Virtuelles Wettrüsten - Was taugen die neuen Virenschutzprogramme

Kein Windows-Rechner sollte ohne Virenschutz ans Netz. Die aktuelle Generation der Antiviren-Lösungen verspricht schnellere Scans und besseren Schutz vor Viren, Würmern, Trojanern und anderen bösen Geistern. Im Test müssen sich die Produkte in puncto Erkennungsrate, Geschwindigkeit, Fehlalarme und Anwenderfreundlichkeit beweisen.

[b]Der Gründliche: G Data AntiVirus 2010[/b]

Wirkte G Datas Oberfläche im Vorjahr noch reichlich unaufgeräumt, kann die neue Version mit einer übersichtlicheren und logischeren Aufteilung aufwarten. Die G-Data-Erfahrung begann aber vor der Installation mit einem unschönen Erlebnis: Der Internet Explorer warnte vor unverschlüsselten Elementen in der Online-Registrierung. Laut G Data ist das Problem aber nun behoben.

Auf dem Hauptbildschirm des Programms stehen links in einer Spalte Eckdaten zur Systemlast und Laufzeit der Lizenz. Oben zeigt das "SecurityCenter" den aktuellen Status an. Darunter sind die eigentlichen Funktionen in vier Kategorien gruppiert [--] auf den ersten Blick eine aufgeräumte Oberfläche.

Doch für jede Gruppe gibt es einen Link "Optionen", der zu den jeweils zuständigen Konfigurationsfenstern führt. Der Klick auf die Statusnachrichten des Hauptfensters öffnet Drop-Down-Menüs, deren Option "Erweitert" abermals zu den Konfigurationsfenstern führt. Neben den Statusmeldungen finden sich zusätzliche Drop-Down-Menüs; so versteckt sich beispielsweise die Quarantäne unter "Weitere Funktionen" in der Kategorie "Virenprüfung".

Den Download von Archiven mit suspekten Inhalten blockiert G Data frühzeitig. Der Warndialog bietet allerdings nur die Wahl zwischen Sperren, Desinfizieren, Isolieren oder Löschen [--] Ignorieren steht nicht zur Auswahl. Solange das Virenalarm-Fenster in der rechten unteren Bildschirmecke auf den Anwender wartet, bleibt der Zugriff auf den Browser blockiert. In den Optionen für die Virenprüfung kann man Standard-Umgangsmethoden definieren. Wenigstens sind die Protokolle informativ und nicht überfrachtet.

Was die reine Erkennungsleistung angeht, kann G Data die Spitzenposition im Test dank seiner zwei Engines von BitDefender und Avast locker verteidigen. Erkennungsraten von 99,9 Prozent beim Signatur-Scan sind beachtlich. Doch wer zwei Engines einsetzt, vereinigt nicht nur deren Schädlingserkennung, sondern auch deren Fehlalarmrisiko. So bleiben die übermäßigen Falschmeldungen und die starke Systembelastung weiterhin die größten Kritikpunkte.

Die Verhaltenserkennung warnt im Test zu oft vor harmlosen Programmen, auf einen Logitech-Treiber ließ sie überhaupt keinen Zugriff zu. Eine Whitelist soll solchen Fehlern entgegenwirken, deren Effektivität muss sich aber erst noch beweisen. Bei der Geschwindigkeit hat sich hingegen einiges getan, was bei den On-Demand-Scans besonders deutlich ist.

Eine von G Data entwickelte Fingerprinting-Methode sorgt dafür, dass einmal gescannte Dateien nicht noch einmal gescannt werden müssen. So verkürzte sich ein kompletter System-Scan im Test von rund 50 Minuten beim ersten Durchlauf auf wenige Minuten. In der Praxis haben Anwender davon aber kaum etwas [--] die Fingerabdrücke werden nach den meisten Signatur-Updates zurückgesetzt. Für die Bewertung haben wir daher nur die Ergebnisse des Erstlaufes betrachtet. Beim Durchlauf der Test-Suite gab es zwei nicht repräsentative Ausreißer beim Anlegen von identischen Dateien und bei Kopiervorgängen. Für die Geschwindigkeitsnote haben wir die beiden Werte daher nicht berücksichtigt.

