So testen wir Antiviren- und Sicherheitssoftware

Jedes Antiviren- oder Security Suite-Produkt verspricht, Sie vor einer Vielzahl von Sicherheitsrisiken und -störungen zu schützen. Aber halten sie tatsächlich, was sie versprechen? Bei der Bewertung dieser Produkte zur Überprüfung stellen wir ihre Ansprüche auf viele verschiedene Arten auf die Probe. Jede Überprüfung enthält die Ergebnisse unserer Tests sowie praktische Erfahrungen mit dem Produkt. In diesem Artikel wird näher darauf eingegangen, wie diese Tests funktionieren.

Natürlich ist nicht jeder Test für jedes Produkt geeignet. Viele Antivirenprogramme bieten Schutz vor Phishing, einige jedoch nicht. Die meisten Suiten verfügen über eine Spam-Filterung, einige lassen diese Funktion jedoch aus, und einige Antivirenprodukte fügen sie als Bonus hinzu. Was auch immer ein bestimmtes Produkt bietet, wir stellen es auf die Probe.

Testen von Echtzeit-Antivirus

Jedes leistungsstarke Antiviren-Tool umfasst einen On-Demand-Scanner zum Auffinden und Zerstören vorhandener Malware-Infektionen sowie einen Echtzeitmonitor zum Abwehren neuer Angriffe. In der Vergangenheit haben wir tatsächlich eine Sammlung von mit Malware infizierten virtuellen Maschinen gepflegt, um zu testen, ob jedes Produkt vorhandene Malware entfernen kann. Fortschritte in der Malware-Codierung haben das Testen mit Live-Malware zu gefährlich gemacht, aber wir können den Echtzeitschutz jedes Produkts weiterhin ausüben.

Jedes Jahr im Frühjahr, wenn die meisten Sicherheitsanbieter ihren jährlichen Aktualisierungszyklus abgeschlossen haben, stellen wir für diesen Test eine neue Sammlung von Malware-Beispielen zusammen. Wir beginnen mit einem Feed der neuesten Malware-Hosting-URLs, laden Hunderte von Beispielen herunter und reduzieren sie auf eine überschaubare Anzahl.

Wir analysieren jede Probe mit verschiedenen handcodierten Werkzeugen. Einige der Beispiele erkennen, wann sie auf einer virtuellen Maschine ausgeführt werden, und unterlassen böswillige Aktivitäten. Wir benutzen diese einfach nicht. Wir suchen nach einer Vielzahl unterschiedlicher Typen und nach Beispielen, die Änderungen am Dateisystem und an der Registrierung vornehmen. Mit einigem Aufwand können wir die Sammlung auf eine überschaubare Anzahl reduzieren und genau aufzeichnen, welche Systemänderungen die einzelnen Proben vornehmen.

Um die Fähigkeiten eines Produkts zum Blockieren von Malware zu testen, laden wir einen Ordner mit Beispielen aus dem Cloud-Speicher herunter. Der Echtzeitschutz in einigen Produkten setzt sofort ein und löscht bekannte Malware aus. Wenn dies zum Auslösen des Echtzeitschutzes erforderlich ist, klicken Sie einfach auf die einzelnen Beispiele oder kopieren Sie die Sammlung in einen neuen Ordner. Wir notieren, wie viele Proben das Virenschutzprogramm auf Anhieb entfernt.

Als Nächstes starten wir jedes verbleibende Beispiel und stellen fest, ob das Antivirus es erkannt hat. Wir zeichnen den gesamten erkannten Prozentsatz auf, unabhängig davon, wann die Erkennung erfolgte.

Die Erkennung eines Malware-Angriffs reicht nicht aus. Das Virenschutzprogramm muss den Angriff tatsächlich verhindern. Ein kleines internes Programm überprüft das System, um festzustellen, ob es der Malware gelungen ist, Änderungen an der Registrierung vorzunehmen oder Dateien zu installieren. Bei ausführbaren Dateien wird außerdem überprüft, ob einer dieser Prozesse tatsächlich ausgeführt wird. Sobald die Messung abgeschlossen ist, fahren wir die virtuelle Maschine herunter.

