Testbericht

Vergleichstest: Internet Security Suiten 2008

Aktuelle Security Suiten versprechen, alle Arten von schädlichen Programmen vom PC fernzuhalten. Mit umfangreichen Praxistests haben wir 15 Tool-Pakete auf Herz und Nieren geprüft und die besten herausgefiltert.

  1. Vergleichstest: Internet Security Suiten 2008
  2. Preis der Sicherheit
Vergleichstest: Internet Security Suiten 2008

© Archiv

Vergleichstest: Internet Security Suiten 2008

Ein Brief Ihres Internetproviders kann für böses Erwachen sorgen: Ihr PC sei als Ursprung für massenhaften Spam-Versand identifiziert worden. Deshalb sei bis auf weiteres der Port 25 zum Versand von E-Mail gesperrt, der hauseigene Webmail-Dienst stünde aber weiterhin zur Verfügung.

Darauf folgen Hinweise, wie man den heimischen PC auf Virenbefall untersucht, der höchstwahrscheinlich für den Spam-Versand verantwortlich zeigt. Solche drastischen Maßnahmen sind nicht aus der Luft gegriffen, einem Kollegen im Verlag ist es tatsächlich so ergangen. Seine halbwüchsigen Söhne verzichteten auf ein Antivirenprogramm und infizierten ihren PC auf dubiosen Webseiten mit einem Backdoor-Bot. Auf jeden PC gehört ein Antivirenprogramm mit Firewall - aber welches?

Klassischer Virenschutz

Vergleichstest: Internet Security Suiten 2008

© Archiv

Überblick: Eine Statusanzeige wie bei BitDefender informiert rasch über den Sicherheitszustand des PCs.

Die wichtigste Aufgabe einer Security Suite ist es, schädliche Software zu erkennen, zu blockieren und zu entfernen. Im Test mussten die Programme einen Cocktail aus mehreren tausend weit verbreiteten Malware-Samples erkennen. Den Testsieg sicherte sich hier das GData-Tool mit seinen zwei integrierten Virensuchmaschinen (Kaspersky und Avast), knapp dahinter landen Kaspersky und dessen Lizenznehmer F-Secure und ZoneAlarm.

Nur wenig schwächer sind BitDefender und der Lizenznehmer Bullguard, AVG (und das identische Programm von Steganos), McAfee, Norton und Panda. Eset, Avira und Trend Micro patzten in Spezialbereichen. So sind Avira und Trend Micro schwach bei VBScript-Viren, Eset durchsucht keine eingebetteten Objekte in PowerPoint-Präsentation.

Aus dem Rahmen fällt hier nur Live OneCare, das etliche weit verbreitete Viren nicht erkennt und nur auf rund 70 Prozent Erkennungsrate kommt. Eine unverständliche Lücke gibt es auch bei McAfee, dessen Scanner sonst mit guten Ergebnissen aufwartet: Infizierte Dateien, die auf einer NTFS-formatierten Festplatte als "alternative Datenströme" (ADS) an andere Dateien und Ordner angehängt sind, erkennt es nicht.

Bei Ordner-Datenströmen müssen auch F-Secure und ZoneAlarm passen, aber immerhin blockieren alle drei Programme den Start solcher ADS-Anhängsel.

Infektionswege sichern

Vergleichstest: Internet Security Suiten 2008

© Archiv

Draußen bleiben: der HTP-Filter hat eine manipulierte Bilddatei blockiert, die eine (ältere) Sicherheitslücke in Windows ausnutzt.

Um Schaden abzuwenden, muss ein Antivirenprogramm Malware möglichst frühzeitig erkennen, noch bevor sie auf dem PC gestartet werden. Dazu sollte das Tool sämtliche Einfallstore für Viren überwachen. Kern ist der Virenwächter, den alle Programme im Test aufweisen.

Er läuft ständig im Hintergrund und prüft Programme und Dokumente auf der Festplatte vor jedem Zugriff. Entdeckt der Scanner einen Schädling, wird der Zugriff blockiert, so dass er nicht aktiv werden kann. Bei allen Programmen im Test funktioniert der Wächter sehr gut, manche prüfen aber keine Archive (Zip etc.) und keine ADS-Dateien, blockieren jedoch den Start darin versteckter Malware.

Noch bevor Dateien die Festplatte erreichen, schlägt der E-Mail-Scanner zu. Er fängt infizierte Anhänge und Skripte in HTML-Mails ab, bevor sie das E-Mail-Programm erreichen. Das funktioniert bei allen Programmen im Test mit dem Standardprotokoll POP3 und beliebigen E-Mail-Clients - die Ausnahme ist OneCare. Das alternative IMAP-Protokoll unterstützen dagegen nicht alle.

Immer wichtiger wird die Überwachung von Webseiten im Browser. Über Sicherheitslücken von Internet Explorer, Firefox & Co. schleusen Angreifer als "Drive-by-Download" beim Surfen auf entsprechend präparierten Websites Schadcode ein, der ohne Zutun des Anwenders aktiv wird. Ein HTTP-Filter im Antivirenprogramm prüft die Webseiteninhalte, bevor sie den Webbrowser überhaupt erreichen. Eine infizierte Webseite wird dann blockiert.

