Mischung aus Flood und Throw und einer Reichweite von ca. 600-700 Meter sorgt. Betrieben wird die MTE M8-3i ebenso wie das Schwestermodell MTE H8-2 mit zwei 26650-/18650-Akkus, wobei die längste Laufzeit natürlich mit zwei 26650-Akkus erzielt wird.

mte_h8-3i_1

mte_h8-3i_2

Der optimale Akku für die MTE H8-3i ist entweder der geschützte Soshine 26650-Akku mit 5500(!) mAh oder der ebenso leistungsfähige Shockli 26650 IMR-Akku mit 5000 mAh, die beide für eine hervorragende Laufzeit sorgen. Beachten Sie bitte, dass für den Betrieb nur qualitativ hochwertige Akkus (z.B. von Soshine oder Shockli) verwendet sollten, da Billigakkus oft nicht in der Lage sind, entsprechende Ströme zu liefern und deshalb für Probleme sorgen können. Ein Review zur MTE H8-3i folgt in Kürze.

 

Bezugsquelle

Die neue MTE H8-3i ist ab sofort im MSITC Shop verfügbar.

Review Niwalker Nova MM20EB 3xXP-L HI 3500 ANSI-Lumen max.

   

Einführung

Mit der MM20EB bringt Niwalker nach der Nova MM25MB eine weitere Taschenlampe auf den Markt, die trotz dem EB (Extended Beam) im Namen kein reinrassiger Thrower ist, sondern sich als Allrounder mit einem guten Mix aus Flood und Throw und einer ordentlichen Reichweite von ca. 700 Metern präsentiert, doch dazu später noch mehr.

Review Niwalker Nova MM20EB

 

Größenmäßig positioniert sich die Niwalker MM20EB zwischen der Niwalker Nova MM25MB und der Niwalker Vostro BK-FA01S, wobei sie im Vergleich mit der letztgenannten Lampe schon fast zierlich wirkt. Das liegt auch daran, dass Niwalker die MM20EB bewusst als etwas kompaktere Lampe konzipiert hat, die mit drei 18650-Akkus betrieben wird und deshalb nicht wesentlich länger als die MM25MB ist.

Review Niwalker Nova MM20EB

Was die neue Niwalker MM20EB sonst noch so zu bieten hat, möchte ich nun im einzelnen näher erläutern.

 

Verpackung und Zubehör

Auch die Niwalker Nova MM20EB wird in der gleichen neuen Verpackung wie die Nova MM25MB ausgeliefert. Als Zubehör wird ein Holster sowie ein Lanyard mitgeliefert, außerdem gib es noch Ersatz-O-Ringe sowie eine deutsche und englische Bedienungsanleitung dazu. 

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

 

Erster Eindruck

Das Design der Niwalker Nova MM20EB ist nahezu identisch mit dem der MM25MB, bis auf die Tatsache, dass sie mit drei XP-L HI-LEDs ausgestattet und länger ist. Aus meiner Sicht ist das neue Design schlicht und funktional, einzig und allein der Wegrollschutz dürfte etwas besser ausgeprägt sein. Da die Lampe aber tailstandfähig ist, halte ich das auch nicht für besonders tragisch.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

 

Review Niwalker Nova MM20EB

Auch das UI der Niwalker MM20EB ist das gleiche wie bei der MM25MB. Ich möchte das an dieser Stelle ausdrücklich erwähnen, weil ich von zahlreichen Kundenrückmeldungen weiß, dass das User Interface der MM25MB und auch der MM20EB polarisiert. Den einen gefällt es, den anderen nicht – Punkt. Wie das UI nun genau funktioniert, erläutere ich weiter unten. Ansonsten übernimmt auch hier der Seitenschalter die Funktion des Low Voltage-Warners, d.h. wenn die Kapazität der Akkus zur Neige geht, dann wird das über ein Blinken im Seitenschalter angezeigt.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Last but not least ist nun auch das Akkumagazin nicht mehr fix mit der Lampe verbunden, sondern kann wie bei den größeren Modellen Niwalker Vostro BK-FA01S und BK-FA02S zum Bestücken mit Akkus entnommen werden.

