Falscher Alarm Test September 2025

Einleitung

Dieser Bericht ist als Ergänzung im Test zum Schutz vor Malware September 2025 zu finden und bietet eine Auflistung von Details zu den entdeckten Fehlalarmen.

Bei AV-Tests ist es wichtig, nicht nur die Erkennungsfähigkeit, sondern auch die Zuverlässigkeit zu messen. Ein Aspekt der Zuverlässigkeit ist die Fähigkeit, saubere Dateien als solche zu erkennen und keine Fehlalarme (False Positives) zu produzieren. Kein Produkt ist vor False Positives (FPs) gefeit, aber einige produzieren mehr als andere. False-Positives-Tests messen, welche Programme in dieser Hinsicht am besten abschneiden, d.h. saubere Dateien trotz ihres Kontexts von bösartigen Dateien unterscheiden können. Da es keine vollständige Sammlung aller legitimen Dateien gibt, kann kein "ultimativer" Test auf FPs durchgeführt werden. Was getan werden kann und sinnvoll ist, ist die Erstellung und Verwendung einer Reihe von sauberen Dateien, die unabhängig voneinander gesammelt werden. Wenn bei Verwendung eines solchen Samples ein Produkt z.B. 15 FPs aufweist und ein anderes nur 2, ist es wahrscheinlich, dass das erste Produkt anfälliger für FPs ist als das andere. Das bedeutet nicht, dass das Produkt mit 2 FPs insgesamt nicht mehr als 2 FPs hat, aber die relative Anzahl ist wichtig. Unserer Ansicht nach sollten Antivirus-Produkte keine Fehlalarme bei sauberen Dateien erzeugen, unabhängig von der Anzahl der betroffenen Nutzer. Auch wenn einige Antivirus-Hersteller das Risiko von Fehlalarmen herunterspielen und das Risiko von Malware übertreiben, stützen wir uns bei der Produktbewertung nicht nur auf die angebliche Häufigkeit von Fehlalarmen. Wir tolerieren derzeit eine bestimmte Anzahl von Fehlalarmen (derzeit 10) innerhalb unseres sauberen Sets, bevor wir die Bewertungen abwerten. Bei Produkten, die eine höhere Anzahl von Fehlalarmen aufweisen, ist es wahrscheinlicher, dass sie Fehlalarme bei häufigeren Dateien oder in anderen Gruppen von sauberen Dateien auslösen. Die Prävalenzdaten, die wir für bereinigte Dateien bereitstellen, dienen nur zu Informationszwecken. Die angegebene Prävalenz kann innerhalb des Berichts variieren, je nachdem, welche Datei/Version den Fehlalarm ausgelöst hat oder wie viele Dateien der gleichen Art betroffen waren. Es kann Unterschiede in der Anzahl der Fehlalarme geben, die von zwei verschiedenen Programmen erzeugt werden, die dieselbe Erkennungsmaschine verwenden. Beispielsweise kann Anbieter A seine Erkennungs-Engine an Anbieter B lizenzieren, dennoch kann das Produkt von Anbieter A mehr oder weniger Fehlalarme aufweisen als das Produkt von Anbieter B. Solche Diskrepanzen könnten auf verschiedene Faktoren zurückzuführen sein, darunter Unterschiede in den internen Einstellungen, zusätzliche oder unterschiedliche sekundäre Engines/Signaturen/Whitelist-Datenbanken/Cloud-Dienste/Qualitätssicherung und mögliche Verzögerungen bei der Bereitstellung von Signaturen für Produkte von Drittanbietern.

