Der Preis für ein kostenpflichtiges Virenschutzprodukt ist mit 20 bis 50 Euro pro Jahr nicht unerheblich. Angesichts der vielen Gratisangebote ist die Frage berechtigt, ob es überhaupt nötig ist, für Virenschutz zu bezahlen.

 

Kann Gratis-Virenschutz wirklich gut sein? Skeptische Anwender fragen sich unweigerlich, ob es da nicht einen Haken gibt und wie sich die Produkte für die Hersteller überhaupt rentieren können. Um diesen Fragen auf den Grund zu gehen, haben wir die kostenlosen AV-Programme auf den Prüfstand gestellt: Avast Free Antivirus, AVG Anti-Virus Free Edition, Avira AntiVir Personal, Comodo Internet Security Free, Microsoft Security Essentials, Panda Cloud Antivirus und Rising Antivirus Free Edition 2010.

Reine On-Demand-Scanner wie BitDefender Free und ClamAV haben wir nicht berücksichtigt, da sie ohne Ãœberwachungsfunktionen keinen ausreichenden Schutz bieten. Auch die Free Edition von PC Tools AntiVirus blieb aussen vor, da das Programm bisher nicht an Windows 7 angepasst wurde, auf dem wir durchweg testeten.

Ja, aber …

Die AV-Produzenten beschränken die Nutzung ihrer kostenlosen Scanner auf den privaten und nichtkommerziellen Bereich. Für den Einsatz in Firmenumgebungen haben die Hersteller kostenpflichtige Produkte im Portfolio; spezielle Enterprise-Versionen verfügen dann auch über Funktionen zur zentralen Verwaltung.

Ein Blick in die jeweiligen Lizenzvereinbarungen lohnt sich durchaus: In den Microsoft-Klauseln versteckt sich beispielsweise ein Verbot, Testergebnisse ohne schriftliche Einwilligung von Microsoft an Dritte zu veräussern. Das konnte uns nicht davon abhalten, die Security Essentials dennoch einem ausgiebigen Test zu unterziehen und Ihnen die Ergebnisse hier zu präsentieren.

Den kostenlosen Versionen von Avast, AVG, Avira, Comodo und Panda fehlen teilweise durchaus wichtige Features der kostenpflichtigen grossen Brüder. Web-Filter und Verhaltenserkennung kann man gegebenenfalls durch Zusatzprogramme ergänzen. Schwerer fällt ins Gewicht, dass alle Hersteller bis auf Avast und Panda die Update-Intervalle für Signaturen auf 24 Stunden anheben.

Das wirkt auf den ersten Blick halb so schlimm, bedeutet aber letztlich, dass die Scanner im Ernstfall einen Tag und eine Nacht lang für neue Schädlinge blind sein können – und zwar unabhängig davon, wie schnell der jeweilige Hersteller mit neuen Signaturen auf Malware-Ausbrüche reagiert. Weil dies auf Kosten der Sicherheit geht, haben wir hierfür eine Abwertung bei der Reaktionszeit vorgenommen.

Nur Avast und Comodo spendieren ihren Gratisscannern eine Verhaltenserkennung. Sie soll Alarm schlagen, wenn ihr Aktionen eines Programms verdächtig vorkommen. Bei den anderen Testkandidaten ist man unbekannten Schädlingen aber nicht unbedingt schutzlos ausgeliefert. Einerseits gibt es noch die Heuristik, die diverse Informationen über eine Datei auswertet und mit den Eigenschaften typischer Schädlinge vergleicht. Mit etwas Glück kann der Scanner das Schlimmste verhindern, wenn er nachgeladene Schadprogramme erkennt und blockiert, sobald diese auf der Festplatte landen.

Web-Scanner

Im Testfeld verfügte nur Avast Free Antivirus über einen vollwertigen Web-Scanner, der sich in alle HTTP-Verbindungen einklinkte. Das hat den Vorteil, dass der Scanner in Webseiten eingebetteten Schadcode schon abfängt, bevor er den Browser erreicht. AVGs „LinkScanner“ sucht immerhin in HTTP-Verbindungen auf Standard-Ports. Die Security Essentials und Comodo mit seiner „HopSurf Toolbar“ klinken sich zwar ebenfalls in den Datenstrom des Internet Explorer ein. Beim Test auf Web-Exploits, für den wir eine Handvoll verseuchte Webseiten ansteuerten, war von diesen halbseidenen Browser-Schutzmechanismen aber wenig spüren.

Auch bei reinen Datei-Scannern kommt es beim Aufruf infizierter Webseiten zu Alarm-Meldungen – und zwar nicht erst beim Download infizierter Dateien. Die Scanner bekommen mit, wenn der Browser Seiteninhalte aus dem Cache auf die Festplatte schreibt. Zu welchem Zeitpunkt die Warnungen auf dem Bildschirm erscheinen, hängt daher vom Caching-Verhalten des jeweiligen Browsers ab.

An dieser Stelle hat der Web-Exploit oft schon zumindest einen Teil seiner Wirkung entfaltet. Ob der Virenscanner Schlimmeres verhindern kann, hängt vom  weiteren Infektionsprozess ab. Lädt der Schadcode etwa ein ausführbares Schadprogramm aus dem Netz nach, kann der Scanner es gegebenenfalls immer noch rechtzeitig blockieren. Das Fehlen eines echten Web-Filters führte dennoch zu Punktabzug bei der Bewertung.