Review Niwalker Nova MM20EB

Genauso wie bei der Nova MM25MB gibt es auch bei der Niwalker Nova MM20EB einen temperaturgesteuerten fallback, d.h. abhängig von verschiedenen Faktoren wie Umgebungstemperatur usw. dauert es länger oder kürzer, bis eine Betriebstemperatur erreicht wird, die ein Herunterschalten auf Level 4 erzwingt. Im Gegensatz zu ähnlichen Taschenlampen funktioniert das aber nicht zeitgesteuert nach kurzer Zeit (60-90 Sekunden), sondern wirklich erst nach mehreren Minuten.

Die Niwalker Nova MM20EB ist außerdem noch mit einem Stativgewinde ausgestattet, was sie auch für Fotografen zur Ausleuchtung interessant macht.

Review Niwalker Nova MM20EB

 

Verarbeitung

Die Nova MM20EB bewegt sich ganz klar auf dem High End-Niveau, das man von Niwalker erwartet. Ich habe nichts an meiner Testlampe entdeckt, das zu Unmut führen könnte. Der Seitenschalter ist etwas erhöht und lässt sich deshalb auch mit Handschuhen problemlos bedienen, das Gewinde ist sauber geschnitten und läuft rund, ohne Geräusche von sich zu geben.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Alle drei LEDs sind sauber zentriert.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

 

Größenvergleich

Der Größenvergleich fällt dieses Mal etwas umfangreicher aus, weil ich die Niwalker Nova MM20EB nicht nur mit meinen Referenzlampen, sondern auch noch mit anderen Niwalker-Modellen verglichen habe.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Links Niwalker Nova MM20EB, rechts Niwalker Nova MM15MB

 

Review Niwalker Nova MM20EB

Von links nach rechts: Niwalker Nova MM20EB, Niwalker Nova MM25EB und Niwalker Nova MM15MB

 

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Von links nach rechts: Niwalker Nova MM20EB, Niwalker Nova MM25EB und Niwalker Nova MM18III Prototype

 

Review Niwalker Nova MM20EB

Von links nach rechts: Niwalker Nova MM20EB, Lumapower STRIVE RX und Niwalker Nova MM25MB

Wie ich bereits in meinem Review zur Niwalker Nova MM25MB angekündigt hatte, gibt es zukünftig auf vielfachen Kundenwunsch auch noch einen Größenvergleich mit Messern der Marke Harnds, die bei uns im Shop erhältlich sind. Auf den Fotos ist das Modell Harnds Black Mamba zu sehen.

 

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Akkuempfehlung

Ich habe mir vorgenommen, diesen Abschnitt in Zukunft immer in meinen Reviews unterzubringen, vor allem bei High End-Taschenlampen. Um es abzukürzen: Regelmäßig bekomme ich Anfragen von Kunden, die sich eine hochwertige Taschenlampe gegönnt haben und sich dann wundern, weshalb diese mit No-Name-Akkus von eBay für 1,50 Euro nicht richtig oder gar nicht funktioniert. Nicht umsonst weise ich regelmäßig darauf hin, dass eine High End-Taschenlampe wie die Niwalker Nova MM20EB auch eine adäquate Energieversorgung benötigt – ich komme ja auch nicht auf die Idee, mein Auto mit Rapsöl zu betanken und mich dann zu wundern, dass es nicht die vom Hersteller versprochene Höchstleistung erzielt…

Im Ernst: Kommen Sie bitte nicht auf die Idee, eine Taschenlampe wie die Niwalker Nova MM20EB mit aufgefrischten ehemaligen Laptop-Akkus mit sagenhaften 5000 mAh Kapazität oder mehr (als Beispiel) zu betreiben, nur weil diese auf eBay für wenige Euro erhältlich sind, denn das wird jämmerlich in die Hose gehen! Ich spreche hier aus Erfahrung und empfehle unseren Kunden deshalb die von uns vertriebenen Marken Soshine und Efest, denn diese sind praxiserprobt (vor allem auch im Zusammenspiel mit Niwalker-Taschenlampen!) und spielen qualitativ ganz vorne mit. Wer das letzte an Leistung aus der Niwalker Nova MM20EB herauskitzeln möchte, dem empfehle ich Soshine 18650 3600 mAh Premium-Akkus – diese harmonieren perfekt mit dieser hochwertigen Taschenlampe, und wenn es eher IMR-Akkus sein sollen, dann rate ich zu Efest IMR 18650 3000 mAh-Akkus, um die Performance der Niwalker Nova MM20EB voll auszureizen.

