So werden Antivirus-Tools bei Comparitech getestet

Das Angebot an Antivirenprogrammen kann äußerst verwirrend sein, vor allem wenn man noch nie zuvor ein AV-Tool erworben hat. Um das Ganze transparenter zu gestalten, konzentrieren sich die Comparitech-Reviewer auf die Bereitstellung authentischer interner Bewertungen, wozu sie jedes von uns vorgestellte AV-Tool bezüglich dessen Vertrauenswürdigkeit, Funktionsweise und Gesamtwirksamkeit einer umfassenden Prüfung unterziehen. Wir wiederholen nicht nur, was alle anderen sagen, sondern begutachten und erfassen unsere eigenen Daten anhand von Tests, die realen Gegebenheiten entsprechen.

Wir betrachten die AV-Tools aus der Perspektive der Konsumenten und prüfen dazu die AV-Tools auf Grundlage folgender Aspekte:

  • Effektivität bei der Erkennung von Malware
  • Effektivität beim Entfernen von Malware
  • Preisstruktur und Nachvollziehbarkeit
  • Richtlinien bei der automatischen Verlängerung und Transparenz
  • Auswirkungen auf das System bei Ausführung von Scans
  • Grundlegende Funktionen
  • Erweiterte Funktionen
  • Ergebnisse unabhängiger Testlabors

In diesem Beitrag erläutern wir, wie wir bei allen von Comparitech durchgeführten Antivirus-Prüfungen vorgehen und Tools damit genau unter die Lupe nehmen.

Effektivität bei der Erkennung von Malware

Dies ist zweifellos eines der wichtigsten Bewertungskriterien für AV-Tools, weshalb wir diesem bei der Bewertung auch größeres Gewicht beimessen. In einfachen Worten: Wenn ein AV-Tool Malware nicht erkennen kann oder dessen Erkennungsmechanismus Irregularitäten aufweist, ist das für uns keine gute Anwendung.

Zur Beurteilung der Effektivität bei der Erkennung von Malware betrachten wir zwei Dinge:

  • Praxisnahe Tests mit Test-Malware (sowohl EICAR-Malware als auch echte Malware)
  • Ergebnisse unabhängiger Testlabors

EICAR-Tests

Zur Durchführung unserer praxisnahen Tests beginnen wir zunächst mit EICAR-Testviren. Dabei handelt es sich um allgemein akzeptierte, nicht schädliche Testdateien mit einfachem Code, die für ein AV-Tool jedoch wie Malware aussehen. Wir laden diese Dateien herunter und protokollieren, ob sie sowohl vom Echtzeit-Antivirenscanner als auch von den schnellen bzw. vollständigen Systemscans erkannt werden.

Ein gutes AV-Tool mit effektiver Erkennungssoftware identifiziert und blockiert die von der EICAR-Website vorgenommenen EICAR-Dateidownloads. EICAR bietet mehrere verschiedene Durchläufe unter Einsatz des Testvirus an. Wir mussten feststellen, dass nur wenige Tools tatsächlich in der Lage sind, jede EICAR-Testdatei vor deren Download zu erkennen und zu blockieren.

Avira-Sicherheitswarnmeldung

Um schnelle sowie vollständige Systemscans zu testen, schalten wir in der Regel den Echtzeit-Scanner aus. Auf diese Weise können wir dann die Testvirus-Dateien von EICAR installieren, ohne dass das von uns getestete AV-Tool diese Downloads blockieren könnte. Anschließend führen wir sowohl schnelle als vollständige Systemscans durch und ermitteln, ob die EICAR-Dateien während dieser Scans entdeckt werden.

Im Rahmen von Schnell-Scans erkennen viele AV-Tools einige (aber nicht alle) der EICAR-Testdateien. Die meisten (aber leider nicht alle) sind bei Verwendung vollständiger Systemscans allerdings erfolgreich.

Beispiele für Live-Malware

Dies ist der gefährlichste Teil der Prüfung und wir empfehlen diesen nicht ohne Erfahrung selbst auszuprobieren. Um die Effektivität der von uns geprüften Tools unter authentischeren Bedingungen ermitteln zu können, installieren wir nämlich auch echte Malware. Auf diese Weise testen wir, wie diese Tools solche Malware-Dateien identifizieren und damit umgehen.

