Scheinweltname
Lt. Commander
- Registriert
- Jan. 2008
- Beiträge
- 1.743
In der aktuellen Ausgabe (26/ 2009) hat die c't in Kooperation mit AV-Test einen Vergleichstest der 2010er Anti-Virenprodukte von
Klare Sieger sind Kaspersky und Norton:
Zum Glück lässt sich eine leichte Entscheidung treffen, welcher der beiden Testsieger für welchen Nutzer die richtige Wahl ist: Nutzer, die viele Einstellungsmöglichkeiten möchten und die das Sicherheitspotential ihrer AV-Software (und damit des Rechners) maximieren möchten - und gleichzeitig mit dem ein oder anderen Fehlalarm mehr umgehen können, die müssen zu Kaspersky greifen.
Das Installieren-und-nicht-weiter-dran-denken-(müssen) erlaubt hingegen Norton.
Vergleich der beiden "Testsieger" im Detail (Worte zum kostenlosen MSE folgen darunter):
Signaturbasierte Erkennung:
Die Chip oder Computerbild würden KAV auf den vorletzten Platz setzen, denn es bietet mit einer Erkennungsrate von 98,4% die zweitschlechteste im Feld; nur noch unterboten von AVG mit 96,4%. Dennoch vergibt die c't bei beiden (und allen anderen) ein Doppelplus für die signaturbasierte Erkennung. Norton liegt bei 99,8%.
Sonstige Erkennung:
Die Heuristik ist nicht Kasperskys Stärke: 58% - Nortons aber auch nicht: Nur 40% (beste: 71%, F-Secure)! Malware, die erst vier Wochen alt ist, erkennt Kaspersky in 73% der Fälle (bester Wert), Norton nur in 52%. Rootkits erkennen alle Teilnehmer im Testfeld etwa gleich gut (8/10 der aktiven Rootkits).
Fehlalarme/ Bedienerfreundlichkeit:
Die c't kürt Kaspersky nur deswegen nicht zum alleinigen Testsieger, weil es zu oft ein Eingreifen des Nutzers erfordert; durch Pop-Ups und Warnmeldungen. Allerdings müsste die c't die Fehlalarme der Produkte von Kaspersky, McAfee und Microsoft aus dem Testergebnis herausrechnen, weil sie von einer einzigen(!) Software erzeugt wurden, die außerdem nur von einem winzigen Bruchteil der User benutzt wird, nämlich der Remote Desktop Software VNC. Ich stimme den Security-Herstellern vollkommen zu, wenn sie solche Software auf Rechnern von Otto-Normalbürgern eher als Bedrohung sehen (wie sie der c't auf Anfrage erläuterten). "Power-User", die solche Software nutzen, wissen auch, wie man die Security-Software einstellt, damit sie sich mit solcher Software verträgt. Für alle anderen ist Remote Desktop allgemein ein großes Sicherheitsrisiko!
Daher müsste die c't alle Bewertungspunkte von Kaspersky (und MSE und McAfee) eine Stufe anheben, weil in jeden die Fehlalarme eingerechnet wurden und zur Minderung geführt haben. User ohne VNC (die große Mehrheit) erleben diese Fehlalarme nicht!
Die "Logik" der Benutzeroberfläche von KAV bzw. Norton wird nicht weiter kritisiert; aber aus dem Kaspersky-Forum weiß ich, dass viele die Nutzeroberfläche von KIS/ KAV 2010 etwas kompliziert finden. Wer Kaspersky richtig konfigurieren will, braucht also definitiv etwas Eingewöhnungszeit. Im Ausgleich kann man aber auch viel mehr einstellen als bei Norton. Zu letzterem sollten alle User greifen, die Kaspersky eh nicht weiter konfigurieren und die Standard-Einstellungen beibehalten würden.