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

Abschließend möchte ich noch auf einen Beitrag von mir verweisen, der zwar schon etwas älter ist, aber nach wie vor nichts von seiner Aktualität verloren hat. Wichtig: Meine Empfehlung bedeutet nicht, dass die Niwalker Nova MM20EB nur mit Akkus der von mir empfohlenen Marken Soshine und Efest funktioniert – es gibt natürlich auch zahlreiche andere Marken, die ebenfalls kompatibel zur MM20EB sind. Wenn ich aber eine Empfehlung ausspreche, dann basiert diese auf Praxiserfahrungen und meinen eigenen Tests. Der Vollständigkeit halber möchte ich an dieser Stelle erwähnen, dass wir in Kürze auch IMR-Akkus der Marke Shockli anbieten werden, die qualitativ ebenso hochwertig wie Efest-Akkus sind, doch dazu mehr im nächsten Review.

 

User Interface (UI)

Für die Nova MM20EB hat Niwalker nicht das UI der MM15MB übernommen, sondern jenes der kürzlich erschienen Nova MM20EB. Während die Leuchtmodi bei der Niwalker Nova MM15MB bei gedrücktem Seitenschalter durchgeschaltet wurden, läuft das bei der MM20EB etwas anders ab:

    1. Ein- und ausgeschaltet wird die MM20EB nach wie vor über den Seitenschalter

    2. Leuchtmodi werden ausgewählt bzw. weitergeschaltet, indem der Seitenschalter innerhalb einer Sekunde gedrückt wird – macht man das nicht, dann schaltet der nächste Klick die Lampe aus…

    3. Ein nettes Feature ist instant-on, d.h. bei ausgeschalteter Lampe kann der Turbo Mode aktiviert werden, wenn der Seitenschalter gedrückt und gehalten wird. So etwas kann z.B. für Selbstverteidgungszwecke nützlich sein, wenn man so etwas einsetzen möchte. An dieser Stelle möchte ich das jedoch nicht weiter vertiefen und verweise stattdessen auf einen Beitrag von mir zu diesem Thema.

    4. Das gleiche gilt für instant strobe: Bei ausgeschaltet Taschenlampe muss zweimal hintereinander der Seitenschalter gedrückt werden, um den Strobe Mode zu aktivieren

    5. Aus jedem regulären Leuchtmodus heraus können die hidden modes wie SOS und Beacon aufgerufen werden. Dazu ist ein Doppelklick auf den Seitenschalter erforderlich, ein weiterer Doppelklick aktiviert den nächsten hidden mode. Ein Einzelklick auf den Seitenschalter beendet diesen Betriebsmodus und schaltet die Lampe aus

    Für alle Leuchtmodi steht ein mode memory zur Verfügung, der nach dem Einschalten der Lampe den zuletzt verwendeten Level wieder herstellt; der mode memory gilt jedoch nicht für die hidden modes.

Auch beim Lockout Mode zur Transportsicherung bzw. Verhinderung des versehentlichen Einschaltens gibt es eine Änderung, die ebenso einfach wie effektiv ist. Bei der Niwalker Nova MM15MB musste dreimal hintereinander der Seitenschalter gedrückt werden, was von der Bedienung her nicht jedermanns Sache war. Bei der Nova MM20EB gestaltet sich das wesentlich einfacher, denn hier wird der Lockout Mode durch das Drehen des Lampenkopfes aktivert, um die Verbindung zur Energieversorgung zu unterbrechen. Umgekehrt funktioniert das natürlich auch, nur wird der Lampenkopf dann wieder zugedreht, um den Kontakt wieder herzustellen.

Abschließend möchte ich zum neuen UI sagen, dass es nach kurzer Zeit in Fleisch und Blut übergeht. Wenn man allerdings jahrelang eine Nova MM15 oder MM15MB verwendet hat und von dort gewohnt ist, dass die Leuchtmodi automatisch weiterschalten, wenn der Seitenschalter gedrückt gehalten wird, dann wird man möglicherweise etwas mehr Zeit für die Umstellung benötigen.

 

Review Niwalker Nova MM20EB

Review Niwalker Nova MM20EB

 

Laufzeiten und Lumen
Die Niwalker Nova MM20EB verfügt über fünf reguläre Leuchtmodi sowie Strobe und SOS, die versteckt untergebracht sind.

