Ziel der Überprüfung der Benutzerfreundlichkeit ist es, den Lesern einen Eindruck davon zu vermitteln, wie jedes getestete Produkt in alltäglichen Situationen zu verwenden ist. Für jedes der getesteten Produkte haben wir uns die folgenden Punkte angesehen (sofern zutreffend).

Über das Programm

Zunächst einmal geben wir an, ob das Programm kostenlos oder kostenpflichtig ist. Auf die Auflistung einzelner Schutzkomponenten (z.B. Signaturen, Heuristiken, Verhaltensschutz) verzichten wir aus den folgenden Gründen. Unsere Schutztests prüfen, wie gut jedes Programm das System schützt, wobei es nicht wichtig ist, welche dieser Komponente(n) beteiligt sind. Daher ist auch nicht die Anzahl der Funktionen wichtig, sondern wie effektiv sie arbeiten. Außerdem haben verschiedene Anbieter möglicherweise unterschiedliche Namen für diese einzelnen Funktionen oder fassen mehrere Arten dieser Funktionen unter einem Namen zusammen. Daher kann es irreführend sein, Produkte anhand der Komponentennamen der Hersteller zu vergleichen. Der Einfachheit halber vermerken wir alle Funktionen, die nicht mit Malware zu tun haben, wie z.B. die Kindersicherung oder die Spam-Filterung. Mit Ausnahme einer Replacement-Firewall (siehe unten) überprüfen wir die Funktionalität dieser zusätzlichen Funktionen nicht.

Setup

Wir vermerken alle verfügbaren Optionen, ob Sie Entscheidungen treffen müssen und andere interessante Punkte, wie z.B. Einführungsassistenten, die die Funktionen des Programms erklären. Wir schlagen vor, dass es eine einfache Installationsoption für Laien geben sollte. Wenn der Nutzer in irgendeinem Stadium eine Entscheidung treffen muss, um fortzufahren, sollten die Optionen einfach und deutlich erklärt werden.

Taskleisten-Symbole

Hier geben wir an, welche Funktionen über das Symbol in der Taskleiste des Programms verfügbar sind. Dies kann ein bequemer Weg sein, um auf häufig genutzte Funktionen wie Scans und Updates zuzugreifen. Ein Symbol in der Taskleiste ist ein Standardmerkmal für moderne Sicherheitsprogramme für Privatanwender. Wir halten es für ein sehr nützliches Mittel, um zu zeigen, dass das Programm ausgeführt wird. Wir weisen jedoch darauf hin, dass Windows 10 die Taskleistensymbole von Drittanbieterprogrammen standardmäßig ausblendet, so dass viele nicht erfahrene Benutzer das Symbol für eine AV-Anwendung, die nicht von Microsoft stammt, wahrscheinlich nicht sehen werden.

Security-Warnhinweise

Hier deaktivieren wir den Echtzeitschutz des Programms und prüfen, welche Warnungen im Programmfenster oder an anderer Stelle angezeigt werden. Wir suchen auch nach einer schnellen und einfachen Möglichkeit, den Schutz wieder zu aktivieren. Eine effektive Statusanzeige im Hauptfenster des Programms, die eine deutlichen Warnhinweis anzeigt, wenn der Schutz deaktiviert ist, ist ein Standardmerkmal. Ebenso wie eine Schaltfläche/Link wie das "Fix All", mit der der Benutzer den Schutz leicht wieder aktivieren kann, wenn er nicht aktiv ist. Wir halten beides, insbesondere für nicht erfahrene Nutzer, für angebracht und schlagen vor, dass zusätzliche Pop-up Warnhinweise, die der Nutzer auch dann sehen würde, wenn das Programmfenster nicht geöffnet wäre, eine wünschenswerte Funktion wäre.

Warnung bei Malware-Erkennung

Wir prüfen, welche Art von Warnung jedes Programm anzeigt, wenn es auf Malware stößt. Dazu versuchen wir, einige Malware-Samples von einer Netzwerkfreigabe auf den Windows-Desktop unseres Test-PCs zu kopieren. Wenn das AV-Produkt die kopierte Malware nicht erkennt, führen wir eines der Samples aus (spätestens zu diesem Zeitpunkt erkennen alle getesteten Programme die verwendeten Malware-Samples).

Unabhängig davon, wo die Malware entdeckt wird, prüfen wir, welche Art von Warnung angezeigt wird, ob der Nutzer Maßnahmen ergreifen muss und wie lange die Warnung angezeigt wird. Wenn das Meldungsfeld einen Link zu weiteren Details enthält, klicken wir auf diesen, um zu sehen, welche Informationen bereitgestellt werden. Wir achten auch darauf, ob mehrere Warnungen angezeigt werden, wenn mehrere bösartige Dateien gleichzeitig entdeckt werden.