Merkwürdig: Die zweitbeste verhaltensbasierte Erkennung (19 von 20 Programmen (Norton 18/20), die nicht von den AV-Scannern erkannt wurden) wird nur mit "zufriedenstellend" bewertet (abgewertet wegen der Pop-Ups?), wohingegen Spyware Doctor bei allen 20 Programmen warnt, blockiert und löscht. Da aber ThreatFire bei ALLEM Warnungen bringt, existiert auf einem System mit ThreatFire keinerlei Nutzerfreundlichkeit: In den Standard-Einstellungen kommt z.B. ein Pop-Up beim Start JEDES Systemprogramms aus c:\windows\ oder c:\windows\system32, das nicht zu den Systemdiensten gehört. Wordpad öffnen: Meldung! Windows-Fehlerdienst: Meldung. Regedit: Meldung. Eingabeaufforderung: Meldung. Taschenrechner: Meldung. Das passiert, weil ThreatFire keine eigene Einstufung von Software vornimmt und so für alles Warnungen anzeigt, wenn es eine Regel auslöst (z.B. Programmstart eines Programms, das noch nicht zugelassen wurde). Je strikter die Regeln sind: Desto mehr falsche Warnungen; je lascher die Regeln: Kein Schutz. Ich habe viel Freude mit ThreatFire gehabt, als ich die T-Online Software installieren wollte bzw. wenn Netzwerkfehler auftraten (weil es mehrere zig *.exes gibt, die zu der Software gehören und alle irgendeine kleine Funktion ausführen). Immerhin führt das in der Gesamtbewertung von Spyware Doctor/ ThreatFire zu einem "schlecht" in den Kategorien "Anwenderfreundlichkeit" und "Zurückhaltung" (Häufigkeit von Pop-Ups und Anfragen).
Meine Meinung: Es ist lächerlich, dass die c't immer ThreatFire empfiehlt, aber die Programmkontrolle von Kaspersky Internet Security für eine Fehlinvestition hält; dabei ist die KIS-Programmkontrolle die in allen Belangen ausgereiftere, sicherere und bedienerfreundlichere Version von ThreatFire!
Die Verhaltensbasierte Erkennung scheint sich zwischen KAV und Norton kaum zu unterscheiden: KAV erkennt 19/20, Norton 18/20; beide deutlich vor allen anderen Test-Kandidaten. Unterschied: Mit KAV werden Komplikationen minimiert, weil es mehr warnt, aber dem Nutzer die Entscheidung überlässt. So lässt sich verhindern, dass unbekannte vertrauenswürdige Software unbemerkt in Quarantäne verschoben oder gar gelöscht wird und umständlich wieder erlaubt werden muss (was bei KAV außerdem noch einfacher ist als bei Norton); Norton löscht fast alles, was es verhaltensbasiert als Malware erkennt, Kaspersky nur etwa 50%.
Da Kaspersky einen bequemen "Interaktiven Modus" hat, bei dem man IMMER selbst entscheiden kann, lassen sich versehentlich gelöschte vertrauenswürdige Programme komplett vermeiden (weiß nicht, ob Norton das auch hat bzw. wie dieser sich bedienen lässt).
Performance:
Kaspersky und Norton verbrauchen beide wenig Speicher (KAV 20MB, max 55MB; Norton 15MB, max. 85MB; was alles selbst auf einem Netbook eine irrelevante Größe ist) und kosten im Falle von KAV 27%, bei Norton 21% Performance. Schlusslicht ist hier der einzige kostenlose Scanner im Test: Microsoft Security Essentials mit 45% Beeinträchtigung. Die "gefühlte" Performance ist laut c't bei Norton ein Doppelplus wert, KAV hat nur ein Plus.
Das Fazit ist einfach: KAV (besser KIS) 2010 für erfahrene Nutzer mit erhöhtem Sicherheitsbedürfnis (und einer gewissen Resistenz gegenüber oder gar dem Verlangen nach Pop-Ups), Norton für Normaluser.
Anmerkung: Hätte die c't KIS 2010 statt KAV 2010 getestet, wäre der Testsieg noch klarer gewesen.