[b]Der Genügsame: Avira AntiVir Premium 9[/b]

Bei der Installation besteht AntiVir Premium auf einer Registrierung mit Name, E-Mail und Herkunftsland. Wer die Software wiederholt installieren möchte, sollte die Lizenzdatei hbedv.key aus dem Programmverzeichnis an einen sicheren Ort kopieren, um sich wiederholte Registrierungen zu sparen.

Im Konfigurationsassistenten kann der Anwender die Erkennungsstufe der Heuristik anpassen und "erweiterte Gefahrenkategorien" auswählen [--] eine Option soll sogar den Start von Spielen blockieren, sperrte aber nicht einmal die mit Windows mitgelieferten Zeitkiller. Abgesehen von der fehlenden Verhaltensanalyse und der durchschnittlichen Heuristik sind die Erkennungsraten des Scanners aus Süddeutschland durchweg sehr gut. Insbesondere zeichnet sich AntiVir als schnellster Scanner im Test aus. Auch der integrierte Web-Schutz ist der Konkurrenz um Meilen voraus und lässt sich auch nicht durch Verschleierungstaktiken überlisten. Vergleichsweise viele Fehlalarme trüben die gute Erkennungsleistung jedoch etwas. Im Testzeitraum meinte der Web-Scanner sogar einen halben Tag lang, auf www.heise.de einen angeblichen Schädling auszumachen.

Beim Fund eines Schadprogramms fordert AntiVir zur Auswahl zwischen bis zu sieben Reaktionsmöglichkeiten auf: Reparieren, in Quarantäne verschieben, Löschen, Überschreiben und Löschen, Umbenennen, Zugriff verweigern und Ignorieren. Die Standardaktion ist "Zugriff verweigern". Hinter der Option, die Aktion für eine bestimmte Datei zu speichern, steht sinnigerweise "(gefährlich)". Bei Malware auf RO-Medien bleibt aber keine andere Wahl, sonst meldet AntiVir sie immer wieder neu. Das Fund-Fenster wird von einem schrillen Pieps-Akkord aus dem PC-Lautsprecher begleitet. Popups des WebGuard-Moduls verschwinden nach zehn Sekunden ohne Reaktion durch den Anwender, alle anderen Warnmeldungen bleiben auf dem Desktop stehen.

Das Verhalten von AntiVir lässt sich durchaus zähmen [--] wenn man die richtigen Optionen dazu gefunden hat. Der Einstellungsdialog versteckt alles Nützliche im Expertenmodus. Der ellenlange Konfigurationsbaum wird in eine schmale Spalte gepresst; längere Titel der Äste werden dabei rücksichtslos abgeschnitten. Dieses Problem zieht sich durch alle Elemente der Programmoberfläche [--] keines der AntiVir-Fenster lässt sich vergrößern. So muss man immer wieder horizontal scrollen und Spalten in die Breite ziehen. Die Scan-"Reports" sind lange Textdateien, deren wichtigste Informationen erst am Ende stehen.

Zur Änderung des Aktualisierungsrhythmus muss man in der "Verwaltung" jedes Mal einen Assistenten durchklicken. Die Standardreaktion auf bestimmte Bedrohungsformen darf man nur im Expertenmodus festlegen. So kann der Anwender beispielsweise festlegen, dass der Wächter gefundene Malware zuerst in die Quarantäne kopieren soll, um dann einen Reparaturversuch zu starten und im dritten Schritt umzubenennen, zu sperren oder zu löschen. Die Schaltfläche "Standardwerte" setzt ohne Rückfrage sämtliche Einstellungen auf die vom Hersteller vorgesehenen Werte zurück. Auch wenn fortgeschrittene Anwender die umfangreichen Konfigurationsmöglichkeiten schätzen dürften, kann die Anwenderfreundlichkeit nicht überzeugen.