Seit Vista verfügt Windows mit dem Defender bereits über einen rudimentären Spyware-Schutz. Der Windows Defender wirkt aber lediglich gegen eine Auswahl an weit verbreiteten, schlimmen Spionageprogrammen. Wer ein echtes Antivirus-Programm installiert, kann den Defender getrost über die Einstellung „Echtzeitschutz“ deaktivieren. Anderenfalls kommen sich die Scanner in die Quere und können das System unnötig ausbremsen. Die meisten Installer versäumen es jedoch, Defender automatisch auszuknipsen. Avira blendet immerhin einen Hinweis ein, der dem Nutzer erklärt, wo er klicken soll.

Bewertungskategorien

Wie bei vorangegangenen Tests untersuchten wir die Kandidaten in Bezug auf die signaturbasierte Erkennung, die Schädlinge gewissermassen am Fingerabdruck erkennt, und die für die Schutzwirkung wichtigere Heuristik. Am aussagekräftigsten ist für Letztere der Test mit Schädlingen der letzten vier Wochen. Kam im Testlabor ein neuer Schädling herein, wurde er gleich den Scannern zur Begutachtung übergeben. Ausserdem testeten wir mit zwei Wochen alten Signaturen und Malware, die erst danach aufgetaucht ist. Hier trennt sich auch die Spreu vom Weizen: Nur Microsoft und Panda können mit Ergebnissen um die 60 Prozent in der Liga der besten Scanner mitspielen. Avast und Avira schaffen es mit rund 40 Prozent immerhin in die gehobene Mittelklasse.

Die Durchsatzraten der Scanner ergaben sich anhand eines grossen Ordners mit Testdateien. Praxisrelevanter ist jedoch das Ergebnis der speziellen Test-Suite, die alltägliche Aufgaben wie das Kopieren von Dateien und Öffnen von Programmen durchführt.

Auch Fehlalarme waren wieder ein besonderes Testkriterium. In den vergangenen Monaten machte beispielsweise McAfee mit dem Löschen einer wichtigen Windows-Systemdatei Negativschlagzeilen. Um einzuschätzen, wie leicht die Scanner über die Stränge schlagen, wurden sie auf eine grosse Sammlung harmloser Programme losgelassen. Den Test mit Laufzeitpackern, die nahezu beliebige ausführbare Dateien nur kleiner machen oder vor neugierigen Blicken schützen sollen, haben wir etwas verfeinert, weil es damit gemäss unserer Hotline-Erfahrung oft zu Problemen kommt. Offenbar sehen sich manche AV-Programme veranlasst, beim Anblick bestimmter Packer sofort Alarm zu schlagen – egal ob Freund oder Feind.

Wir liessen drei waschechte Schädlinge, die jeder Scanner erkennt, und sieben harmlose Hallo-Welt-Programme vom Polypack-Projekt der University of Michigan mit zehn verschiedenen Laufzeitpackern behandeln. Bei den Heuristiken von Avira und Comodo haben wir mit dem Laufzeitpackertest offenbar in ein Wespennest gestochen. Nur Microsofts Security Essentials und Rising Antivirus gehen mit Laufzeitpackern vorbildlich transparent um. In der Detailansicht ihrer Ergebnislisten unterscheiden sie bis hin zur Versionsnummer, welchen Packer sie erkannt haben und welcher Schädling ihnen nach dem Auspacken entgegengesprungen ist.

Eine wesentliche Änderung zu vorangegangenen Tests betrifft die Kategorie „Ad- und Spyware“. Die ehemals unter diesem Schlagwort zusammengefassten Programme lassen sich nicht eindeutig als „böse“ einstufen. Um dem Rechnung zu tragen, wurde die Kategorie in zwei Bereiche eingeteilt: „Betrugsprogramme“ sind Programme, die garantiert niemand auf seinem Rechner haben möchte – darunter die vielen gefälschten Antivirus-Programme, die Anwendern nicht existente Bedrohungen vorgaukeln, um ihnen Geld aus der Tasche zu ziehen.

An den „potenziell ungewollten Anwendungen“ scheiden sich hingegen die Geister. Was für den einen Nutzer nützlich ist, stellt für andere eine Gefahr dar. Klassisches Beispiel ist die Fernwartungssoftware VNC, die Admins für den Remote-Zugang verwenden, Einbrecher aber auch als unerkannte Hintertür installieren. Bei der Erkennung dieses Programmtyps schneiden mehrere Scanner erheblich schlechter ab als zuvor bei der kombinierten Kategorie – allen voran Microsofts Security Essentials. Da die Zuordnung Ermessenssache ist, kann man den Herstellern die unterschiedlichen Herangehensweisen schlecht ankreiden. Die Bewertung am Tabellenende berücksichtigt deshalb nur die Betrugsprogramme. (cr)

Den vollständigen Artikel finden Sie in c't 12/2010

 

Die unterschätzten Profite
Hersteller	Massnahme
Avast	Informationssammlung per „avast! Gemeinschaft“, Eigenwerbung auf dem Hauptbildschirm, Google Chrome
AVG	Eigenwerbung unter dem Hauptfenster, Yahoo-Toolbar
Avira	Eigenwerbung bei Updates
Comodo	Informationssammlung per „ThreatCast“-Netzwerk, Ask.com als Startseite, HopSurf-Toolbar
Microsoft	Informationssammlung per „SpyNet“, Genuine-Advantage-Ãœberprüfung
Panda	Informationssammlung per „Collective Intelligence“
Rising	Informationssammlung per „Cloud Security“