Wir halten es für ideal, wenn die Malware automatisch gelöscht oder unter Quarantäne gestellt wird, ohne dass der Nutzer eine Entscheidung darüber treffen muss, was mit ihr geschehen soll. Wir würden auf jeden Fall empfehlen, dass eine Warnbox NICHT die Option enthalten sollte, die Datei sofort auf die Whitelist zu setzen (d.h. sie sofort ausführen zu lassen). Eine viel sicherere Option ist es, die Datei unter Quarantäne zu stellen. Danach können Power-User in den Programmeinstellungen die Whitelist aktivieren und die Datei wiederherstellen, wenn sie dies wünschen.

Wir schlagen vor, dass dauerhafte Warnungen, die angezeigt werden, bis der Nutzer sie schließt, ideal sind, da sie sicherstellen, dass der Nutzer Zeit hat, sie zu lesen. Wenn für jede entdeckte bösartige Datei ein separater Warnhinweis angezeigt wird, kann dies lästig sein, sie einzeln schließen zu müssen, wenn mehrere Entdeckungen auf einmal gemacht werden. Wir würden sagen, dass ein einziges Warnfenster, das Sie durch die Entdeckungen blättern lässt, aber mit einem einzigen Klick geschlossen werden kann, optimal ist.

Szenarien zur Erkennung von Malware

Hier prüfen wir, wie jedes AV-Programm mit Malware auf einem externen Laufwerk umgeht. Für unsere Funktionsprüfung kopieren wir einige sehr verbreitete Malware-Samples und einige saubere ausführbare Programmdateien auf einen USB-Stick. Anschließend kopieren wir die gleichen Dateien in einen Unterordner auf demselben Laufwerk. Wir tun dies, weil wir in der Vergangenheit festgestellt haben, dass einige AV-Programme Malware unterschiedlich behandeln, je nachdem, ob sie mit sauberen Dateien gemischt wurden und ob sie sich im Stammverzeichnis des Laufwerks oder in einem Unterordner befand.

Der nächste Schritt besteht darin, das USB-Laufwerk einfach an das Testsystem anzuschließen, um zu sehen, wie das Security-Programm reagiert. Bei einigen Produkten wird das Laufwerk automatisch gescannt, bei anderen wird der Nutzer aufgefordert, einen Scan durchzuführen, und bei wieder anderen wird nichts unternommen.

Wenn das Laufwerk automatisch gescannt wird, überprüfen wir, ob die gesamte Malware erkannt und entfernt wurde. Wenn dies der Fall ist, führen wir keine weitere Direktsuche auf dem Laufwerk durch, sondern beschreiben die Ergebnisse der automatischen Suche. Wir berichten auch, was passiert, wenn Malware von einer Netzwerkfreigabe kopiert wird, um zu prüfen, ob ein On-Access- oder On-Execution Schutz (diese Begriffe werden weiter unten erklärt) vorhanden ist.

Wenn das AV-Programm uns auffordert, eine Überprüfung des USB-Laufwerks durchzuführen, lehnen wir dies ab und öffnen das Laufwerk im Windows-Explorer. Wenn die Securitylösung beim Anschließen des USB-Laufwerks keine Aktion ausführt, öffnen wir dieses ebenfalls im Explorer. Wenn die Malware in beiden Fällen nicht erkannt wird, versuchen wir, die Dateien auf dem Laufwerk auf den Windows-Desktop zu kopieren. Wenn das kopieren ohne Warnhinweis erfolgt ist, führen wir die Datei aus. Wir notieren dabei, in welchem Stadium die Malware erkannt wird.

So können wir unter anderem feststellen, ob das AV-Produkt über einen On-Access Schutz (Zugriffschutz) verfügt (d.h. die kopierte Malware wird während oder kurz nach dem Kopiervorgang erkannt) oder über einen On-Execution Schutz (Ausführungsschutz, d.h. schädliche Dateien können auf das System kopiert werden, werden aber erkannt, sobald sie ausgeführt werden). Was den On-Access Schutz gegenüber dem On-Execution Schutz betrifft, so ist der On-Access Schutz für die meisten Nutzer die bessere Option. Sie hat zwar eine etwas höhere Auswirkung auf die Systemleistung, stellt aber sicher, dass Nutzer Malware nicht versehentlich an andere Personen weitergeben können, z.B. indem sie sie auf ein Flash-Laufwerk oder eine Netzwerkfreigabe kopieren. Wir stellen fest, dass einige der getesteten Programme über einen sehr empfindlichen On-Access Schutz verfügen, der nicht nur die kopierte Malware, sondern auch die Quell-Malware auf einer Netzwerkfreigabe oder einem USB-Laufwerk erkennt. Für die meisten Menschen ist dies sicherlich optimal.

