AV-Comparatives führt gezielte offensive Sicherheitsevaluierungen durch und bietet Anbietern die Möglichkeit, sich in bestimmten Schutzbereichen zertifizieren zu lassen. Im Jahr 2026 lag der Schwerpunkt erneut auf “Shellcode-Ausführung/Prozessinjektion”.” Zertifizierungsberichte werden ausschließlich für Anbieter veröffentlicht, die die festgelegten Kriterien erfolgreich erfüllen. Teilnehmende Anbieter erhalten detailliertes technisches Feedback, um eine kontinuierliche Produktverbesserung zu unterstützen.

https://www.av-comparatives.org/news/process-injection-certification-test-2026/

Process Injection ist nach wie vor eine der wichtigsten und am häufigsten verwendeten Techniken in modernen Angriffsketten. Innerhalb des MITRE ATT&CK-Frameworks (T1055) stellt sie eine breite Klasse von Techniken dar, die sich über mehrere Stufen erstrecken, einschließlich des Erstzugriffs, der Umgehung der Verteidigung und der Privilegieneskalation. Ihre Flexibilität und Verbreitung machen sie zu einem wichtigen Indikator dafür, wie effektiv ein Produkt mit heimlichen, speicherbasierten Bedrohungen umgehen kann.

Positionierung: Komplementär zu MITRE und EPR

Dieser Test ist absichtlich so konzipiert, dass er eine gezielte, tiefgreifende Bewertung einer einzelnen, aber kritischen Angriffstechnik und nicht eine vollständige Angriffskettensimulation.

• Verglichen mit MITRE ATT&CK-Bewertungen, die den Schwerpunkt auf Sichtbarkeit, Telemetrie und Erkennungsabdeckung in mehrstufigen Szenarien legen, legt der Process Injection Test größeren Wert auf aktive Prävention und sofortige Aufdeckung am Ort der Ausführung.
• Im Vergleich zu AV-Comparatives’ Endpoint Prevention and Response (EPR) Test, Dieser Test, bei dem die Gesamtwirksamkeit des Schutzes und die betrieblichen Auswirkungen in vollständigen Angriffsszenarien bewertet werden, isoliert eine der schwierigsten technischen Schichten: Speicherausführung und Prozessmanipulation.

Diese Positionierung macht den Process Injection Test besonders relevant für Analysten und Unternehmenseinkäufer, die verstehen wollen wie gut ein Produkt mit hochgradig ausweichenden Low-Level-Techniken umgehen kann, jenseits breiterer Aufdeckungserzählungen.

Methodik

Die Bewertung konzentriert sich auf die Fähigkeiten zur Prävention und Aufdeckung von AV-, EPP- und EDR-Lösungen in Szenarien mit Shellcode-Ausführung und Prozessinjektion beim ersten Zugriff.

Ziel ist es, zu bewerten, wie die Produkte abschneiden, wenn die wichtigsten Angriffsvariablen systematisch verändert werden:

• Command-and-Control-Frameworks und Shellcode-Typen
• Speicherzuweisung und Ausführungsmethoden
• API-Nutzung und Injektionstechniken
• gezielte Prozesse und Ausführungskontexte

Alle Szenarien werden auf einem vollständig aktualisierten Windows-System mit Standardbenutzerrechten ausgeführt, um realistische Angriffsbedingungen ohne künstliche Härtung zu gewährleisten.

Schlüsselvariablen

Um ausweichende und realistische Angriffsszenarien zu schaffen, wurden mehrere Variablen kombiniert:

• Ausführungs-/Injektionstechniken: z.B. klassische Injektion, Early-Bird-Injektion, Prozesshohlraumbildung
• Formate / Dateitypen: .exe, .dll, .bin und andere
• Rahmenwerke / Shellcode: einschließlich weit verbreiteter C2-Frameworks wie Metasploit, Empire und Covenant
• Injektionskontext: Selbstinjektion vs. Ferninjektion von Prozessen
• Ziel-Prozesse: Variation der Ausführungs- und Injektionsziele

Dieser multivariable Ansatz gewährleistet, dass die Produkte anhand einer ein breites Spektrum an realen Handelsgeschäften, statt optimierter oder statischer Testfälle.

Zertifizierte Produkte

Die Bewertung 2026 hat erneut gezeigt, dass ein robuster Schutz gegen die Prozessinjektion bleibt eine große technische Herausforderung.

Die Beteiligung der verschiedenen Anbieter war breit gefächert, nur eine sehr begrenzte Anzahl von Produkten wurde zertifiziert. Um sich zu qualifizieren, muss ein Produkt mindestens zwei Drittel aller Szenarien erfolgreich verhindern oder erkennen, ohne dass es zu Fehlalarmen kommt. .

Die folgenden Produkte erfüllen diese Anforderungen im Jahr 2026:

• CrowdStrike Falcon Enterprise
• Fortinet FortiEDR

Nur zertifizierte Anbieter werden öffentlich aufgeführt. Nicht zertifizierte Teilnehmer erhalten detailliertes internes Feedback, das iterative Verbesserungen unterstützt, ohne dass dies öffentlich bekannt wird.

Ausblick: Interne Bewertung im Jahr 2027

Basierend auf den Ergebnissen des 2026 Process Injection Certification Test, an dem viele Anbieter teilgenommen haben, der aber nur begrenzt erfolgreich war, wird AV-Comparatives ein fakultative interne Prüfung im Jahr 2027.

Bei dieser internen Evaluierung werden dieselben Testfälle wie 2026 verwendet. Sie soll den Anbietern die Möglichkeit geben, Lücken zu erkennen und ihre Schutzfunktionen in einem kontrollierten, nicht öffentlichen Umfeld weiter zu verbessern, bevor die nächste öffentliche Zertifizierungsevaluierung im Jahr 2028 stattfindet.

Schlussfolgerung

Für Analysten und Entscheidungsträger in Unternehmen zeigen die Ergebnisse für 2026 eine wichtige Lücke zwischen Sichtbarkeit und echte Präventionsmöglichkeiten auf dem Gebiet der speicherbasierten Angriffe.

Der Process Injection Test ergänzt die umfassenderen Evaluierungen, indem er einen der technisch anspruchsvollsten Aspekte der Endpunktsicherheit isoliert. Als solcher bietet er zusätzlicher Entscheidungswert über vollständige Angriffskettentests hinausgehen, insbesondere wenn es darum geht, die Fähigkeit eines Produkts zu bewerten, fortgeschrittene, ausweichende Techniken am Ausführungspunkt zu stoppen.