Einen Ehrenpreis vergibt die c't den Security Essentials von Microsoft, deren signaturbasierte, heuristische und verhaltensbasierte Erkennung immer im oberen Drittel liegt. Vor allem aber glänzen die MSE durch ihre 'Ruhe', da sie sich solange zurückhalten, bis tatsächlich eingegriffen werden muss. Damit ist Microsoft der einzige Hersteller, der nicht dauernd Panik durch Pop-Ups schafft, was ich aus eigener Erfahrung mit dem Programm nur bestätigen kann und loben muss.
P.s.
Die c't schließt den Artikel mit folgenden Worten
Kaspersky Internet Security (und vielleicht auch andere Security Suiten) arbeitet seit JAHREN mit dem gleichen Prinzip wie ThreatFire (nämlich Programme und deren Datei-, Speicher-, Registry- und Prozesszugriffe zu überwachen), nur dass in Kaspersky außerdem eine Routine zur Einstufung von Software enthalten ist, was den User vor Warnungen vor selten genutzten (aber natürlich vollkommen vertrauenswürdigen) Windows-*.exes schützt. Außerdem ist das Management der Programmregeln in KIS viel einfacher als mit ThreatFire. Darüberhinaus kostet das Mehr an Umfang von KIS im Vergleich zu KAV quasi keine Leistung.
Das exakt gleiche Argument, dass die c't seit Jahren gegen Software-Firewalls bringt, gilt auch GEGEN Programme wie ThreatFire! Nämlich: Es lassen sich keine 100% sicheren Regeln definieren bzw. "niemand" weiß (wenn bei jeder Aktivität gefragt wird), ob er ein Programm (ThreatFire) oder eine Internetverbindung (Firewall) zu einer bestimmten IP-Adresse blockieren sollte. Aber anders als bei Software, deren Vertrauenswürdigkeit u.U. umständlich recherchiert werden muss (bzw. diese gar nicht vorhanden ist), reicht bei einer IP-Adresse eine einfache DNS-Datenbank, wie z.B. [*]. D.h. eine IP-Adresse lässt sich mit wenigen Mausklicks prüfen; ein Programm (ohne digitale Signatur) nicht ohne Weiteres (alles bei VirusTotal hochladen kanns ja auch nicht sein...).
Kurz: KIS ist immer besser als KAV (und kostet meistens nur 5€ mehr!);und alles ist besser als ThreatFire. Ich habe selbst ein System mit ThreatFire und MSE sicher gemacht (3 Wochen, bevor die c't das erwähnt hat) und habe geschlagene zwei Tage gebraucht, um die Regeln in ThreatFire so zu konfigurieren, dass ein komplett unbedarfter Nutzer nicht dauernd Warnungen zu sehen bekommt (lustigerweise erzeugen die MSE beim Update nämlich IMMER Warnungen, weil die Update-Dateien in einen willkürlich benannten Ordner auf der obersten Ebene von c:\ geschrieben werden! D.h. standardmäßig passen MSE und ThreatFire nicht zueinander, liebe c'tler.). Und die wenigen, die prinzipbedingt erscheinen, können ohne Systemprobleme blockiert werden; wegen sehr ausgefeilter Regeln. EDIT: Nachdem ich jetzt einige Zeit mit Threatfire+MSE auf einem Netbook gearbeitet habe, finde ich diese Kombination doch erstaunlich alltagstauglich.
[Passage gelöscht, Scheinweltname]
Offenlegung (auch wenn man das beim Lesen schon merkt): Ich bin seit Jahren überzeugter Kaspersky-Nutzer; man könnte fast Fanboy sagen. D.h. ich bin in gewisser Weise befangen. Umso mehr freut es mich, dass die Daten der c't mir "objektiv" Recht geben!