Bei Programmen, die das USB-Laufwerk nicht automatisch gescannt und die gesamte Malware entfernt haben, kopieren wir die Mischung aus schädlichen und sauberen Dateien erneut auf das Laufwerk, schließen es erneut an und führen eine On-Demand Scan (Scan auf Abruf) durch. Wir prüfen, wie die Scan-Ergebnisse angezeigt werden und ob der Nutzer irgendwelche Entscheidungen treffen muss. Wenn bei einem Scan mehrere schädliche Dateien gefunden werden, stellen wir fest, ob es einfach ist, eine sichere Aktion für alle auf einmal auszuführen, anstatt für jede einzelne Datei eine Aktion auszuwählen.

Scan options

Hier sehen wir uns die verschiedenen Arten von On-Demand Scans an, die von jedem Programm angeboten werden, wie man auf sie zugreift und sie konfiguriert, Scan-Ausschlüsse festlegt, Scans plant und welche Optionen für die PUA-Erkennung zur Verfügung stehen.

Quarantine

In der Quarantänefunktion des Programms sehen wir uns an, welche Informationen es über den Fundort/-zeitpunkt und die Malware selbst liefert und welche Optionen für die Verarbeitung zur Verfügung stehen, z.B. Löschen, Wiederherstellen oder Übermittlung an den Hersteller zur Analyse.

Zugangskontrolle

Für Nutzer, die ihren Computer mit niemandem teilen, ist dieser Abschnitt nicht relevant. Wenn Sie einen Computer gemeinsam nutzen, z.B. mit Ihrer Familie zu Hause oder mit Kollegen in einem kleinen Unternehmen, sollten Sie diesen Abschnitt vielleicht lesen. Hier prüfen wir, ob es möglich ist, andere Benutzer des Computers daran zu hindern, die Sicherheitsfunktionen des Security-Programms zu deaktivieren oder es sogar ganz zu deinstallieren. Hierfür gibt es zwei Möglichkeiten. Erstens kann der Zugriff über Windows-Benutzerkonten eingeschränkt werden: Benutzer mit Administratorkonten können Einstellungen ändern und so den Schutz deaktivieren, während Benutzer mit Standardbenutzerkonten dies nicht können. Alternativ kann ein Programm einen Kennwortschutz bieten, so dass jeder Benutzer - unabhängig vom Kontotyp - die Einstellungen nur durch Eingabe eines Kennworts ändern kann. Einige Programme bieten beide Methoden an, was wir als ideal ansehen. Beim Testen der Zugriffskontrolle versuchen wir, alle möglichen Wege zur Deaktivierung des Schutzes zu finden, um sicherzustellen, dass alle Einschränkungen für alle gelten.

Help

In diesem Abschnitt werfen wir einen kurzen Blick auf die Hilfefunktionen, die direkt über das Programm selbst zugänglich sind. Einige Anbieter verfügen über zusätzliche Online-Ressourcen, wie Handbücher und FAQ-Seiten, die Sie auf ihren jeweiligen Websites finden können.

Logs

Hier wird festgehalten, welche Informationen in der Protokoll Funktion des Programms bereitgestellt werden.

Firewall

Einige der in diesem Jahr getesteten Produkte verfügen über eine Replacement-Firewall. Das heißt, sie enthalten ihre eigene Firewall, die anstelle der Windows-Firewall verwendet wird. Für diese Produkte führen wir einen sehr einfachen Funktionstest durch, um zu prüfen, ob die grundlegenden Funktionen ihrer Ersatz-Firewalls wie erwartet funktionieren. Dabei wird im Wesentlichen nur überprüft, ob die Netzwerkerkennung, die Dateifreigabe und der eingehende Remotedesktop-Zugriff in privaten Netzwerken erlaubt, in öffentlichen Netzwerken jedoch blockiert sind.

