Prüfstand (Workshop) | c't magazin 05.01.2008

Trügerische Sicherheit

Hintergrund: Virenschutzprogramme lassen nach

Video: Prüfstand (Workshop) »

Das wichtigste Ergebnis des Tests ist die Feststellung, dass Antiviren-Software ihre Schutzfunktion schlechter erfüllt als noch vor einem Jahr. Werte jenseits der 99 Prozent, wie sie Avira und Gdata nach wie vor bei der Erkennung mit ihren umfangreichen Signaturdatenbanken erzielten, spiegeln die Realität nicht wider.

Die viel wichtigeren Trefferquoten bei heuristischer Erkennung unbekannter Malware sind im Vergleich zum letzten Test dramatisch in den Keller gegangen: Mit NOD32 konnte lediglich ein Produkt mehr als zwei Drittel der neuen Schädlinge stoppen, der Zweitplatzierte BitDefender noch magere 41 Prozent und der Rest nur jeden Dritten oder weniger. Von konsequentem Schutz kann da keine Rede mehr sein. Eine Erklärung dafür ist, dass die professionalisierte Malware-Szene mehr Aufwand in die Optimierung ihrer Schädlinge steckt. Sorgen macht uns, dass den Scannern und Wächtern im Test aber auch durchweg Virenvarianten durchrutschten, die sie noch letztes Jahr erkannten.

Der Silberstreif am Horizont ist die verhaltensbasierte Erkennung von Schadsoftware, die allerdings bisher nur F-Secure wirklich gut umsetzt. Konkrete Produktempfehlungen fallen bei diesen Ergebnissen schwer – schließlich konnte keines restlos überzeugen, und es bleibt eine Wahl zwischen Regen und Traufe. F-Secure patzte bei der Spyware und ist sehr ressourcenhungrig. Gdatas Antivirus 2008 ist nicht so viel flotter, erkannte nicht alle Rootkits und hat eine schwache Heuristik. Ein denkbarer Kompromiss ist der ebenfalls nicht sonderlich schnelle Bit-Defender, der immerhin mit der zweitbesten Heuristik im Test glänzte, fast alle Rootkits aufspürte und zumindest schon Ansätze zur Verhaltensanalyse mitbringt. Bedenklich war jedoch die hohe Fehlalarmquote.

Wer Wert auf Performance legt, landet entweder bei Avira oder pfeift auf die Ergebnisse der Signaturtests und greift zu NOD32, das mit seiner Heuristik auch viele unbekannte Schädlinge abwehren konnte. Avast, AVG und Ikarus zeichneten ebenfalls noch sehr gute signaturbasierte Ergebnisse aus. Daran schließt sich ein breites Mittelfeld an, bei dem jedes Produkt mit spezifischen Schwächen zu kämpfen hat. Am Ende der Skala findet sich CA Anti-Virus Plus, das in nahezu jeder Kategorie versagte und das quasi außer Konkurrenz laufende ClamWin. Auch zum Einsatz von Dr. Web und McAfee finden sich sicherlich bessere Alternativen.

Als einsteigerfreundlicher Virenscanner für die Eltern kommt Norton infrage, den man durchaus wieder empfehlen kann, mit Abstrichen auch Windows One-Care. Eine Alternative stellt eventuell noch Ikarus dar. Angesichts der Tatsache, dass auch bei den kostenpflichtigen Produkten keines richtig überzeugen konnte, mag mancher das Geld lieber sparen und erstmal zu einer kostenlosen Version greifen. Da amputieren allerdings Avira und AVG die Spyware-Erkennung, was man unbedingt durch ein zusätzliches Anti-Spyware-Paket kompensieren sollte. Der in Vista integrierte Windows-Defender hebt die Spyware-Erkennung nur etwa auf Norton-Niveau. Die anderen Einschränkungen wie die fehlende E-Mail-Überprüfung lassen sich zur Not verschmerzen. Das größte Handicap des ebenfalls kostenlosen Avast sind die sehr gewöhnungsbedürftige Oberfläche und die nervenden UAC-Prompts.