___
[*] "http://whois.syndicat.com/"
- AVG (AVG Anti-Virus Professional 9.0)
- BitDefender (BitDefender Antivirus 2010)
- Bullguard Limited (Bullguard Internet Security 8.7)
- F-Secure (F-Secure Anti-Virus 2010)
- Kaspersky (Kaspersky Anti-Virus 2010) ("Kaspersky" oder "KAV")
- McAfee (McAfee AntiVirus 2010)
- Microsoft (Microsoft Security Essentials) (kostenlos) ("MSE")
- Symantec (Norton AntiVirus 2010) ("Norton")
- PC Tools (Spyware Doctor mit Antivirus und Threatfire)
Klare Sieger sind Kaspersky und Norton:
c't (26/2009 schrieb:
Zum Glück lässt sich eine leichte Entscheidung treffen, welcher der beiden Testsieger für welchen Nutzer die richtige Wahl ist: Nutzer, die viele Einstellungsmöglichkeiten möchten und die das Sicherheitspotential ihrer AV-Software (und damit des Rechners) maximieren möchten - und gleichzeitig mit dem ein oder anderen Fehlalarm mehr umgehen können, die müssen zu Kaspersky greifen.
Das Installieren-und-nicht-weiter-dran-denken-(müssen) erlaubt hingegen Norton.
Vergleich der beiden "Testsieger" im Detail (Worte zum kostenlosen MSE folgen darunter):
Signaturbasierte Erkennung:
Die Chip oder Computerbild würden KAV auf den vorletzten Platz setzen, denn es bietet mit einer Erkennungsrate von 98,4% die zweitschlechteste im Feld; nur noch unterboten von AVG mit 96,4%. Dennoch vergibt die c't bei beiden (und allen anderen) ein Doppelplus für die signaturbasierte Erkennung. Norton liegt bei 99,8%.
Sonstige Erkennung:
Die Heuristik ist nicht Kasperskys Stärke: 58% - Nortons aber auch nicht: Nur 40% (beste: 71%, F-Secure)! Malware, die erst vier Wochen alt ist, erkennt Kaspersky in 73% der Fälle (bester Wert), Norton nur in 52%. Rootkits erkennen alle Teilnehmer im Testfeld etwa gleich gut (8/10 der aktiven Rootkits).
Fehlalarme/ Bedienerfreundlichkeit:
Die c't kürt Kaspersky nur deswegen nicht zum alleinigen Testsieger, weil es zu oft ein Eingreifen des Nutzers erfordert; durch Pop-Ups und Warnmeldungen. Allerdings müsste die c't die Fehlalarme der Produkte von Kaspersky, McAfee und Microsoft aus dem Testergebnis herausrechnen, weil sie von einer einzigen(!) Software erzeugt wurden, die außerdem nur von einem winzigen Bruchteil der User benutzt wird, nämlich der Remote Desktop Software VNC. Ich stimme den Security-Herstellern vollkommen zu, wenn sie solche Software auf Rechnern von Otto-Normalbürgern eher als Bedrohung sehen (wie sie der c't auf Anfrage erläuterten). "Power-User", die solche Software nutzen, wissen auch, wie man die Security-Software einstellt, damit sie sich mit solcher Software verträgt. Für alle anderen ist Remote Desktop allgemein ein großes Sicherheitsrisiko!
Daher müsste die c't alle Bewertungspunkte von Kaspersky (und MSE und McAfee) eine Stufe anheben, weil in jeden die Fehlalarme eingerechnet wurden und zur Minderung geführt haben. User ohne VNC (die große Mehrheit) erleben diese Fehlalarme nicht!
Die "Logik" der Benutzeroberfläche von KAV bzw. Norton wird nicht weiter kritisiert; aber aus dem Kaspersky-Forum weiß ich, dass viele die Nutzeroberfläche von KIS/ KAV 2010 etwas kompliziert finden. Wer Kaspersky richtig konfigurieren will, braucht also definitiv etwas Eingewöhnungszeit. Im Ausgleich kann man aber auch viel mehr einstellen als bei Norton. Zu letzterem sollten alle User greifen, die Kaspersky eh nicht weiter konfigurieren und die Standard-Einstellungen beibehalten würden.
