Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Malware Protection Test März 2024

Datum März 2024
Sprache English
Letzte Revision 11. April 2024

File Detection Test mit Execution einschließlich False-Alarm Test


Datum der Veröffentlichung 2024-04-16
Datum der Überarbeitung 2024-04-11
Prüfzeitraum März 2024
Anzahl der Testfälle 10053
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einleitung

Beim Malware Protection Test werden schädliche Dateien auf dem System ausgeführt. Während beim Real-World Protection Test das Internet der Vektor ist, können die Vektoren beim Malware Protection Test z.B. Netzlaufwerke, USB sein oder Szenarien abdecken, bei denen sich die Malware bereits auf dem Datenträger befindet.

Bitte beachten Sie, dass wir nicht empfehlen, ein Produkt nur auf der Grundlage eines einzelnen Tests oder sogar nur eines Merkmals im Test zu kaufen. Vielmehr empfehlen wir den Lesern, auch unsere anderen aktuellen Testberichte zu konsultieren und Faktoren wie Preis, Benutzerfreundlichkeit, Kompatibilität und Support zu berücksichtigen. Die Installation einer kostenlosen Testversion ermöglicht es, ein Programm vor dem Kauf im täglichen Gebrauch zu testen.

Im Prinzip werden Internet-Security Suites für Heimanwender in diesen Test einbezogen. Einige Anbieter haben uns jedoch gebeten, stattdessen ihr (kostenloses) Antivirus-Security-Produkt einzubeziehen.

Geprüfte Produkte

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die in den Produkten verwendet werden: G Data und Total Defense verwenden die Bitdefender Engine. F-Secure und TotalAV verwenden die Avira Engine. AVG verwenden die Avast Engine.

Alle Produkte wurden auf einem aktuellen 64-Bit Microsoft Windows 10 System installiert. Die Produkte wurden Anfang März mit Standardeinstellungen und unter Verwendung der neuesten Updates getestet.

Testverfahren

Der Malware Protection Test bewertet die Fähigkeit eines Security-Programms, ein System vor, während oder nach der Ausführung vor einer Infektion durch schädliche Dateien zu schützen. Die für jedes getestete Produkt angewandte Methodik ist wie folgt: Vor der Ausführung eines Programms werden alle Test-Samples dem On-Access Scan (Scan bei Zugriff) und On-Demand Scan (Scan bei Anforderung) des Security-Produkts unterzogen. Jeder dieser Scans wird zudem einmal offline und einmal online durchgeführt. Alle Samples, die bei diesen Scans, nicht erkannt wurden, werden dann erst mit Internet- bzw. Cloud-Zugang ausgeführt, damit z. B. die Merkmale der Verhaltenserkennung zum Tragen kommen können. Wenn ein Produkt nicht alle von einem bestimmten Malware-Sample vorgenommenen Änderungen innerhalb eines bestimmten Zeitfensters verhindert oder rückgängig macht, gilt dieser Testfall als Fehlschlag. Wird der Nutzer aufgefordert zu entscheiden, ob ein Malware-Sample ausgeführt werden darf, und werden im Falle der schlechtesten Entscheidung Systemänderungen beobachtet, wird der Testfall als „User Dependent“ eingestuft.

Erkennung vs. Schutz

Der File Detection Test, den wir in den vergangenen Jahren durchgeführt haben, war ein reiner Erkennungstest. Das heißt, die Security-Programme wurden nur auf die Fähigkeit getestet, eine schädliche Programmdatei vor der Ausführung zu erkennen. Diese Fähigkeit ist nach wie vor ein wichtiges Merkmal eines Antivirus-Produkts und ist für jeden wichtig, der z.B. prüfen möchte, ob eine Datei harmlos ist, bevor er sie an Freunde, Familie oder Kollegen weiterleitet.

Dieser Malware Protection Test prüft nicht nur die Erkennungsraten, sondern auch die Schutzfunktionen, d.h. die Fähigkeit, ein bösartiges Programm daran zu hindern, tatsächlich Änderungen am System vorzunehmen. In manchen Fällen erkennt ein Antivirus-Programm ein Malware-Sample nicht, wenn es inaktiv ist, wohl aber, wenn es ausgeführt wird. Überdies verwenden einige AV-Produkte eine Verhaltenserkennung, um Versuche eines Programms Systemveränderungen vorzunehmen, die typisch für Malware sind, zu erkennen und diese zu blockieren. Unser Malware Protection Test misst die allgemeine Fähigkeit von Security-Produkten, das System vor, während oder nach der Ausführung von bösartigen Programmen zu schützen. Er ergänzt unseren Real-World Protection Test, der seine Malware-Samples von Live-URLs bezieht, so dass Funktionen wie URL-Blocker zum Einsatz kommen können. Beide Tests umfassen die Ausführung von Malware, die von anderen Funktionen nicht erkannt wird, so dass Funktionen der "letzten Verteidigungslinie" zum Einsatz kommen können.

Ein bedeutender Vorteil von Cloud-Erkennungsmechanismen ist diese: Malware-Autoren sind ständig auf der Suche nach neuen Methoden zur Umgehung von Erkennungs- und Security-Mechanismen. Die Verwendung von Cloud-Erkennungsdiensten ermöglicht es Anbietern, verdächtige Dateien in Echtzeit zu erkennen und zu klassifizieren, um den Nutzer vor derzeit noch unbekannter Malware zu schützen. Die Tatsache, dass Teile der Schutztechnologien in der Cloud verbleiben, verhindert, dass sich Malware-Autoren schnell an diese aktuellen Erkennungsmechanismen anpassen können.

Außerdem ist zu beachten, dass die Wirksamkeit von Antivirus-Produkten je nach Scan-Methode variieren kann. So können einige wenige Produkte bestimmte Bedrohungen bei einem Offline-Scan auf Abruf erkennen, sie aber bei einem Online-Scan auf Abruf oder sogar bei der Ausführung übersehen. Dies könnte auf eine möglicherweise aggressivere Heuristik zurückzuführen sein, die von der lokalen On-Demand-Scan-Engine eingesetzt wird, während sie offline ist. Daher kann es unter bestimmten Umständen und bei bestimmten Produkten von Vorteil sein, regelmäßige Offline-Scans auf Abruf in die Sicherheitsroutine einzubauen. Darüber hinaus ist die Bewertung der Aggressivität und der False-Positives-Raten dieser Erkennungen von entscheidender Bedeutung; die False-Positives-Raten können im Offline-Betrieb höher sein, da eine Whitelist über die Cloud nicht verfügbar ist. Darüber hinaus könnte es von Vorteil sein, wenn solche Anbieter Transparenz darüber schaffen würden, ob bestimmte Erkennungen ausschließlich bei Offline-Scans auf Abruf auftreten, weil sie aggressiver sind und die Cloud-Validierung fehlt.

Testfälle

Der für diesen Test verwendete Testsatz bestand aus 10.053 Malware-Samples, die nach Abfrage von Telemetriedaten mit dem Ziel zusammengestellt wurden, aktuelle, weit verbreitete Samples einzubeziehen, die Nutzer in der Praxis bedrohen. Die Malware-Varianten wurden in Clustern zusammengefasst, um eine repräsentativere Testgruppe zu bilden (d.h. um eine Überrepräsentation ein und derselben Malware in der Gruppe zu vermeiden). Die Sammlung von Proben wurde Mitte Februar 2024 eingestellt. Alle Produkte wurden auf einem aktuellen 64-Bit Microsoft Windows 10 System installiert. Die Produkte wurden Anfang März mit den Standardeinstellungen und unter Verwendung der neuesten Updates getestet.

Ranking-System

Die Malware-Schutzraten werden von den Testern gruppiert, nachdem sie die mit der hierarchischen Clustermethode gebildeten Cluster betrachtet haben (http://strata.uga.edu/software/pdf/clusterTutorial.pdf). Die Tester halten sich jedoch in Fällen, in denen dies nicht sinnvoll wäre, nicht strikt daran. In einem Szenario, in dem alle Produkte niedrige Schutzquoten erreichen, erhalten etwa die Produkte mit den höchsten Werten nicht unbedingt die höchstmögliche Auszeichnung.

Auch die Anzahl der False-Positives kann die Bewertung eines Produkts beeinflussen. Die Prüfer berücksichtigen statistische Methoden bei der Definition von False-Positives (FPs). Die nachstehend aufgeführten FP-Bereiche für die verschiedenen Kategorien können bei Bedarf angepasst werden (z.B. wenn wir die Größe der Sets der sauberen Dateien ändern).

  Schutzrate Cluster/Gruppen
(von den Testern nach Konsultation statistischer Methoden angegeben)
  4 3 2 1
Sehr wenige (0-1 FPs)
Wenig (2-10 FPs)
TESTED STANDARD ADVANCED ADVANCED+
Viele (11-20 FPs) TESTED TESTED STANDARD ADVANCED
Sehr viele (21-40 FPs) TESTED TESTED TESTED STANDARD
Erstaunlich viele (über 40 FPs) TESTED TESTED TESTED TESTED

Offline- vs. Online-Erkennungsraten

Viele der getesteten Produkte nutzen Cloud-Technologien, wie z.B. Reputationsdienste oder cloudbasierte Signaturen, die nur bei einer aktiven Internetverbindung erreichbar sind. Durch die Durchführung von On-Demand- und On-Access Scans sowohl offline als auch online gibt der Test einen Hinweis darauf, wie abhängig jedes Produkt von dem Cloud-Dienst ist und wie gut es das System schützt, wenn keine Internetverbindung verfügbar ist. Wir würden vorschlagen, dass Anbieter von Produkten, die stark von der Cloud abhängig sind, die Nutzer entsprechend warnen sollten, falls die Verbindung zur Cloud unterbrochen wird, da dies den gebotenen Schutz erheblich beeinträchtigen kann. Während wir in unserem Test prüfen, ob die Cloud-Dienste der jeweiligen Security-Anbieter erreichbar sind, sollten sich die Nutzer darüber im Klaren sein, dass die bloße Tatsache, dass sie online sind, nicht unbedingt bedeutet, dass der Cloud-Dienst ihres Produkts erreichbar ist und ordnungsgemäß funktioniert.

Zur Information der Leser und aufgrund häufiger Anfragen von Magazinen und Analysten geben wir auch an, wie viele der Samples von jedem Security-Programm bei den Offline- und Online-Scans erkannt wurden.

OFFLINE
Erkennungsrate
ONLINE
Erkennungsrate
ONLINE
Schutzrate
Fehl-
Alarme
Avast95.6%98.8%99.95%10
AVG95.6%98.8%99.95%10
Avira94.3%98.9%99.95%12
Bitdefender96.1%96.1%99.92%8
ESET93.5%96.3%99.93%10
F-Secure95.7%98.5%99.97%33
G Data96.7%96.7%99.93%10
Kaspersky71.1%91.8%99.90%3
McAfee58.7%98.7%99.91%19
Microsoft63.1%97.5%99.94%18
Norton81.8%98.9%99.97%26
Panda49.1%89.5%99.57%39
Quick Heal44.6%67.4%99.24%157
TotalAV95.7%97.8 %99.94%12
Total Defense96.0%96.0%99.94%15
Trend Micro45.1%84.5%97.10%3

Test-Ergebnisse

Online-Gesamtschutzraten (in Gruppen zusammengefasst):

Bitte beachten Sie auch die Fehlalarmquoten, wenn Sie sich die nachstehenden Schutzquoten ansehen.

BlockedUser-DependentKompromitiertSchutzrate
[Blocked % + (User Dependent % / 2)]
Cluster
F-Secure/Norton10050-399.97%1
Avast/AVG/Avira 10048- 599.95% 1
Microsoft/TotalAV/Total Defense 10047- 699.94% 1
ESET/G-Daten 10046- 799.93% 1
Bitdefender 10045- 899.92% 1
McAfee 10044- 999.91% 1
Kaspersky 10043- 1099.9% 1
Panda 10010- 4399.57% 3
Quick Heal 9977- 7699.24% 3
Trend Micro 9762- 29197.11% 4

Der verwendete Testsatz umfasste 10053 Samples, die in den letzten Wochen gesammelt wurden.

False Positives (False Alarm) Test - Ergebnis

Um die Qualität der Datei-Erkennungsfähigkeiten (Fähigkeit, gute Dateien von schädlichen Dateien zu unterscheiden) von Antivirus-Produkten besser beurteilen zu können, bieten wir einen False-Alarm Test an. False-Positives (FPs) können manchmal genauso viel Ärger verursachen wie eine echte Infektion. Bitte berücksichtigen Sie die Fehlalarmrate bei der Betrachtung der Erkennungsraten, da ein Produkt, das zu Fehlalarmen neigt, leichter höhere Erkennungsraten erreichen kann. In diesem Test wurde ein repräsentativer Satz von sauberen Dateien gescannt und ausgeführt (wie bei Malware).

1.Kaspersky, Trend Micro3wenige FPs
2.Bitdefender8
3.Avast, AVG, ESET, G Data10
4.Avira, TotalAV12 viele FPs
5.Total Defense15
6.Microsoft18
7.McAfee19
8.Norton26 sehr viele FPs
9.F-Secure33
10.Panda39
11.Quick Heal157 auffallend viele

Einzelheiten zu den entdeckten Fehlalarmen (einschließlich der angenommenen Häufigkeit) sind in einem separaten Bericht zu finden, der unter folgender Adresse abrufbar ist: https://www.av-comparatives.org/tests/falscher-alarm-test-märz-2024/

Ein Produkt, das einen hohen Prozentsatz schädlicher Dateien erkennt, aber gleichzeitig Fehlalarme erzeugt, ist nicht unbedingt besser als ein Produkt, das weniger schädliche Dateien erkennt, aber auch weniger Fehlalarme erzeugt.

In diesem Malware Protection Test erreichte Award Level

AV-Comparatives vergibt Ranglistenauszeichnungen, die sowohl auf der Anzahl der Fehlalarme als auch auf der Schutzrate basieren. Da dieser Bericht auch die rohen Erkennungsraten und nicht nur die Awards enthält, können sich erfahrene Benutzer, die sich weniger Sorgen über Fehlalarme machen, natürlich auf die Schutzrate allein verlassen. Einzelheiten zur Vergabe der Awards finden Sie oben.

* Diese Produkte wurden aufgrund der Fehlalarme schlechter bewertet.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2024 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(April 2024)