Für diese Prüfung verwenden wir einen Laptop-PC mit einem drahtlosen Netzwerkadapter, auf dem eine Neuinstallation von Windows 10 Professional läuft. Er ist zunächst mit einem drahtlosen Netzwerk verbunden, das in den Netzwerkstatuseinstellungen von Windows als privat definiert ist. Wir geben den Ordner "Dokumente" mit Lese- und Schreibberechtigungen für "Jeder" frei und aktivieren den Remotedesktop-Zugriff.
In den Windows-Einstellungen aktivieren wir die Netzwerkerkennung, die Dateifreigabe und den eingehenden Remotedesktop-Zugriff für private Netzwerke, schalten sie aber für öffentliche Netzwerke aus. Anschließend überprüfen wir, ob alle drei Formen des Netzwerkzugriffs wie erwartet funktionieren, d. h. für private Netzwerke erlaubt, für öffentliche Netzwerke jedoch blockiert sind.

Wir installieren dann das Security-Produkt mit den Standardeinstellungen und starten den Computer neu. Wenn die Replacement-Firewall des Security-Produkts uns während der Installation auffordern würde, das aktuelle Netzwerk als öffentlich oder privat zu definieren, würden wir es zu diesem Zeitpunkt als privat festlegen. Nach dem Neustart überprüfen wir, ob wir den PC immer noch anpingen, ein Dokument in seinem freigegebenen Ordner öffnen und bearbeiten und auf den Remote Desktop zugreifen können. Wir gehen davon aus, dass die Firewall des Drittanbieters alle diese Zugriffsarten zulässt.

Dann verbinden wir den Laptop mit einem neuen, unbekannten drahtlosen Netzwerk, das wir in der Netzwerkstatusabfrage von Windows als öffentlich definieren. Wenn die Firewall eines Drittanbieters ihre eigene Netzwerkstatus-Eingabeaufforderung anzeigen würde, würden wir auch hier die Option "public/untrusted" wählen. Als Nächstes versuchen wir, den Testlaptop (unter Verwendung von IPv4) von einem anderen Computer im selben Netzwerk aus anzupingen, auf seine Dateifreigabe zuzugreifen und uns mit Remote Desktop anzumelden. Wir gehen davon aus, dass die Firewall des Drittanbieters alle diese Zugriffsmöglichkeiten blockiert, wie es auch die Windows-Firewall tun würde.

Wir prüfen auch, was passiert, wenn der Netzwerkstatus in den Windows-Netzwerkeinstellungen von privat auf öffentlich geändert wird, d.h. ob die Firewall eines Drittanbieters im getesteten Produkt den neuen Status automatisch übernimmt oder eine eigene Eingabeaufforderung zu diesem Zeitpunkt anzeigt.

Unserer Meinung nach sollte eine Firewall eines Drittanbieters in einem Security-Programm entweder die Netzwerkstatuseinstellungen von Windows automatisch übernehmen oder das gleiche Ergebnis durch die Anzeige eigener Aufforderungen erzielen. Auf diese Weise können Laptop-Nutzer zu Hause Dateien gemeinsam nutzen, während sie bei der Nutzung öffentlicher Netzwerke Eindringlinge fernhalten. Wir sind uns bewusst, dass einige Nutzer die Windows-Firewall - die ein bekannter Standard ist - anstelle der Firewall eines Drittanbieters in ihrem Security-Produkt verwenden möchten. Für solche Nutzer ist es ideal, wenn die Firewall des Security-Produkts sauber deaktiviert werden kann (d.h. dauerhaft deaktiviert, ohne dass ständig Sicherheitswarnungen angezeigt werden) und stattdessen die Windows-Firewall aktiviert werden kann. Wir prüfen, ob dies möglich ist.

Andere interessante Aspekte

Hier notieren wir alles, was wir über ein Produkt beobachten oder herausfinden, das wir für relevant halten. Dazu können spezielle datenschutzrelevante Aspekte, Beschreibungen des Produkts auf der Website des Anbieters, ungewöhnliche Orte, an denen Funktionen zu finden sind, Anpassungsoptionen, Aufforderungen zur Installation zusätzlicher Funktionen, Upselling, Bugs, Erklärungen zu gewöhnlichen und ungewöhnlichen Funktionen und Benachrichtigungen gehören.

Unterstützung für Windows 11

Alle Tests der Haupttestreihe 2022 für Verbraucher wurden unter Windows 10 durchgeführt. Wir haben Windows 10 auch für die in diesem Abschnitt beschriebenen Funktionsprüfungen verwendet. Alle getesteten/überprüften Produkte sind jedoch mit Windows 11 vollständig kompatibel/unterstützt. Wir weisen darauf hin, dass Sie unter Windows 11 normalerweise auf Show more options im Rechtsklick-Menü des Windows Explorers klicken können, um die Scan-Optionen für Antivirus-Programme von Drittanbietern zu finden.