 
– L1: 20 ANSI-Lumen/120h
– L2: 70 ANSI-Lumen/35h
– L3: 400 ANSI-Lumen/10h
– L4: 1300 ANSI-Lumen/6,8h
– L5: 3500 ANSI-Lumen/1,5h

Sobald die Lampe im Turbo Mode (Level 5) zu heiß wird, schlägt die Temperaturkontrolle zu und schaltet automatisch auf Level 4 herunter, um eine Überhitzung der Lampe zu vermeiden.

 

Technische Details

  • 3 x CREE XP-L HI LED
  • Beschlagfreie ultraklare und kratzfeste Linse
  • Anodisierung nach HA Type III
  • Neu entwickelte Elektronik für ein Maximum an Laufzeit und Helligkeit
  • Lampenkörper aus strapazierfähigem Flugzeugaluminium
  • Verstärkte ultraklare Linse mit doppelseitiger Antireflex-Beschichtung
  • Energieversorgung: 3 x 18650-Akku, im Notbetrieb auch mit zwei 18650-Akkus bei verringerter Leistung
  • Temperaturregelung
  • Peak beam intensity: 120000 Lux
  • Wasserdicht nach IPX-8
  • Fünf Leuchtstufen, die über den Seitenschalter ausgewählt werden
  • Low voltage warning zeigt rechtzeitig an, wenn die Akkus erschöpft sind
  • Länge: 15,33 cm
  • Durchmesser Batterierohr: 4,92 cm
  • Durchmesser Lampenkopf: 6,4 cm
  • Gewicht: 410 Gramm (ohne Akkus)
  • Reichweite: ca. 700 Meter

 

Luxmessung

Die Luxmessung habe ich mit frisch geladenen Soshine 18650 3600 mAh– sowie Efest IMR 18650 3000 mAh-Akkus durchgeführt, da Niwalker die Verwendung von hochwertigen IMR-Akkus empfiehlt:

  • Soshine 18650 3600 mAh: ~118700 Lux@1m
  • Efest IMR 18650 3000: ~ 118900 Lux@1m

 

Video

Ein Video aus unserer Serie Helle Taschenlampen@Night zeigt die Niwalker Nova MM20EB beim nächtlichen Einsatz.

Nightly video review Niwalker Nova MM20EB

 

Fazit

Mit der Nova MM20EB hat Niwalker einen praxisorientierten Allrounder released, der eine gelungene Mischung aus Flood und Throw bietet und mit maximal 3500 ANSI-Lumen keine Wünsche offen lässt, was die Helligkeit angeht. Hinzu kommt, dass dieses Modell mit nur drei 18650-Akkus betrieben wird und dadurch deutlich kompakter als beispielsweise die BK-FA02S ist, wobei sie mit dieser hinsichtlich der Helligkeit wiederum nicht ganz mithalten kann.

Ebenso wie die anderen Niwalker-Modelle bewegt sich die neue Nova MM20EB im High End-Bereich, was sich an der Verarbeitung und der Qualität widerspiegelt. Mit ihrer Reichweite von ca. 700 Metern, verbunden mit einer breitflächigen Ausleuchtung, ist die Niwalker Nova MM20EB vielseitig einsetzbar. Egal, ob für die Jagd, bei Rettungskräften, im polizeilichen Einsatz oder sonstigen Outdoor-Anwendungen: Die Niwalker Nova MM20EB wird diesen Anforderungen gerecht und bietet darüber hinaus noch ein sehr gutes Preis-/Leistungsverhältnis.

Gleichwohl ist es wie oben bereits erwähnt sehr wichtig, adäquate Akkus zu verwenden, denn andernfalls wird man an der MM20MB keine Freude haben. Billigakkus sorgen dann lediglich dafür, dass die Lampe entweder gar nicht erst leuchtet, weil die Akkus nicht genügend Strom liefern können, oder aber einzelne Level wie der Turbo Mode funktionieren nur teilweise oder auch gar nicht, was dann aber kein Problem mit der Lampe, sondern den Akkus geschuldet ist.

Review Niwalker Nova MM20EB

 

Bezugsquellen

Die Niwalker Nova MM20EB ist ab sofort in folgenden Shops verfügbar:

https://www.msitc-shop.com/taschenlampen/niwalker-mm20eb-extended-beam-3xxp-l-hi-3500-ansi-lumen-max/a-916/

https://www.taschenlampen-shop.com/taschenlampen/niwalker/63/niwalker-mm20eb-extended-beam-3xxp-l-hi-3500-ansi-lumen-max.