Manchmal versuchen einige Anbieter zu bestreiten, warum bestimmte saubere oder nicht bösartige Software/Dateien blockiert oder erkannt werden. Zu den Erklärungen gehören: die Software ist unbekannt oder zu neu und muss noch auf die Whitelist gesetzt werden, die Erkennung nicht aktueller/alter Versionen aufgrund der Verfügbarkeit neuerer Softwareversionen, die begrenzte Nutzung innerhalb ihrer Benutzerbasis, das völlige Fehlen von Benutzerberichten über Fehlalarme (was darauf hindeutet, dass es bei ihnen keine Fehlalarme gibt), Fehler in der sauberen Software (z. B., eine Anwendung, die unter bestimmten Umständen abstürzt), Fehler oder fehlende Informationen in den Endnutzer-Lizenzvereinbarungen, die in einigen Ländern illegal sind (z. B. eine fehlende/unklare Offenlegung der Datenübertragung), subjektive Probleme mit der Benutzeroberfläche (z. B., fehlende Option, das Programm in der Taskleiste zu schließen), Software, die nur in bestimmten Sprachen verfügbar ist (z. B. Chinesisch), die Annahme, dass es sich bei der Datei um Malware handeln muss, weil andere Hersteller sie mit Hilfe eines Multi-Scanning-Dienstes erkennen (Nachahmungstaten, die wir leider immer häufiger beobachten), oder Probleme mit nicht verwandter Software desselben Herstellers/Vertreibers vor vielen Jahren. Würden diese Regeln konsequent angewandt, würde fast jede saubere Software irgendwann als Malware eingestuft werden. Solche Streitgründe sind oft nicht stichhaltig und werden daher abgelehnt. Antivirenprodukte könnten die Kontrolle und das Verständnis der Benutzer verbessern, indem sie Optionen wie die Filterung auf der Grundlage der Sprache oder der Gültigkeit der EULA anbieten und klare Erklärungen für die Erkennungen liefern, anstatt sie pauschal als Malware einzustufen. Dies würde es den Benutzern ermöglichen, die Gründe für die Erkennung besser zu verwalten und zu verstehen. Letztendlich geht es nicht darum, welche spezifische Datei falsch eingestuft wird, sondern darum, dass sie falsch eingestuft wird. Mit laxen Signaturen/Heuristiken ist es ein Leichtes, eine hohe Malware-Erkennungsrate zu erreichen, wenn dies auf Kosten von False Positives geschieht. Obwohl wir hier sogar die Häufigkeit der Dateien auflisten, können dieselben Erkennungsregeln, die bei einigen seltenen Dateien diese FPs verursachen, auch die Ursache für einen großen FP-Fall sein, wenn die Erkennungssignaturen/Heuristiken nicht richtig korrigiert/angepasst werden.

Alle aufgeführten Fehlalarme traten zum Zeitpunkt der Prüfung auf. Falsche Alarme, die durch unverschlüsselte Datenblöcke in Antiviren-Dateien verursacht wurden, wurden nicht gezählt. Wenn ein Produkt mehrere Fehlalarme hatte, die zur gleichen Anwendung gehören, wird es hier nur als ein Fehlalarm gezählt. Cracks, Keygens oder andere höchst fragwürdige Tools werden hier nicht als Fehlalarme gezählt.

Um dem Benutzer mehr Informationen über die Fehlalarme zu geben, versuchen wir, die Häufigkeit der Fehlalarme zu bewerten. Dateien, die digital signiert wurden, werden als wichtiger eingestuft. Daher wird eine Datei mit der niedrigsten Prävalenzstufe (Stufe 1) und einer gültigen digitalen Signatur auf die nächste Stufe hochgestuft (z.B. Prävalenz "Stufe 2"). Erloschene Dateien, die laut mehreren Telemetriequellen eine Prävalenz von Null aufwiesen, wurden den Anbietern zur Verfügung gestellt, um sie zu beheben, wurden aber auch aus dem Satz entfernt und nicht als Fehlalarm gewertet.

Die Prävalenz wird in fünf Kategorien angegeben und mit den folgenden Farben gekennzeichnet:

Level		Geschätzte Anzahl der betroffenen User	Kommentare
1		Wahrscheinlich weniger als Hundert User	Einzelfälle, alte oder selten genutzte Dateien, sehr geringe Prävalenz
2		Wahrscheinlich mehrere Hundert User	Die initiale Verbreitung solcher Dateien war wahrscheinlich viel höher, aber die derzeitige Nutzung auf aktuellen Systemen ist geringer (trotz ihres Vorhandenseins), weshalb auch bekannte Software nur noch eine Verbreitung von einigen Hundert oder Tausend Nutzern haben bzw. betreffen.
3		Wahrscheinlich mehrere Tausend User
4		Wahrscheinlich mehrere Zehntausend (oder mehr) User
5		Wahrscheinlich mehrere Hunderttausend oder Millionen User	Solche Fälle werden bei einem False-Alarm Test, der zu einem bestimmten Zeitpunkt durchgeführt wird, wahrscheinlich sehr viel seltener auftreten, da solche Dateien in der Regel entweder auf einer Whitelist stehen oder sehr schnell bemerkt und behoben werden würden.