[b]Der Freundliche: Symantec Norton AntiVirus 2009[/b]

Symantec wartet mit einer positiven Überraschung auf. Nachdem der Marktführer in den Tests von c’t jahrelang Prügel einstecken musste, stellt er jetzt ein Produkt vor, an dem es erstmals mehr zu loben als zu kritisieren gibt.

Das beginnt mit der Reaktion auf das Auftauchen neuer Schädlinge, die bislang immer mehrere Stunden länger dauerte als bei der Konkurrenz. Mittlerweile setzt Symantec sogenannte Pulse Updates ein, mit denen sie die mittlere Reaktionsgeschwindigkeit auf ein sehr gutes Niveau heben konnten. Dahinter verbergen sich kleine, etwa 3 bis 4 KByte große Update-Häppchen, die etwa im Zehn-Minuten-Takt bereitgestellt werden. Der Client schaut auch entsprechend häufig auf dem Server nach, sodass er eigentlich immer auf dem neuesten Stand ist.

Außerdem hat Norton jetzt eine Verhaltensanalyse, die den Namen verdient. Rund drei Viertel der unbekannten Schädlinge hat der Wächter auf Grund ihres verdächtigen Verhaltens als Gefahr identifiziert und an den anderen fand er zumindest etwas auszusetzen [--] das war spitze. Bestenfalls Mittelmaß sind jedoch die Heuristik, der Web-Filter und die Geschwindigkeit des Wächters; bei der Erkennung von Adund Spyware gehört Norton zu den schlechteren Scannern.

Dafür bietet das Paket eine Reihe von praktischen Erweiterungen, die das Leben mit Virenschutz angenehmer gestalten. So nutzt der Scanner die Leerlaufzeit eines Computers für einen Quick-Scan zwischendurch, der bei User-Aktivität auch unterbrochen wird, wie man am eingebauten Speed-o-Meter erkennen kann. Anwendungen in Vollbilddarstellung aktivieren automatisch einen Silent-Modus, in dem keine störenden Popup-Meldungen erscheinen.

Außerdem sortiert Norton Insight die vorliegenden Dateien in verschiedene Vertrauensstufen ein. Danach müssen beispielsweise von Microsoft digital signierte Dateien nicht erneut geprüft werden und ein Komplett-Scan eines Vista-Systems dauerte statt 50 nur noch 14 Minuten. Das Verhältnis dürfte allerdings schlechter werden, je mehr normale und damit unsignierte Software installiert ist.

Praktisch sind auch die Netzwerkfunktionen, mit denen man den Status weiterer Norton-PCs im Netz überwachen kann. Leider ist es nicht möglich, übers Netz ein Signatur-Update oder einen Komplett-Scan anzuschieben.

Die Bedienung von Norton ist auf Endanwender ohne allzu große Computerkenntnisse zugeschnitten. Sie werden nicht durch unnötige Popup-Fenster belästigt; bei den meisten Vorfällen entscheidet der Wächter selbsttätig, was zu tun ist. Das birgt natürlich die Gefahr, dass gerade bei Power-Usern auch mal etwas zu viel gelöscht wird. Das kann zum echten Problem werden, weil weder im Alarmfenster noch im protokollierten Verlauf oder den Details Dateinamen oder gar Pfade erscheinen. Man muss schon lange suchen, um diese grundlegenden Informationen in den "Details" der "Risikodetails" der "erweiterten Details" aufzuspüren.

Auch die Übersichtlichkeit der erweiterten Optionen lässt ein wenig zu wünschen übrig. Trotzdem: Wer sich in den letzten Jahren keine irreversible Allergie gegen die Farbe Gelb zugezogen hat, kann jetzt Norton Antivirus auch angesichts des Preises von 30 Euro wieder ernsthaft in Betracht ziehen.