Merkwürdig: Die zweitbeste verhaltensbasierte Erkennung (19 von 20 Programmen (Norton 18/20), die nicht von den AV-Scannern erkannt wurden) wird nur mit "zufriedenstellend" bewertet (abgewertet wegen der Pop-Ups?), wohingegen Spyware Doctor bei allen 20 Programmen warnt, blockiert und löscht. Da aber ThreatFire bei ALLEM Warnungen bringt, existiert auf einem System mit ThreatFire keinerlei Nutzerfreundlichkeit: In den Standard-Einstellungen kommt z.B. ein Pop-Up beim Start JEDES Systemprogramms aus c:\windows\ oder c:\windows\system32, das nicht zu den Systemdiensten gehört. Wordpad öffnen: Meldung! Windows-Fehlerdienst: Meldung. Regedit: Meldung. Eingabeaufforderung: Meldung. Taschenrechner: Meldung. Das passiert, weil ThreatFire keine eigene Einstufung von Software vornimmt und so für alles Warnungen anzeigt, wenn es eine Regel auslöst (z.B. Programmstart eines Programms, das noch nicht zugelassen wurde). Je strikter die Regeln sind: Desto mehr falsche Warnungen; je lascher die Regeln: Kein Schutz. Ich habe viel Freude mit ThreatFire gehabt, als ich die T-Online Software installieren wollte bzw. wenn Netzwerkfehler auftraten (weil es mehrere zig *.exes gibt, die zu der Software gehören und alle irgendeine kleine Funktion ausführen). Immerhin führt das in der Gesamtbewertung von Spyware Doctor/ ThreatFire zu einem "schlecht" in den Kategorien "Anwenderfreundlichkeit" und "Zurückhaltung" (Häufigkeit von Pop-Ups und Anfragen).
Meine Meinung: Es ist lächerlich, dass die c't immer ThreatFire empfiehlt, aber die Programmkontrolle von Kaspersky Internet Security für eine Fehlinvestition hält; dabei ist die KIS-Programmkontrolle die in allen Belangen ausgereiftere, sicherere und bedienerfreundlichere Version von ThreatFire!
Die Verhaltensbasierte Erkennung scheint sich zwischen KAV und Norton kaum zu unterscheiden: KAV erkennt 19/20, Norton 18/20; beide deutlich vor allen anderen Test-Kandidaten. Unterschied: Mit KAV werden Komplikationen minimiert, weil es mehr warnt, aber dem Nutzer die Entscheidung überlässt. So lässt sich verhindern, dass unbekannte vertrauenswürdige Software unbemerkt in Quarantäne verschoben oder gar gelöscht wird und umständlich wieder erlaubt werden muss (was bei KAV außerdem noch einfacher ist als bei Norton); Norton löscht fast alles, was es verhaltensbasiert als Malware erkennt, Kaspersky nur etwa 50%.
Da Kaspersky einen bequemen "Interaktiven Modus" hat, bei dem man IMMER selbst entscheiden kann, lassen sich versehentlich gelöschte vertrauenswürdige Programme komplett vermeiden (weiß nicht, ob Norton das auch hat bzw. wie dieser sich bedienen lässt).
Performance:
Kaspersky und Norton verbrauchen beide wenig Speicher (KAV 20MB, max 55MB; Norton 15MB, max. 85MB; was alles selbst auf einem Netbook eine irrelevante Größe ist) und kosten im Falle von KAV 27%, bei Norton 21% Performance. Schlusslicht ist hier der einzige kostenlose Scanner im Test: Microsoft Security Essentials mit 45% Beeinträchtigung. Die "gefühlte" Performance ist laut c't bei Norton ein Doppelplus wert, KAV hat nur ein Plus.