Wie bei den EICAR-Testdateien untersuchen wir, ob die von uns geprüften AV-Tools Live-Malware-Samples mit Echtzeitscannern effektiv blockieren können. Da wir nur passwortgeschützte und neutralisierte Malware-Samples auf unseren Testmaschinen installieren, testen wir den Echtzeit-Scanner, indem wir zuerst die Live-Malware-Samples herunterladen und dann die Schutzmaßnahmen entfernen, damit sie als Malware erkannt werden können.

Um die Effektivität der schnellen wie auch der vollständigen Scans zu testen, deaktivieren wir alle Erkennungseinstellungen für das AV-Tool, installieren die Live-Malware und führen dann die Systemscans durch. Um es nochmal zu sagen: Dies ist der riskanteste Teil unserer Tests. Für dieses Live-Malware-Samples nutzende Vorgehen verwenden wir ausschließlich einen Testcomputer in einer Sandbox-Umgebung, der keine Verbindung zum Internet oder zu wichtigen Systemen besitzt, die eine Verbreitung der Malware ermöglichen könnten.

Effektivität beim Entfernen von Malware

Dieses Kriterium ist genauso wichtig wie die Malware-Erkennung. Wir überprüfen die Wirksamkeit jedes Tools in Hinblick auf die Entfernung von Malware unter drei Aspekten:

  • Malware-Scans in Echtzeit
  • Schnelle Scans
  • Vollständige Systemscans

Darüber hinaus untersuchen wir, ob identifizierte Malware nur in Quarantäne genommen oder nach dem abgeschlossenen Scan-Prozess ganz gelöscht wird. Die meisten Tools können beides (zuerst Quarantäne, dann Löschung). Bei einigen ist die Entfernung der Malware allerdings kostenpflichtig. Eine kleine Anzahl an Tools nimmt nur eine Quarantäne vor, woraufhin das Löschen manuell erfolgen muss.

Vollständiger Systemscan von McAfee

Unserer Erfahrung nach identifizieren, isolieren und entfernen die meisten der führenden AV-Tools Malware mithilfe des Echtzeit-Scanners. Diese Tools erledigen alles für Sie und sorgen dafür, dass Ihr System niemals in Kontakt mit Malware gelangt.

Selbst durch Schnell-Scans erkennen und entfernen viele der erstklassigen Tools den Großteil von Malware. In den meisten Fällen ist ein vollständiger Systemscan nur dann erforderlich, wenn ein AV-Schutz auf einem bereits infizierten Computer installiert wird und die Malware dann nachträglich entfernt werden muss.

Preisstruktur und Nachvollziehbarkeit

Bei der Bewertung von AV-Tools auf Grundlage von Preisstruktur und Transparenz stellen wir folgende Fragen:

  • Gibt der Anbieter einen Rabatt im ersten Jahr?
  • Falls dem so ist, wird die nach einem Jahr fällige Preiserhöhungen klar ausgewiesen?
  • Wie viele Geräte deckt eine Lizenz ab?
  • Wie viel Mehrkosten entstehen durch Hinzufügen jedes weiteren Geräts?
  • Wie viele Lizenz- und Zahlungsoptionen bietet der Provider an?

Da diese Aspekte wichtig für die Konsumenten sind, fragen wir danach im Rahmen unserer Beurteilung von Preisstruktur und Transparenz. Die meisten Anbieter von AV-Tools gewähren beispielsweise bei Erstkauf einen Rabatt auf das erste Jahr, doch nicht alle machen die anschließende Preissteigerung deutlich oder geben den Preis für die Verlängerung nicht eindeutig an.

Außerdem existieren Anbieter nicht isoliert voneinander. Bei der Bewertung von Preisstruktur und Transparenz berücksichtigen wir deshalb, wie der Provider und die Leistung des jeweiligen AV-Tools im Vergleich zu anderen abschneiden. Ist ein Service also teuer und zeigt eine schlechte Performance, wirkt sich das potenziell negativ auf die Endbewertung aus.