Die meisten Fehlalarme werden wahrscheinlich (hoffentlich) in die ersten beiden Kategorien fallen.

False Positives (FPs) sind ein wichtiger Maßstab für die Bewertung der Qualität von Antivirenprogrammen. Darüber hinaus sind solche Tests notwendig, um zu verhindern, dass Hersteller ihre Produkte nur für ein gutes Abschneiden in Tests optimieren. Daher werden Fehlalarme auf die gleiche Weise bewertet und getestet wie Malware-Tests. Ein einziger FP-Bericht eines Kunden kann einen beträchtlichen Aufwand an Technik und Support auslösen, um das Problem zu beheben, was manchmal zu Datenverlusten oder zur Nichtverfügbarkeit des Systems führt. Selbst scheinbar unbedeutende FPs (oder FPs bei älteren Anwendungen) verdienen Aufmerksamkeit, da sie auf zugrundeliegende Probleme im Produkt hinweisen können, die möglicherweise FPs bei wichtigeren Dateien verursachen können. Nachfolgend finden Sie Informationen zu den Fehlalarmen, die in unserer unabhängigen Gruppe von sauberen Dateien beobachtet wurden. Rot markierte Einträge weisen auf Fehlalarme bei Dateien hin, die digital signiert wurden.

Geprüfte Produkte

• Avast Free Antivirus 25.8
• AVG AntiVirus Free 25.8
• Avira Free Security 1.1
• Bitdefender Total Security 27.0
• ESET HOME Security Essential 18.2
• F-Secure Internet Security 25.8
• G DATA Total Security 25.5
• K7 Total Security 16.0
• Kaspersky Premium 21.22
• Malwarebytes Premium 5.3
• McAfee Total Protection 1.28
• Microsoft Defender Antivirus 4.18
• Norton Antivirus Plus 25.8
• Panda Free Antivirus 22.03
• Quick Heal Total Security 25.0
• Total Defense Essential Anti-Virus 14.0
• TotalAV Antivirus Pro 6.2
• Trend Micro Internet Security 17.8
• VIPRE Advanced Security 12.0

Test-Ergebnisse

Um die Qualität der Datei-Erkennungsfähigkeiten (Fähigkeit, gute Dateien von schädlichen Dateien zu unterscheiden) von Antivirus-Produkten besser beurteilen zu können, bieten wir einen False-Alarm Test an. False-Positives (FPs) können manchmal genauso viel Ärger verursachen wie eine echte Infektion. Bitte berücksichtigen Sie die Fehlalarmrate bei der Betrachtung der Erkennungsraten, da ein Produkt, das zu Fehlalarmen neigt, leichter höhere Erkennungsraten erreichen kann. In diesem Test wurde ein repräsentativer Satz von sauberen Dateien gescannt und ausgeführt (wie bei Malware).

1.	Kaspersky	3	wenige FPs
2.	Trend Micro	6
3.	Bitdefender, Total Defense	7
4.	Avast, AVG, K7, Norton	8
5.	ESET, G Data	10
6.	VIPRE	17	viele FPs
7.	Quick Heal	23	sehr viele FPs
8.	Microsoft	27
9.	Malwarebytes	28
10.	Avira, F-Secure, TotalAV	45	auffallend viele FPs
11.	McAfee	46
12.	Panda	85

Ein Produkt, das einen hohen Prozentsatz schädlicher Dateien erkennt, aber gleichzeitig Fehlalarme erzeugt, ist nicht unbedingt besser als ein Produkt, das weniger schädliche Dateien erkennt, aber auch weniger Fehlalarme erzeugt.

Die dargestellten Erkennungsnamen stammen in erster Linie aus Scan-Protokollen vor der Ausführung, sofern verfügbar. Wenn eine Bedrohung während oder nach der Ausführung blockiert wurde oder wenn kein eindeutiger Erkennungsname ermittelt werden konnte, wird in der Spalte "Erkannt als" "Blockiert" angegeben.

Details zu den aufgedeckten Fehlalarmen

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2025 von AV-Comparatives ®. Jegliche Nutzung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, aber eine Haftung für die Richtigkeit der Testergebnisse kann von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, der Testdokumente oder der damit verbundenen Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Oktober 2025)