@Han-Han: das meiste hast du falsch verstanden bzw. kommentierst an dem vorbei, was ich geschrieben habe.
Nur Allgemeines: Ich weiß gar nicht, warum du dich an meinen "80%" zu aufhängst. Natürlich schützt kein Programm perfekt, schließlich sind Hacker in der Regel keine Scripkiddies, sondern professionelle, kriminelle und kompetente Programmierer, die sich einen Wettlauf mit den AV-Herstellen liefern. Aber 1.) ist ein Schutz gegen 80% aller (auch unbekannter) Malware viel höher als bei einem Virenscanner allein (dem unbekannte Malware, bei der kein AV-Scanner (über Heuristik oder Pro-Aktiv) anschlägt, entgeht), 2.) sind die letzten 20% extrem spezialisierte Malware, die kein normaler Privatanwender je zu Gesicht bekommt. Immerhin enthalten die Datenbanken ja auch haufenweise Malware, die sehr speziell programmiert wurde und z.B. nur bestimmte (v.a. in Unternehmen angewendete) Anwendungen befällt.
D.h. man ist mit einer Suite als Privatanwender in jedem Fall "maximal" geschützt (mehr geht nicht,
wenn eben das restliche Sicherheitsverhalten auch stimmt); AV-Scanner allein bieten nur den Status "fast maximal/ ausreichend".
(Es gilt bei allem, was ich über Security schreibe, dass ich natürlich die üblichen Sicherheitsmaßnahmen voraussetze. Ich habe an keiner Stelle gesagt: ISS reicht komplett aus, dann braucht man sich um nix anderes zu kümmern. Habe ich noch nie irgendwo geschrieben! Das hätteste du nur gerne!)
Und nur, weil ich zu zu großer Vorsicht neige und bei jedem bestätigten Verdacht sofort formatieren und ein Image einspielen würde, stellt das in keiner Weise die Wirkweise von AV-Software in Frage.
Was hat mein Vertrauen in ein Programm mit dessen Sicherheitspotential zu tun?
Han-Han schrieb:
Was braucht ein solcher Code um Maleware auf dem Rechner Auszuführen? Richtig Rootrechte. Hat er diese in einem Eingeschränkten Benutzerkonto? Nein!
Bitte? Es ist lediglich eine Frage der Nutzerfreundlichkeit, dass Programme den User bei der Installation nach Eingaben fragen. Lad dir mal Programme von Microsoft/ Sysinternals runter. Mit denen lässt sich extrem tief ins System gucken; ganz ohne Admin-Rechte. Und die müssen nichtmal installiert werden. Einfach *.exe starten, und es läuft. (Und *.exes können nunmal auch ohne jegliche Kenntnis des Nutzers (oder dessen zutun) von anderen Prozessen gestartet werden und dann ganz ohne Fenster quasi unsichtbar laufen). Mit den Programmen von Sysinternals lässt sich - ohne jedes Admin- oder gar Root-Recht jede Dateiaktivität mitschneiden. Und da Ordner unter C:\Einstellungen und Dokumente für den Nutzer freigegeben sind, kann sich dort auch jede Malware hinschreiben. Wenn der AV-Scanner beim Scannen der Datei versagt, ist jede Aktivität freigegeben; da hilft nur eine Verhaltenskontrolle.
Was glaubst du, warum so viel Malware gerade in den User-Ordnern liegt? Weil selbst ein eingeschränkter User dort Schreibrecht hat und entsprechend von dort auch Malware starten kann. Was glaubst du, warum sich Conficker über USB-Sticks so leicht verbreiten konnte? Weil USB-Sticks generell zum Schreiben durch Nutzer freigegeben sind und also die autorun.inf auch bei beschränktem Account auf einem USB-Stick erstellt und ausgeführt werden kann.
EDIT: OK, diese himmelschreiende Unwissenheit provoziert dann doch weitere Ausführungen:
Han-Han schrieb:
Ich liebe ja dieses Wort, welches? Na "Pro aktiver Schutz". Kannst Du mir Bitte genau erklären wie das funktionieren soll? Ohne dabei die suggerierenden Werbeworte von dem Publisher zu benutzen? Bitte auf falls Du es versuchst wenn es geht mit Belegen vorweisen.
Ein Prozess kann bestimmte Dinge auf dem Rechner tun. Z.B. eine Internetverbindung aufbauen, andere Prozesse beenden bzw. manipulieren, den Speicherbereich eines fremden Prozesses lesen, Dateien erstellen, öffnen oder ändern usf. Trojaner z.B. lesen den Arbeitsspeicherbereich einer fremden Anwendung, um so die Eingaben mitzuschneiden. Software mit pro aktiver Erkennung kann genau so ein Verhalten feststellen und warnt dann, dass ein Prozess/ Programm verdächtiges Verhalten zeigt. Bis auf Avira (selbst Premium) haben meines Wissens alle Scanner diese Erkennung.