Beispiele für Zahlungsstrukturen und Transparenz

Unternehmen in diesem Marktsegment verwenden tendenziell eine der beiden Preismodelle:

  • Jährliche Zahlung: Man erwirbt eine Lizenz zur Nutzung der Software für 12 Monate (oder länger, da einige Anbieter eine Lizenz für 2 oder 3 Jahre anbieten).
  • Monatliche Zahlung: Man erwirbt eine Lizenz auf monatlicher Basis, ähnlich wie beim Abonnement eines Streaming-Service (z. B. Netflix).

Unternehmen, die den Kauf einer Mehrjahreslizenz ermöglichen, gewähren manchmal (aber nicht immer) einen Rabatt auf den Kaufpreis. Die meisten Provider, die Pakete für mehrere Geräte anbieten, verfügen auch über Rabatte für zusätzliche Geräte. Aus diesem Grund lohnt es sich, diese näher zu betrachten, wenn einem der jeweils angebotene Service gefällt und man vorhat, die Lizenz nach dem ersten Jahr zu erneuern. Die überwiegende Mehrheit der Anbieter nutzt das jährliche Lizenzmodell.

Intego (hoch bewertet als Mac-Antivirensoftware) und Norton (ein bekannter Name bei den AV-Tools) sind beide ein gutes Beispiel dafür, wie Preisgebung und Transparenz von AV-Produkten in diesem Markt in der Regel funktionieren.

Hier ein Beispiel für die Preisgestaltung von Norton:

Produktpreise von Norton Antivirus

Wenn wir eine Preisgestaltung wie diese sehen, fallen uns vier Dinge auf, die wir im Zuge einer Überprüfung als positiv bezeichnen würden:

  1. Das Unternehmen nennt die Anzahl der abgedeckten Geräte. Jede Lizenzoption gibt an, wie viele Geräte dieses Abonnement einschließt.
  2. Der Preis für die Jahreslizenz ist deutlich ersichtbar. Wenn Sie zwei Preise sehen (einen durchgestrichenen und einen etwas größeren darunter), ist der untere normalerweise der, den Sie im ersten Jahr als Rabattpreis erhalten. Beim durchgestrichenen Preis handelt es sich um den, der nach der Verlängerung des Dienstes fällig ist.
  3. Das Unternehmen verdeutlicht damit, dass der ermäßigte Preis nur für das erste Jahr gilt. Wir bevorzugen eine derartige klare Angabe: unmissverständlich groß, sodass sie – direkt neben dem Preis – kaum zu übersehen ist.
  4. Falls vorhanden, werden verschiedene Lizenztypen angezeigt und es ist klar erkennbar, wie sich ein Wechsel zwischen ihnen preislich auswirkt.

Was Intego betrifft, so bietet das Unternehmen Mehrjahrespreise an. Doch rechnet man nach, stellt sich heraus, dass damit kein Rabatt verbunden ist:

Preisgestaltung von Intego

Zwar würden wir einen Service mit Rabatt bei einem mehrjährigen Abonnement besser bewerten, dennoch lohnt sich auch eine solche Preisgestaltung, da dadurch eine eventuelle Preissteigerung im Vergleich zum jeweiligen Vorjahr vermieden wird.

Richtlinien zur automatischen Verlängerung und Stornierung

Obwohl dieses Thema direkt mit der Preisgestaltung in Verbindung steht, halten wir es für wichtig genug, um es bei der Überprüfung von AV-Tools separat zu behandeln. Bei der überwiegenden Mehrheit der von uns beobachteten Konsumentenbeschwerden geht es nämlich um enorme Preiserhöhungen, sobald der Service automatisch erneuert wird.

Beim Erwerb von Antivirus-Tools erkennen viele entweder nicht, dass ihre Produktlizenz sich automatisch erneuert, oder vergessen, den Service vor der automatischen Verlängerung zu kündigen.

Angesichts der mit diesem Punkt einhergehenden starken emotionalen Verbraucherreaktion schauen wir uns die bei den unterschiedlichen AV-Anbietern geltenden Richtlinien für die automatische Verlängerung und Kündigung ziemlich genau an. In der Tat ist es sogar möglich, dass wir uns gegen einen Dienst entscheiden, wenn wir der Meinung sind, dass dessen verlängerungs- und kündigungsspezifische Richtlinien aggressiv und kundenschädlich sind.