NOD32 Antivirus

NOD32 ist die flotteste Antivirenlösung im Test. Trotz der imposanten Scan-Geschwindigkeit blieb die Erkennung im Viren-Zoo befriedigend, bei Ad- und Spyware sogar gut. Die Heuristik war nach wie vor herausragend – mehr als zwei Drittel der neuen Schädlinge fand der Virenscanner noch mit einem Monat alten Signaturen; BitDefender als nächstbester kam gerade mal noch auf rund 41 Prozent.

NOD32 erkannte einen unserer Keylogger, allerdings lösten die anderen unbekannten Schädlinge keinen verhaltensbasierten Alarm aus. Bis auf NtIllusion bemerkte und entfernte NOD32 auch alle Rootkits. Dank der herausragenden Heuristik kann sich NOD32 bei den besseren Virenscannern einreihen.

F-Secure

F-Secures Anti-Virus 2008 überzeugte insbesondere durch den sehr guten Behavioural Blocker DeepGuard. Er erkannte als einziger alle zwölf Schädlinge bei der Ausführung an ihrem Verhalten, und das sogar ohne Fehlalarme zu erzeugen. Auch unsere selbstgebauten Keylogger meldete der Wächter, und er lieferte eine brauchbare Risikoeinschätzung inklusive verständlicher Hinweise, welche Verhaltensweise zu dieser Einschätzung geführt hat. Auch bei der Rootkit-Erkennung gab sich F-Secure keine Blöße. Nur beim Aufspüren von Ad- und Spyware und bei der heuristischen Erkennung schwächelte F-Secure.

Die vier Scan-Engines – Kaspersky, F-Prot und zwei eigene – und der Behavioural Blocker fordern jedoch ihren Tribut: F-Secure ist mit Abstand der langsamste Scanner, der Kopiervorgang dauerte mehr als achtmal so lange wie ohne Virenscanner. Für ältere und langsamere Rechner oder hohe Performanceansprüche eignet sich F-Secure daher nicht.

Die Konfiguration ist etwas gewöhnungsbedürftig. Wenn man etwa alle Dateien unabhängig von ihrem Typ scannen möchte, muss man in den Eigenschaften "Antivirus & Antispy-Schutz" zunächst auf "benutzerdefiniert" umstellen, was die entsprechenden Schaltflächen in der Konfiguration der einzelnen Scanner-Komponenten freischaltet. In die Profilverzeichnisse anderer Nutzer schaut F-Secure selbst bei einem Komplettscan des Systems nicht hinein – auch nicht, wenn es explizit mit Administratorrechten gestartet wird. Erst nachdem man im Windows Explorer das Profilverzeichnis eines anderen Nutzers öffnet, wofür Vista mit der Benutzerkontensteuerung nach Administratorrechten verlangt, scannt F-Secure auch diesen Ordner.

Die Linux-basierte Boot-CD von F-Secure kommt auch mit dem NTFS-Dateisystem zurecht. Sie ist für jedermann kostenlos auf F-Secures Servern zugänglich.

Avira Antivir

Die einzige aus Deutschland stammende Antivirenlösung war nach wie vor eines der schnellsten Antivirenprogramme. Trotzdem lieferte Avira eine außergewöhnlich gute signaturbasierte Erkennung von Schädlingen und Ad- und Spyware. Bei der Reaktionsgeschwindigkeit mit neuen Signaturen konnte Avira zulegen. Die Anti-Rootkit-Funktion fiel jedoch schlechter aus: Die Software erkannte zwar alle aktiven Rootkits, konnte sie jedoch nur zur Hälfte auch entfernen. Ein Behavioural Blocker zum Schutz vor unbekannten Schädlingen fehlt, die Heuristik konnte das nicht kompensieren. Die Antivirensoftware ist mit einem Preis von 20 Euro für eine Jahreslizenz das günstigste kommerzielle Produkt im Testfeld.