Die Verhaltenskontrolle a la ThreatFire oder Kaspersky geht anders vor: Sie überwacht, welche Rechte Software hat und meldet, wenn gegen diese Regeln verstoßen wird (das muss gar nicht auf Malware hindeuten). Das hat den Vorteil, dass man nicht vorher "verdächtige" Aktivitäten definieren muss, nach denen proaktiv gesucht werden müsste. Vielmehr kann man selbst definieren, wann man gewarnt werden möchte bzw. welche rechte Prozesse haben (wie gesagt: Auch auf einem eingeschränkten Account kann Software installiert werden, solange sie nicht auf die Registry zugreifen muss. Und das trifft auf sehr viel Software zu.)
Han-Han schrieb:
Nach nun all deinen Ausführungen ,mach ich mir allerdings mehr Sorgen um wie viele Zombierechner existieren auf denen deine Hoch btw. zu 80% Gelobte ISS werkelt?!
würde mich auch interessieren. Kenne keine Statistiken. Aber ich verwette meinen Hintern, dass der Anteil von Security-Suite-Benutzern deutlich geringer ist, als der Anteil derjenigen, die gar nichts absichern oder allein auf Avira vertrauen (und nicht so vorbildlich auf Updates, Firefox mit NoScript usf. setzen, wie wir).
Du bist als User genauso unrepräsentativ für den Otto-Normal-Nutzer, wie ich. Otto-Normal prüft nicht gewissenhaft auf Schwachstellen, läd keine Updates runter, wenn es nicht automatisch passiert (wie beim Firefox, der sich über einen eingeschränkten Account nicht Updaten lässt!), klickt auch mal zwilichtige Links an und verlässt sich dabei komplett auf Avira und die Win-Firewall, in der Ausnahmen wie NetBios und Remote Desktop immer noch zugelassen sind.
Diese Diskussion ist insofern unnütz, weil die Beteiligten hier sowieso soweit bescheid wissen, dass sie nicht ein unnötig unsicheres System benutzen. Diejenigen, die es aufzuklären gilt, wissen gar nicht, dass es Foren wie ComputerBase gibt.
EDIT 2:
Ich werde das Gefühl nicht los, dass viele glauben, dass es bei Malware nur um lokal gespeicherte *.exe-Dateien geht, die man selbst auf den Rechner kopieren und dann wissentlich ausführen muss. Das stimmt zwar für vermutlich den absoluten Großteil der Malware, die sich User so einfangen, aber genau diese Dateien werden sehr zuverlässig von AV-Scannern allein gefunden. Wenn es nur um diese *.exes ginge, wären Suiten tatsächlich unnötig. Genau das Wissen die Produzenten von Malware aber auch. Deswegen suchen sie ja andere Wege.
Es geht um PROZESSE, die auch durch Schwachstellen in Programmen oder z.B. infizierten Java-Script-Code auf Webseiten gestartet werden können. Solche Prozesse können "im Namen" von vertrauenswürdigen Programmen (z.B. Firefox) Dateien auf dem Rechner speichern. Und diese Dateien können dann ohne Zutun des Nutzers ausgeführt werden; auch mit einem eingeschränkten Account.
AV-Scanner scheitern hier weitestgehend; Suiten mit Verhaltenskontrolle (über den proaktiven Schutz hinaus) können das aber erkennen, wenn sie richtig eingestellt sind. Genau deswegen empfielt die c't ja ThreatFire (und ich KIS 2010), weil deren Funktion normale AV-Scanner um eine wichtige Komponente erweitert. Und gegen ThreatFire habe ich nur etwas, weil seine Bedienung unter aller Sau ist; wer partout kein Geld ausgeben will und sich in das Programm einarbeitet, kann damit aber durchaus gute Ergebnisse erzielen. Das setzt aber einen erfahrenen Nutzer voraus; für die Mutti oder den Opa ist das nicht zu gebrauchen ("Doppelklick? Was ist denn ein Doppelklick? Und wer ist Mo Zilla?").
Wegen genau dieser Ahnungslosigkeit von Otto-Normal-Nutzer fordert die Regierung doch die Einrichtung einer "Anti-Virenzentrale"; quasi ein Bundesweiter Support bei Virenproblemen:
http://www.spiegel.de/netzwelt/web/0,1518,665765,00.html
Wenn es in Deutschland nur User wie uns gäbe, wäre sowas total überflüssig.
(nicht, dass mich das unglaubwürdig macht); vor meiner Zeit als Security Suite-Fanatiker, als ich noch ziemlich unbeholfen beim Thema Sicherheit war (Avira + Sygate auf Windows 98; was sind Updates? 
), da hab ich mir im Ernst mal die Datei(!) brain.exe runtergeladen und mich dann gewundert, warum die nix kann 
. Naja, hab damals regelmäßig Chip und ComputerBild gelesen ... bezeichnend.