Im Zusammenhang mit diesem Thema stellen sich mehrere produktbezogene Fragen:

  • Wird die Richtlinie für die automatische Verlängerung während des Bestellvorgangs eindeutig dargelegt?
  • Lässt sich vor einem Erwerb die automatische Verlängerung deaktivieren?
  • Ist es möglich, die automatische Verlängerung nach dem Kauf der Software problemlos anzupassen?
  • Werden die Richtlinien zur Kündigung klar dargestellt?
  • Lässt sich das Abonnement auf unkomplizierte Weise kündigen?

Die automatische Verlängerung von Kaspersky

Bei dem Unternehmen ist die automatische Verlängerung standardmäßig aktiviert (nicht das Beste, aber dennoch akzeptabel). Wichtiger ist jedoch, dass Kaspersky an der Kasse unmissverständlich darauf hinweist, dass dies der Fall ist. Man kann auf „Details“ klicken und erhält eine vollständige Erklärung darüber, wie die automatische Verlängerung des Unternehmens funktioniert. Gleichzeitig lässt sich die Option vor dem Lizenzerwerb ausschalten.

Automatische Lizenzverlängerung bei Kaspersky

Wir konnten häufig feststellen, dass Unternehmen mit besseren Richtlinien tendenziell auch über Software verfügen, die eine bessere Performance aufweist. Das überrascht allerdings kaum, da diese Unternehmen im Allgemeinen auch zuversichtlicher sind, dass ihre Kundschaft bei ihnen bleiben will.

Auswirkungen auf das System bei der Ausführung von Scans

Drücken Sie auf Ihrem Windows-System Strg+Alt+Entf und öffnen Sie dann Ihren Task-Manager. Klicken Sie nachfolgend auf Leistung. Sie gelangen zu den grundlegenden Systemressourcen, die Anwendungen bei Ausführung auf Ihrem Computer verwenden. Will man verstehen, welche Auswirkungen ein AV-Tool auf das System – insbesondere beim Ausführen von Scans – hat, sollte man sein Augenmerk vor allem auf Folgendes richten:

  • CPU – Prozentsatz der gesamten Prozessorleistung, die zu einem bestimmten Zeitpunkt verbraucht wird
  • Speicher – ermittelt, wie viel Speicher Ihr System zu einem bestimmten Zeitpunkt nutzt (in Megabyte [MB] oder Gigabyte [GB] für moderne Systeme)
  • Datenträger – Prozentsatz, der die Zeit misst, die Ihre Festplatte für das Lesen und Schreiben von Daten verwendet

AV-Dashboard für PC-Leistung

Antivirenprogramme können Ressourcenfresser sein, insbesondere während der Ausführung von Scans. Schnell-Scans lasten das System eher weniger aus und – wie der Name schon sagt – nehmen nicht viel Zeit in Anspruch. In einigen Fällen können vollständige Scans jedoch mehr als eine Stunde dauern und zu einem massiven Verbrauch von Systemressourcen führen. Dann kann es schwierig sein, andere ressourcenintensive Prozesse (wie z. B. Spiele, Installationen anderer Apps oder selbst das Streamen von Fernsehsendungen oder Filmen) auszuführen.

Je besser und aktueller Ihr System, desto unwahrscheinlicher ist es, dass Scans dazu führen, dass alle Ihre Systemressourcen in Anspruch genommen werden. Wenn jedoch ein Malware-Scan startet und Sie über ein älteres System verfügen oder bereits mehrere andere Prozesse aktiviert haben, kann das ein Problem darstellen.

In solchen Fällen führen wir zum Erhalt einer Baseline vor der Inangriffnahme von Scans einen Leistungstest durch und dann einen weiteren während des eigentlichen Scans. Das hilft uns, die Auswirkungen der einzelnen AV-Tools auf das System besser einschätzen zu können.