Die kostenlose Version prüft E-Mails nicht explizit auf Schädlinge; erst beim Abspeichern beziehungsweise Öffnen von Dateianhängen tritt der Wächter auf den Plan. Außerdem muss die Personal Edition Classic ohne Spyware-Signaturen auskommen, was die zusätzliche Installation eines Anti-Spyware-Produkts wie SpyBot Search & Destroy erforderlich macht. Und schließlich aktualisiert sich die kostenlose Version nur einmal am Tag, was sich jedoch durch zusätzliche Update-Jobs im integrierten Scheduler umgehen lässt. Des Weiteren hat sich der Hersteller ein neues Finanzierungsmodell erschlossen und zeigt während des Updates Werbung an.

Gdata Antivirus 2008

Gdatas Antivirus rückt Schädlingen mit zwei Scan-Engines zu Leibe. Durch die kombinierte Erkennungsleistung von Avast und Kaspersky (in Unternehmensprodukten Avast und F-Prot) erzielte es erneut herausragende Scanergebnisse bei den signaturbasierten Tests. Das Bild ändert sich allerdings bei den Rootkits, von denen Gdata nur die Hälfte aufdeckte. Die Heuristik schöpfte bei weniger als 30 Prozent der neuen Schädlinge Verdacht, und die Verhaltenskontrolle steckt noch in den Kinderschuhen. Sie überwacht lediglich bestimmte Systemressourcen und meldet zwar verdächtige Änderungen, bewertet diese Vorgänge jedoch nicht im Kontext anderer Aktivitäten. Das führte unter anderem zu einer hohen Fehlalarmquote.

Der gründliche Signatur-Scan geht zu Lasten der Geschwindigkeit – nur F-Secure bremst den Rechner mehr aus. Das macht sich besonders auf älteren Rechnern deutlich bemerkbar. Die Versorgung mit frischen Signaturen klappte in gewohnt kurzer Zeit. Modemnutzer dürften an den zahlreichen Updates verzweifeln, die sich auf immerhin 16 MByte pro Woche summieren.

Die Anpassung an Vista ist noch nicht ganz rund. So erscheint bei jedem Versuch, einen On-Demand-Scan anzustoßen, ein UAC-Prompt. Außerdem arbeitet auch der Wächter bei eingeschränkten Benutzerrechten nicht konsequent und ließ beispielsweise einen Viren-Download mit Firefox passieren.

Die kompletten Testergebnisse aller 17 überprüften Antivirenlösungen (Avira Antivir Personal Edition Premium, Alwill Software avast! Antivirus Professional Edition, Grisoft AVG Anti-Malware, Softwin Bitdefender Antivirus 2008, CA Antivirus Plus 2008, ClamWin Free Antivirus, Dr. Web Antivirus für Windows, F-Secure Anti-Virus 2008, Gdata AntiVirus 2008, Ikarus virus.utillitues, Kaspersky Anti-Virus 7.0, McAfee ViruScan 2008, Microsoft Windows Live OneCare, Eset Nod32 AnziVirus, Symantec Norton Antivirus 2008, Panda antivirus 2008, Trend Micro Antivirus + Antispyware 2008) finden Sie in der Printausgabe 1/08 des c't Magazins im Artikel "Auf der Pirsch, 17 Antivirenlösungen unter Windows Vista und XP" von Dirk Knop und Jürgen Schmidt ab Seite 92. Den Test erhalten Sie auch als pdf-Datei im c't Kiosk.

Noch ein Hinweis in eigener Sache: Die im Studiogespräch als Pseudonym für bunte und möglicherweise gefährliche Webseiten im Internet genannte Adresse "Schöne-bunte-bilder.de" gibt es, wie sich jetzt herausgestellt hat, tatsächlich: Der hannoversche Fotograf Oliver Hausen präsentiert dort unter anderem eigene Werke. Diese schöne bunte Webseite ist durchaus besuchenswert und gehört nicht zu den von uns angesprochenen gefährlichen Webseiten.

Thema im Forum diskutieren

Permalink: http://heise.de/-401817