Etwa die Hälfte der Produkte im Test verfügt über einen solchen HTTP-Scanner, darunter Kaspersky, GData, Panda und BitDefender. Die prominente Ausnahme ist Norton, das alternativ einen Skriptblocker für den Internet Explorer anbietet - andere Browser wie Firefox bleiben völlig ungeschützt.

Bildergalerie

Vergleichstest: Internet Security Suiten 2008
Galerie
Sicherheit & Internet:Sicherheit:Viren, Malware &…

Draußen bleiben: der HTP-Filter hat eine manipulierte Bilddatei blockiert, die eine (ältere) Sicherheitslücke in Windows ausnutzt.

Heuristik & HIPS

Jeder Virenscanner nutzt neben der Erkennung anhand von Signaturen auch heuristische Methoden. Eine Heuristik untersucht den Code eines Programms auf virentypische Merkmale, etwa ungewöhnliche Laufzeitpacker, Zugriffe auf Programmdateien oder Systembereiche der Festplatte.

Der Programmcode wird bei der Überprüfung nicht gestartet. Natürlich besteht die Gefahr von Fehlalarmen, viele legale Programme wie etwa System-Tools nutzen ähnliche Techniken. Deshalb ist die Schwelle, ab der die Heuristik eine Datei als verdächtig meldet, sehr hoch angesetzt. Mit anderen Worten: Hoch ist die Erkennungsrate von Heuristiken nicht, 30 Prozent gelten als sehr guter Wert.

Um diese Lücke zu schließen, setzen immer mehr Antivirenhersteller auf alternative Techniken. F-Secure, Eset und BitDefender nutzen Sandboxing: Der verdächtige Code wird in einer virtuellen Windows-Umgebung gestartet und Schritt für Schritt ausgeführt. Dabei kann der Scanner sozusagen live beobachten, welche Aktionen innerhalb der Sandbox ausgeführt werden.

Ein anderer Ansatz sind Host Intrusion Prevention Systeme (kurz HIPS). Dabei überwacht das HIPS alle unter Windows laufenden Programme. Schlägt eines aus der Reihe und zeigt virenverdächtige Aktionen, so kann das HIPS diesen Prozess stoppen und den Benutzer informieren. Ein HIPS ist also eine gute Ergänzung zu einem klassischen Virenscanner, kann ihn aber keinesfalls ersetzen.

Sehr ausgeprägt sind die HIPS-Funktionen bei Panda mit der Trueprevent-Technik und Kaspersky. Symantec entwickelt ebenfalls unter dem Namen Norton AntiBot an HIPS-Techniken, das Paket soll zum Jahreswechsel 2008 für 30 Euro als eigenständiges Produkt verkauft werden. AntiBot soll sich parallel zu normalen Antivirenprogrammen nutzen lassen.

Ausgebremster PC?

Vergleichstest: Internet Security Suiten 2008

© Archiv

Wie stark wirkt sich ein Antivirenprogramm auf die Arbeitsgeschwindigkeit eines PC aus, an dem man alltägliche Arbeiten ausführt? Um die Belastung zu messen, haben wir bei laufendem Virenwächter 140 MByte MS-Office-Dokumente und 270 MByte Programmdateien in ein leeres Verzeichnis kopiert. Als weiteren Test öffnete ein Makro in Word automatisch 100 Dokumente.

Die Tabelle zeigt die gemessenen Zeiten in Sekunden. Verglichen mit den Werten ohne Virenscanner ergeben sich Verzögerungen ab 5 Prozent bis hin zu mehreren hundert Prozent.

Bemerkbar machen sich diese vor allem beim Start von Programmen und beim Kopieren von Dateien. Wer in Word einen Text tippt oder mit Photoshop ein Bild bearbeitet, wird dagegen wenig spüren.

Ist die Leistungseinbuße störend, "entschärfen" Sie besser den Virenwächter Schritt für Schritt, statt ihn ganz abzuschalten. Nehmen Sie beispielsweise Archive (Zip etc.) von der Suche aus und lassen Sie nur "infizierte" Dateien (Programme, Office-Dokumente etc.) statt pauschal alle Dateien prüfen.

Mehr zum Thema

Lookout Mobile Security 8.3
Testbericht

Lookout Mobile Security verhindert nicht nur, dass der Anwender schädliche Apps installiert, sondern sie bietet in der kostenpflichtigen…
UpdateStar KeyFinder 6 im Test: Wir testen das Tool, das Ihnen Lizenznummern ausliest.
Testbericht

Wir haben UpdateStar KeyFinder 6 im Test. Mit der Software können Sie Lizenz- und Seriennummern installierter Software auslesen.
Wir testen das nützliche Programm Jing, die Software ist kostenlos.
Testbericht

Die Freeware Jing schneidet alle Abläufe auf dem Monitor mit. PCM Professional überprüft im Test, wie zuverlässig das klappt.
Wir haben das Netzwerk-Tool Fing im Test. Das Programm ist kostenlos.
Netzwerküberwachung

Das Tool Fing zeigt Ihnen welche Dienste auf dem Netzwerk angeboten werden, welche Geräte da sind und noch viel mehr. Wir haben Fing im Test.
Apps und Tipps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
Bester Viren-Schutz

Kaspersky, Bitdefender, Avira und Co.: Wir haben zwölf Antivirus Programme für Sie im Test! Welche Software bietet den höchsten Schutz?