Je weniger Ressourcen ein Tool während des Scan-Vorgangs verbraucht, desto besser – aber das ist trotzdem nicht immer das Beste. Wir haben einige AV-Tools gefunden, die kaum eine Auswirkung auf die Systemressourcen zeigen, da sie weder effektiv scannen noch Malware wirkungsvoll entfernen.

Grundlegende Funktionen

Was erwarten Verbrauchende in der Regel von Antivirensoftware? Mindestens die Fähigkeit, Malware zu erkennen und zu entfernen, bevor diese Probleme verursacht. Deshalb achten wir darauf, dass jedes von uns bewertete AV-Tool – unabhängig von der jeweiligen Preisklasse – über die folgenden grundlegenden Funktionen verfügt:

  • Malware-Scans in Echtzeit und Malware-Entfernung
  • Quarantäne von erkannter Malware
  • Sperrung von Phishing-Websites
  • Blockieren beim Herunterladen schädlicher Dateien
  • Möglichkeit zu manuellen oder automatischen Schnell- und Komplett-Scans des Systems

Nur wenige Anbieter sind in diesem Bereich unzulänglich, aber dennoch halten wir dies generell bei allen von uns getesteten Antivirenprogrammen für wichtige Kriterien.

Erweiterte Funktionen

Viele Antiviren-Tools werden in abgestuften Paketen angeboten. Die kostengünstigsten Optionen verfügen in der Regel über die grundlegenden Funktionen, während zusätzliche eventuell etwas mehr kosten. Die Vorstellungen jedes Unternehmens, was „grundlegende“ und „erweiterte“ Funktionen betrifft, variieren natürlich und einige Unternehmen bieten in ihrem Basispaket manchmal Funktionen an, die bei einem anderen nur als Zusatzoptionen verfügbar sind.

Häufig spielen diese erweiterten Funktionen allerdings keine zentrale Rolle bei wichtigen Aufgaben wie Malware-Erkennung und -Entfernung. Aber sie können zusätzliche Sicherheitsebenen hinzufügen, die viele für unerlässlich halten.

Zu den „erweiterten“ Funktionen gehören unter anderem:

Wir legen nicht allzu großen Wert auf erweiterte Funktionen, betrachten sie aber ganzheitlich bei der Überprüfung und Bewertung von Antiviren-Tools. Häufiger kommt es vor, dass Anbieter Funktionen, die wir als wesentlich betrachten, hinter Verschluss halten und nur gegen einen höheren Preis freischalten – und das ist schlecht. Bei einigen Anbietern mussten wir feststellen, dass sie z. B. die Möglichkeit, Dateien unter Quarantäne zu stellen, nur nach Zusatzzahlung zulassen. Das ist eine fürchterliche Geschäftspolitik, die von uns in der Rezension als ein Punkt gewertet wird, der gegen das Unternehmen spricht.

Ergebnisse unabhängiger Testlabors

Einige AV-Tool-Bewertungen basieren ihre Bewertungen ausschließlich auf unabhängige Testergebnisse. Bei Comparitech verwenden wir solche nur, um unsere eigenen Tests zu bestätigen. Dabei sehen wir oft, dass unabhängige Testlabors wie AV-TEST.org und AV-Comparatives zu den gleichen Resultaten gelangen.

Diese Labors führen zwar viel größere und umfangreichere Tests mit AV-Tools durch, als wir dies intern tun, aber sie testen die meisten AV-Tools nur sporadisch. Einige der Tools, die wir getestet und überprüft haben, wurden von unabhängigen AV-Labors seit mehreren Jahren nicht mehr unter die Lupe genommen.

Die Ergebnisse von AV-Testlabors sind ein guter Indikator für die Effektivität dieser Tools, und wir empfehlen Ihnen, diese Resultate neben unseren eigenen zu prüfen. Außerdem spielen die Ergebnisse der Testlabors eine kleine, aber wichtige Rolle in unseren Bewertungskriterien.

Wenn Sie eine Lizenz für ein Antivirenprogramm erwerben möchten, raten wir Ihnen, sich unsere aktuellen, die besten Antivirenprogramme für Windows– und Mac-Computer betreffenden Zusammenfassungen anzuschauen.