Das Fazit ist einfach: KAV (besser KIS) 2010 für erfahrene Nutzer mit erhöhtem Sicherheitsbedürfnis (und einer gewissen Resistenz gegenüber oder gar dem Verlangen nach Pop-Ups), Norton für Normaluser.
Anmerkung: Hätte die c't KIS 2010 statt KAV 2010 getestet, wäre der Testsieg noch klarer gewesen.
Einen Ehrenpreis vergibt die c't den Security Essentials von Microsoft, deren signaturbasierte, heuristische und verhaltensbasierte Erkennung immer im oberen Drittel liegt. Vor allem aber glänzen die MSE durch ihre 'Ruhe', da sie sich solange zurückhalten, bis tatsächlich eingegriffen werden muss. Damit ist Microsoft der einzige Hersteller, der nicht dauernd Panik durch Pop-Ups schafft, was ich aus eigener Erfahrung mit dem Programm nur bestätigen kann und loben muss.
P.s.
Die c't schließt den Artikel mit folgenden Worten
Damit disqualifiziert sich die c't für mich in Security-Software-Fragen komplett (total inkonsistente Argumentation). Entweder die c'tler geben endlich zu, dass Security Suiten mit Programmkontrolle (=Verhaltenserkennung) sinnvoll sind, oder sie dürfen ThreatFire nicht weiterhin empfehlen. Denn ThreatFire ist darauf ausgelegt, Warnungen zu produzieren (das ist das Prinzip!), wodurch Laien dauernd verunsichert werden. Denn welcher Laie weiß schon, ob er "hh.exe" ausführen soll (ist die Windows-Hilfe-Datei). Oder WerFault.exe? Kostenlos um jeden Preis??c't (26/2009 schrieb:
Kaspersky Internet Security (und vielleicht auch andere Security Suiten) arbeitet seit JAHREN mit dem gleichen Prinzip wie ThreatFire (nämlich Programme und deren Datei-, Speicher-, Registry- und Prozesszugriffe zu überwachen), nur dass in Kaspersky außerdem eine Routine zur Einstufung von Software enthalten ist, was den User vor Warnungen vor selten genutzten (aber natürlich vollkommen vertrauenswürdigen) Windows-*.exes schützt. Außerdem ist das Management der Programmregeln in KIS viel einfacher als mit ThreatFire. Darüberhinaus kostet das Mehr an Umfang von KIS im Vergleich zu KAV quasi keine Leistung.
Das exakt gleiche Argument, dass die c't seit Jahren gegen Software-Firewalls bringt, gilt auch GEGEN Programme wie ThreatFire! Nämlich: Es lassen sich keine 100% sicheren Regeln definieren bzw. "niemand" weiß (wenn bei jeder Aktivität gefragt wird), ob er ein Programm (ThreatFire) oder eine Internetverbindung (Firewall) zu einer bestimmten IP-Adresse blockieren sollte. Aber anders als bei Software, deren Vertrauenswürdigkeit u.U. umständlich recherchiert werden muss (bzw. diese gar nicht vorhanden ist), reicht bei einer IP-Adresse eine einfache DNS-Datenbank, wie z.B. [*]. D.h. eine IP-Adresse lässt sich mit wenigen Mausklicks prüfen; ein Programm (ohne digitale Signatur) nicht ohne Weiteres (alles bei VirusTotal hochladen kanns ja auch nicht sein...).
Kurz: KIS ist immer besser als KAV (und kostet meistens nur 5€ mehr!);
[Passage gelöscht, Scheinweltname]
Offenlegung (auch wenn man das beim Lesen schon merkt): Ich bin seit Jahren überzeugter Kaspersky-Nutzer; man könnte fast Fanboy sagen. D.h. ich bin in gewisser Weise befangen. Umso mehr freut es mich, dass die Daten der c't mir "objektiv" Recht geben!
___
[*] "http://whois.syndicat.com/"
Zuletzt bearbeitet:
