Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Real-World Protection Test August-November 2010

Datum November 2010
Sprache Deutsch
Letzte Revision 10. Dezember 2010

Datum der Veröffentlichung 2010-12-15
Datum der Überarbeitung 2010-12-10
Prüfzeitraum August - November 2010
Anzahl der Testfälle 1968
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows
Methodik Klicken Sie hier

Einführung

Die Bedrohung durch bösartige Software wächst von Tag zu Tag. Nicht nur die Zahl der Schadprogramme nimmt zu, auch die Art der Bedrohungen selbst ändert sich rapide. Die Art und Weise, wie Schadcode auf Computer gelangt, ändert sich von einfachen dateibasierten Methoden hin zur Verbreitung über das Internet. Malware infiziert PCs zunehmend, indem Benutzer z. B. dazu verleitet werden, infizierte Webseiten zu besuchen, bösartige Software zu installieren oder E-Mails mit bösartigen Anhängen zu öffnen.

Der Schutzumfang von Antivirenprogrammen wird durch die Einbeziehung von z.B. URL-Blockern, Content-Filterung, Anti-Phishing-Maßnahmen und benutzerfreundlichen Verhaltensblockern erweitert. Wenn diese Funktionen perfekt auf die signaturbasierte und heuristische Erkennung abgestimmt sind, erhöht sich der Schutz vor Bedrohungen.

Trotz dieser neuen Technologien ist es nach wie vor sehr wichtig, dass die signaturbasierten und heuristischen Erkennungsfähigkeiten von Antivirenprogrammen weiterhin getestet werden. Gerade wegen der neuen Bedrohungen werden auch die signaturbasierten/heuristischen Erkennungsmethoden immer wichtiger. Die zunehmende Häufigkeit von Zero-Day-Angriffen bedeutet, dass die Gefahr einer Malware-Infektion steigt. Wird diese nicht durch "konventionelle" oder "nicht-konventionelle" Methoden abgefangen, wird der Computer infiziert, und nur durch einen On-Demand-Scan mit signatur- und heuristikbasierter Erkennung kann die Malware gefunden und hoffentlich entfernt werden. Die zusätzlichen Schutztechnologien bieten auch keine Möglichkeit, vorhandene Datenspeicher auf bereits infizierte Dateien zu überprüfen, die sich auf den Dateiservern vieler Unternehmen befinden. Diese neuen Sicherheitsebenen sollten als Ergänzung zu guten Erkennungsraten verstanden werden, nicht als Ersatz.

Bei diesem Test tragen alle Funktionen des Produkts zum Schutz bei, nicht nur ein Teil (wie Signaturen/heuristisches Dateiscanning). Die Schutzleistung sollte also höher sein als beim Testen nur von Teilen des Produkts. Wir würden empfehlen, dass alle Teile eines Produkts eine hohe Erkennungsleistung aufweisen, nicht nur einzelne Komponenten (z. B. schützt die URL-Sperre nur beim Surfen im Internet, aber nicht vor Malware, die auf anderem Wege eingeschleust wurde oder bereits auf dem System vorhanden ist).

Der Whole-Product-Dynamic-Test ist ein Projekt von AV-Comparatives und der Universität Innsbruck, Fakultät für Informatik und Quality Engineering. Es wird teilweise von der österreichischen Regierung unterstützt. Einige Details über den Testprozess können nicht offengelegt werden, da sie von den Anbietern leicht dazu missbraucht werden könnten, die Testsysteme zu manipulieren.

Die folgenden Produkte nehmen an der offiziellen Whole-Product-Dynamic-Haupttestreihe teil. Wir können auch andere Produkte testen, die nicht Teil der Haupttestserie sind, aber nur separat und für einen begrenzten Zeitraum. Bei dieser Art von Test haben wir in der Regel Internet Security Suites einbezogen, obwohl auch andere Produktversionen geeignet wären, denn getestet wird der "Schutz", den die verschiedenen Produkte gegen eine Reihe von realen Bedrohungen bieten. Die wichtigsten Produktversionen, die für die monatlichen Testläufe verwendet wurden:

Geprüfte Produkte

Testverfahren

Das Testen von Hunderten von URLs pro Tag mit Dutzenden von Antivirenprogrammen ergibt insgesamt Tausende von URL-Tests, und nur ein hoher Grad an Automatisierung macht dies möglich. Diese Automatisierung wurde gemeinsam mit dem Institut für Informatik der Universität Innsbruck und AV-Comparatives entwickelt.

Im Laufe des Jahres mussten wir mehrere Änderungen an den automatisierten Systemen vornehmen, um einige AV-Anbieter zu umgehen und zu verhindern, dass sie versuchen, das System zu manipulieren. Außerdem mussten wir unsere Tools aufgrund unangekündigter Änderungen an den Sicherheitsprodukten, die die Erstellung automatisierter Systeme erschwerten, aktualisieren/umschreiben. Aus diesem Grund hat sich der Start unseres dynamischen Gesamtprodukttests etwas verzögert. Wir bitten die Hersteller, uns im Falle von Produktänderungen, die sich auf die automatisierten Testsysteme auswirken können, im Voraus zu informieren.

Vorbereitung auf Testreihen

Jedes zu pr�fende Antivirenprogramm wird auf einem eigenen Testrechner installiert (bitte beachten Sie, dass der hier verwendete Begriff „Antivirenprogramm“ auch eine vollst�ndige Internet Security Suite bedeuten kann). Alle Computer sind mit dem Internet verbunden, jeder mit seiner eigenen externen IP-Adresse. Das System wird eingefroren, wobei das Betriebssystem und das Antivirenprogramm installiert sind.

Labor-Setup

Der gesamte Test wird auf echten Workstations durchgeführt. Wir verwenden keine Art von Virtualisierung. Jede Workstation hat eine eigene Internetverbindung mit einer eigenen externen IP. Wir haben spezielle Vereinbarungen mit mehreren Providern (Failover-Clustering und keine Blockierung des Datenverkehrs), um eine stabile Internetverbindung zu gewährleisten. Die Tests werden mit einer Live-Internetverbindung durchgeführt. Wir haben die notwendigen Vorkehrungen getroffen (mit speziell konfigurierten Firewalls usw.), um andere nicht zu schädigen (d. h. um keine Ausbrüche zu verursachen).

Hardware und Software

Für diesen Test haben wir identische Workstations, ein IBM Bladecenter und Network Attached Storage (NAS) verwendet.

  Anbieter Typ CPU RAM Festplatte
Workstations Fujitsu E3521 E85+ Intel Core2 Duo 4 GB 80 GB
BladeCenter IBM E Fahrgestell
Klingen IBM LS200 AMD Dual Opteron 8 GB 76 GB
NAS QNAP TS-859U-RP Atom Dual Core 1 GB 16 TB Raid 6

Die Tests werden unter Windows XP SP3 ohne weitere Updates durchgeführt. Weitere installierte (anfällige) Software umfasst:

Anbieter Produkt Version   Anbieter Produkt Version
Adobe Flash Player ActiveX 10.1 Microsoft Internet Explorer 7
Adobe Flash Player Plug-In 10 Microsoft Bürofachkraft 2003
Adobe Acrobat Reader 8.0 Microsoft .NET-Rahmenwerk 3.5
      Sonne Java 6.0.140

Settings

Wir verwenden jede Sicherheitssuite mit ihren Standardeinstellungen (Out-of-the-Box). Wenn Benutzerinteraktionen erforderlich sind, wählen wir die Standardoption. Unser dynamischer Test für das gesamte Produkt zielt darauf ab, reale Bedingungen zu simulieren, wie sie von den Benutzern täglich erlebt werden. Wenn es also keine vordefinierte Aktion gibt, werden wir immer dieselbe Aktion verwenden, wenn wir die Warnung/Meldung als sehr klar und eindeutig ansehen. Wenn die Meldung dem Benutzer die Entscheidung überlässt, kennzeichnen wir sie als solche, und wenn die Meldung sehr vage, irreführend oder sogar vertrauenserweckend ist, z. B. in Bezug auf eine bösartige Datei/URL/ein bösartiges Verhalten, betrachten wir sie als Fehlschlag, wie es der normale Benutzer tun würde. Wir betrachten einen Schutz als gegeben, wenn das System nicht kompromittiert ist. Das bedeutet, dass die Malware nicht ausgeführt wird (oder entfernt/beendet wurde) und es keine signifikanten/schädlichen Systemänderungen gibt. Eine Warnung der Outbound-Firewall über einen laufenden Malware-Prozess, in der gefragt wird, ob der Datenverkehr vom Arbeitsplatz des Benutzers zum Internet blockiert werden soll, ist zu wenig, zu spät und wird von uns nicht als Schutz angesehen.

Vorbereitung auf jeden Prüfungstag

Jeden Morgen werden alle verfügbaren Antiviren-Software-Updates heruntergeladen und installiert, und es wird ein neues Basis-Image für diesen Tag erstellt. Dadurch wird sichergestellt, dass, selbst wenn das Antivirenprogramm im Laufe des Tages kein größeres Update durchführen kann, es zumindest die Updates des Morgens verwendet, wie es auch in der realen Welt der Fall wäre.

Prüfzyklus für jede schädliche URL

Zunächst einmal geht es um die Recherche. Mit unserem eigenen Crawler durchsuchen wir das Web ständig nach bösartigen Websites. Wir konzentrieren uns nicht auf Zero-Day-Malware/Exploits (obwohl es möglich ist, dass diese auch im URL-Pool vorhanden sind); wir suchen nach bösartigen Websites, die derzeit im Netz sind und eine Bedrohung für den normalen Benutzer darstellen. Vor dem Aufrufen jeder neuen bösartigen URL/jedes neuen Testfalls aktualisieren wir die Programme/Signaturen. Neue Hauptproduktversionen werden einmal pro Monat installiert, deshalb geben wir in jedem Monatsbericht nur die Hauptversionsnummer des Produkts an. Unsere Testsoftware beginnt mit der Überwachung des PCs, so dass alle Änderungen, die die Malware vornimmt, aufgezeichnet werden. Außerdem überprüfen die Erkennungsalgorithmen, ob das Antivirenprogramm die Malware erkennt. Nach jedem Testfall wird der Rechner in seinen sauberen Zustand zurückversetzt.

Protection

Sicherheitsprodukte sollten den PC des Benutzers schützen. Es ist nicht sehr wichtig, in welchem Stadium der Schutz stattfindet. Dies kann entweder während des Besuchs der Website (z. B. Schutz durch URL-Blocker), während ein Exploit versucht, ausgeführt zu werden, während die Datei heruntergeladen/erstellt wird oder während die Malware ausgeführt wird (entweder durch den Exploit oder durch den Benutzer). Nachdem die Malware ausgeführt wurde (falls sie nicht vorher blockiert wurde), warten wir einige Minuten auf bösartige Aktionen und geben z. B. Verhaltensblockern Zeit, zu reagieren und die von der Malware ausgeführten Aktionen zu korrigieren. Wenn die Malware nicht erkannt wird und das System tatsächlich infiziert/kompromittiert ist, geht der Prozess zu "Malware nicht erkannt" über. Wenn eine Benutzerinteraktion erforderlich ist und es dem Benutzer obliegt, zu entscheiden, ob etwas bösartig ist, und im Falle der schlechtesten Benutzerentscheidung das System kompromittiert wird, stufen wir dies als "benutzerabhängig" ein. Daher können die gelben Balken in der Ergebnisgrafik entweder als geschützt oder nicht geschützt interpretiert werden (es liegt in der Hand des Benutzers).

Aufgrund des dynamischen Charakters des Tests, der reale Bedingungen nachahmen soll, und aufgrund der Funktionsweise verschiedener Technologien (wie Cloud-Scanner, Reputationsdienste usw.) können solche Tests nicht wie z. B. statische Erkennungsraten-Tests wiederholt oder reproduziert werden. Dennoch versuchen wir, so viel wie möglich zu protokollieren, um unsere Erkenntnisse und Ergebnisse zu belegen. Die Anbieter sind aufgefordert, nützliche Protokolle in ihren Produkten zur Verfügung zu stellen, die ihnen die gewünschten zusätzlichen Beweise/Daten liefern können. Die Anbieter hatten nach jedem Testmonat ein bis zwei Wochen Zeit, unsere Schlussfolgerungen zu den kompromittierten Fällen anzufechten, so dass wir erneut prüfen konnten, ob es vielleicht Probleme bei der Automatisierung oder bei unserer Analyse der Ergebnisse gab.

Bei Cloud-Produkten werden nur die Ergebnisse berücksichtigt, die die Produkte zum Zeitpunkt der Prüfung hatten; manchmal sind die von den Sicherheitsanbietern bereitgestellten Cloud-Dienste aufgrund von Fehlern oder Wartungsarbeiten der Anbieter nicht verfügbar, aber dies wird den Nutzern von den Anbietern oft nicht mitgeteilt/mitgeteilt. Dies ist auch ein Grund, warum Produkte, die sich zu sehr auf Cloud-Dienste verlassen, riskant sein können, da in solchen Fällen die von den Produkten gebotene Sicherheit erheblich abnehmen kann. Cloud-Signaturen/Erkennung/Reputation sollten in die Produkte implementiert werden, um die anderen Schutzfunktionen (wie lokale Echtzeit-Scan-Erkennung und Heuristik, Verhaltensblocker usw.) zu ergänzen und nicht vollständig zu ersetzen, da z. B. Offline-Cloud-Dienste bedeuten, dass die PCs höheren Risiken ausgesetzt sein können.

Quelle der Testfälle

Wir verwenden unser eigenes Crawling-System, um kontinuierlich nach bösartigen Websites zu suchen und bösartige URLs zu extrahieren (einschließlich gespammter bösartiger Links). Wir suchen auch manuell nach bösartigen URLs. Wenn unser interner Crawler an einem Tag nicht genügend gültige bösartige URLs findet, haben wir einige externe Forscher beauftragt, zusätzliche bösartige URLs exklusiv für AV-Comparatives bereitzustellen. Obwohl wir Zugang zu URLs haben, die zwischen Anbietern und anderen öffentlichen Quellen ausgetauscht werden, verwenden wir diese nicht für die Tests.

Testfälle

Wir konzentrieren uns nicht auf Zero-Day-Exploits/Malware, sondern auf aktuelle und relevante Malware, die derzeit im Umlauf ist und für Benutzer problematisch ist. Wir versuchen, etwa 30-50% URLs aufzunehmen, die direkt auf Malware verweisen. Zum Beispiel, wenn der Benutzer durch Social-Engineering dazu verleitet wird, Links in Spam-Mails oder auf Websites zu folgen, oder wenn der Benutzer dazu verleitet wird, einen Trojaner oder eine andere Schurkensoftware zu installieren. Der Rest/größere Teil waren Exploits / Drive-by-Downloads. Diese scheinen in der Regel durch Sicherheitsprodukte gut abgedeckt zu sein.

Bei dieser Art von Tests ist es sehr wichtig, genügend Testfälle zu verwenden. Wenn bei Vergleichstests eine unzureichende Anzahl von Stichproben verwendet wird, deuten Unterschiede in den Ergebnissen möglicherweise nicht auf tatsächliche Unterschiede zwischen den getesteten Produkten hin.

Test-Ergebnisse

Nachstehend finden Sie eine Übersicht über die einzelnen Testmonate:

August 2010 - 304 Testfälle

September 2010 - 702 Testfälle

Oktober 2010 - 454 Testfälle

November 2010 - 508 Testfälle

Wir geben in diesem Bericht absichtlich keine genauen Zahlen für die einzelnen Monate an, um zu vermeiden, dass kleine Unterschiede von 1-2 Fällen dazu missbraucht werden, um zu behaupten, dass ein Produkt in einem bestimmten Monat und bei einer bestimmten Testmenge besser ist als das andere. Wir geben die Gesamtzahlen in der Zusammenfassung an, wo die Größe des Testsatzes größer ist und mehr signifikante Unterschiede beobachtet werden können.

False Positives (False Alarm) Test - Ergebnis

Der Fehlalarmtest im Rahmen der Gesamtproduktdynamikprüfung besteht aus zwei Teilen:

  • Falsche Alarme bei Domänen (beim Browsen)
  • Falsche Alarme bei Dateien (während des Herunterladens/Installierens)

Es ist notwendig, beide Szenarien zu testen, da das Testen nur eines der beiden oben genannten Fälle Produkte benachteiligen könnte, die sich hauptsächlich auf eine Art von Schutzmethode konzentrieren, entweder z. B. URL/Reputationsfilterung oder z. B. auf Zugriff/Verhalten/Reputation basierenden Dateischutz.

Falsche Alarme bei Domänen (beim Browsen)

Für diesen Falschalarm-Test haben wir Domains verwendet, die in der Google Top1000-Seitenliste vom August 2010 aufgeführt sind. Wir haben diese Top-Level-Domains zweimal getestet, im September und im Oktober. Nicht-bösartige Domains, die zu irgendeinem Zeitpunkt (entweder im September oder im Oktober) blockiert wurden, wurden als FPs gezählt (da sie niemals hätten blockiert werden dürfen). Alle unten aufgeführten Websites gehören zu den beliebtesten Websites im Web (auf der Alexa-Rangliste zwischen Platz ~300 und ~3000 weltweit).

Die unten aufgeführten Domains wurden den jeweiligen Anbietern zur Überprüfung gemeldet und sind nun nicht mehr blockiert. Wir zeigen die Domains nicht an, da wir nicht wissen, ob sie in Zukunft noch sauber sein werden (und wir wollen auch keine Werbung für diese Domains machen).

Durch die Blockierung ganzer Domains wie in den unten genannten Fällen verursachen die Sicherheitsprodukte (neben der Schädigung des Rufs der Website) einen potenziellen finanziellen Schaden für die Domaininhaber, einschließlich des Verlusts von z. B. Werbeeinnahmen. Aus diesem Grund empfehlen wir den Anbietern dringend, ganze Domänen nur dann zu blockieren, wenn der einzige Zweck der Domäne darin besteht, bösartigen Code zu tragen/zu liefern, und ansonsten nur die bösartigen Seiten zu blockieren (sofern sie tatsächlich bösartig sind).

Von den getesteten Anbietern hatten die folgenden Anbieter während des Testzeitraums FPs in den getesteten Bereichen:

F-Secure 1 FP
G Data 1 FP
Panda 1 FP
PCTOOLS 4 FP
Symantec 1 FP
Trend Micro 4 FP

Einige weitere Websites wurden von verschiedenen Produkten blockiert, aber dieses Mal nicht als FPs gezählt. In diesen Fällen handelte es sich hauptsächlich um Websites oder Download-Portale, die derzeit noch Adware oder nicht lizenzierte Software usw. hosten/vermarkten. Viele Produkte blockieren weiterhin Websites, auch wenn diese nicht mehr bösartig sind und bereits seit einiger Zeit bereinigt wurden. Dies geschieht auch bei beliebten Websites, aber natürlich noch mehr bei weniger beliebten/verbreiteten Websites, wobei die Gefahr besteht, dass die Sicherheitsprodukte zu einem Webzensurinstrument werden, das bei der Sperrung von Websites zu weit geht (auf der Grundlage dessen, was der Sicherheitsanbieter als Risiko oder potenziell unerwünschten Inhalt für den Benutzer betrachtet). Es wäre viel besser, wenn das Produkt nur den Zugriff auf den bösartigen Teil/die bösartige Datei sperren würde, anstatt eine ganze Website/Domain zu blockieren, die an sich nicht bösartig ist (z. B. keine Drive-by-/Exploits usw. enthält), es sei denn, der Benutzer wünscht und aktiviert z. B. eine Kindersicherungseinstellung oder ähnliches. Produkte, die dazu neigen, URLs z. B. auf der Grundlage ihrer Reputation zu blockieren, sind möglicherweise anfälliger für dieses Problem und schneiden in Schutztests auch besser ab, da sie viele unbeliebte und seltsam aussehende Websites blockieren. Eine weitere Option für künftige FP-Tests könnte darin bestehen, solche URLs zu verwenden, die bei Malware-Tests als "clean" oder "down" verworfen werden.

Derzeit wird in der AV-Branche darüber diskutiert, wann und unter welchen Umständen eine gesperrte Website, die an sich nicht oder nicht mehr bösartig ist, als "Fehlalarm" betrachtet werden kann, da die Meinungen selbst unter den Anbietern auseinandergehen. Wir werden das Ergebnis dieser Diskussion abwarten und prüfen, ob dies auch aus Sicht der Nutzer sinnvoll ist.

Falsche Alarme bei Dateien (während des Herunterladens/Installierens)

Für diesen Falschalarm-Test haben wir Software verwendet, die auf einem beliebten deutschen Download-Portal (http://www.pcwelt.de) als Top 100 Freeware-Downloads im Jahr 2010 gelistet ist. Wir können die verwendeten Download-Portale und sauberen Quellen jedes Mal ändern (und vielleicht auch nicht mehr offenlegen, welche Portale/Listen verwendet wurden), um zu vermeiden, dass Anbieter sich auf Whitelisting/Training hauptsächlich gegen diese Seiten/Listen/Quellen konzentrieren.

Wir haben nur 100 Anwendungen getestet, da dieser Test manuell durchgeführt wurde, um die Programme vollständig zu installieren und sie anschließend auch zu verwenden, um zu sehen, ob sie blockiert werden. Wir könnten auch diese Art von FP-Tests automatisieren, um in Zukunft größere Testmengen zu erhalten.

Keines der Produkte hatte einen Fehlalarm bei diesen sehr beliebten Anwendungen. Es gab einige Firewall-Warnungen, aber da wir Firewall-Warnungen (für Programme, die versuchen, auf das Internet zuzugreifen) bei den dynamischen Tests nicht als Schutz betrachten, betrachten wir sie auch nicht als FPs. Es wäre überraschend, FPs bei sehr beliebter Software zu finden, wenn es sich um bekannte und international eingesetzte AVs handelt, zumal der Test zu einem bestimmten Zeitpunkt durchgeführt wird und FPs bei sehr beliebter Software innerhalb weniger Stunden bemerkt und behoben werden. Wahrscheinlich wäre es sinnvoller, gegen weniger verbreitete Software zu testen. Wir haben zufällig auch einige FPs auf weniger populärer Software/Websites beobachtet, haben sie aber dieses Mal nicht berücksichtigt, da die Anbieter sie nicht als großes Problem ansehen. Wenn Sie anderer Meinung sind, lassen Sie sie bitte wissen (nicht uns, wie wir bereits wissen!), was Sie als Benutzer über FPs denken, die Ihnen bei weniger populären Dateien und Websites passieren.

Da wir noch nicht viel Erfahrung mit den FP-Raten in Ganz-Produkt-Dynamik-Tests haben, berücksichtigen wir die FPs bei der Preisvergabe dieses Mal nicht, aber wir können niedrigere Preise für Produkte vergeben, die in zukünftigen Ganz-Produkt-Dynamik-Tests FPs (oder viele Benutzerinteraktionen) haben werden.

Zusammenfassung - Ergebnis

Testzeitraum: August - November 2010 (1968 Testfälle)

Das nachstehende Diagramm zeigt die Gesamtschutzrate (alle Proben), einschließlich der Mindest- und Höchstschutzraten für die einzelnen Monate.

BlockiertUser-DependentKompromittiertSchutzrate
[Blocked % + (User Dependent % / 2)]
Cluster
F-Secure1946-2298.9%1
Symantec 1936 19 1398.9% 1
AVIRA 1943- 2598.7% 1
Kaspersky 1925 19 2498.3% 1
G Data 1922 2 4497.7% 2
AVG 1910 1 5797.1% 2
Panda 1903- 6596.7% 2
Avast 1898- 7096.4% 2
ESET 1887 8 7396.1% 2
Trend Micro 1888- 8095.9% 2
PC-Werkzeuge 1886- 8295.8% 2
BitDefender 1874- 9495.2% 2
Norman 1771- 19790% 3
Kingsoft 1620- 34882.3% 4

In diesem Real-World Protection Test erreichte Award-Levels

Wir bieten ein 3-Stufen-Ranking-System (STANDARD, ADVANCED und ADVANCED+). Übersichten über die in früheren Haupttests erreichten Stufen finden Sie auf unserer Website13. Die Auszeichnungen werden von den Testern auf der Grundlage der beobachteten Testergebnisse (nach Konsultation statistischer Modelle) entschieden und vergeben. Die folgenden Zertifizierungsstufen beziehen sich auf die Ergebnisse, die im Whole-Product-Dynamic-Test erzielt wurden:

Anmerkungen

Die meisten Betriebssysteme verfügen bereits über eigene Firewalls und automatische Aktualisierungen und können den Benutzer sogar vor dem Herunterladen oder Ausführen von Dateien fragen, ob er dies wirklich tun will, und ihn warnen, dass das Herunterladen/Ausführen von Dateien gefährlich sein kann. E-Mail-Clients und Web-Mails enthalten ebenfalls Spam-Filter. Außerdem verfügen die meisten Browser über Popup-Blocker, Phishing-/URL-Filter und die Möglichkeit, Cookies zu entfernen. Dies sind nur einige der eingebauten Schutzmaßnahmen, aber trotz all dieser Maßnahmen können Systeme trotzdem infiziert werden. Der Grund dafür ist in den meisten Fällen der normale Benutzer, der durch Social Engineering dazu verleitet werden kann, bösartige Websites zu besuchen oder bösartige Software zu installieren.

Die Benutzer erwarten von einem Sicherheitsprodukt, dass es sie nicht fragt, ob sie eine Datei wirklich ausführen wollen, sondern dass das Sicherheitsprodukt das System in jedem Fall schützt, ohne dass sie darüber nachdenken müssen, und zwar unabhängig davon, was sie tun (d. h. unbekannte Dateien/Schadprogramme ausführen). Wir versuchen, die Interessen der Benutzer im Auge zu behalten und gute und leicht zu lesende Testberichte zu liefern. Wir arbeiten ständig daran, unsere automatisierten Systeme weiter zu verbessern, um einen besseren Überblick über die Produktfähigkeiten zu erhalten.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2010 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2010)