Wenn ein Produkt die Installation aller ausführbaren Traces durch ein Malware-Beispiel verhindert, erhält es 8, 9 oder 10 Punkte, je nachdem, wie gut es verhindert hat, dass das System mit nicht ausführbaren Traces überladen wird. Das Erkennen von Malware, ohne die Installation ausführbarer Komponenten zu verhindern, wird mit 5 Punkten bewertet. Wenn trotz des Virenschutzversuchs tatsächlich ein oder mehrere Malware-Prozesse ausgeführt werden, sind dies nur 3 Punkte wert. Der Durchschnitt aller dieser Bewertungen wird zum endgültigen Malware-Blocker-Ergebnis des Produkts.

Testen der Blockierung bösartiger URLs

Die beste Zeit, um Malware zu vernichten, ist, bevor sie jemals Ihren Computer erreicht. Viele Antivirenprodukte werden in Ihren Browser integriert und von bekannten Malware-Hosting-URLs ferngehalten. Wenn der Schutz auf dieser Ebene nicht aktiviert wird, besteht immer die Möglichkeit, die Malware-Nutzdaten während oder unmittelbar nach dem Download zu löschen.

Während unser grundlegender Malware-Blocking-Test für eine Saison denselben Satz von Beispielen verwendet, unterscheiden sich die Malware-Hosting-URLs, die wir zum Testen des webbasierten Schutzes verwenden, von Mal zu Mal. Wir erhalten einen Feed mit den neuesten schädlichen URLs von MRG-Effitas aus London und verwenden normalerweise URLs, die nicht älter als einen Tag sind.

Mit einem kleinen Hilfsprogramm gehen wir die Liste durch und starten nacheinander die einzelnen URLs. Wir verwerfen alle, die nicht auf einen Malware-Download verweisen, und alle, die Fehlermeldungen zurückgeben. Im Übrigen stellen wir fest, ob das Virenschutzprogramm den Zugriff auf die URL verhindert, den Download löscht oder nichts unternimmt. Nach dem Aufzeichnen des Ergebnisses springt das Dienstprogramm zur nächsten URL in der Liste, die sich nicht in derselben Domäne befindet. Wir überspringen alle Dateien, die größer als 5 MB sind, und auch Dateien, die bereits im selben Test erschienen sind. Wir bleiben dabei, bis wir Daten für mindestens 100 überprüfte Malware-Hosting-URLs gesammelt haben.

Die Punktzahl in diesem Test ist einfach der Prozentsatz der URLs, für die das Antivirus-Programm das Herunterladen von Malware verhindert hat, indem der Zugriff auf die URL vollständig gesperrt oder die heruntergeladene Datei gelöscht wurde. Scores variieren stark, aber die besten Sicherheitstools verwalten 90 Prozent oder mehr.

Testen der Phishingerkennung

Warum sollten Sie auf ausgefeilte datenraubende Trojaner zurückgreifen, wenn Sie die Leute nur dazu bringen können, ihre Passwörter preiszugeben? Das ist die Denkweise von Übeltätern, die Phishing-Websites erstellen und verwalten. Diese betrügerischen Websites ahmen Banken und andere sensible Websites nach. Wenn Sie Ihre Anmeldeinformationen eingeben, haben Sie gerade die Schlüssel für das Königreich abgegeben. Und Phishing ist plattformunabhängig. Es funktioniert auf jedem Betriebssystem, das das Surfen im Web unterstützt.

Diese gefälschten Websites werden in der Regel nicht lange nach ihrer Erstellung auf die schwarze Liste gesetzt. Daher verwenden wir zum Testen nur die neuesten Phishing-URLs. Wir sammeln diese Daten von Phishing-orientierten Websites und bevorzugen solche, die als Betrug gemeldet, aber noch nicht bestätigt wurden. Dies zwingt Sicherheitsprogramme dazu, Echtzeitanalysen zu verwenden, anstatt sich auf einfache Blacklists zu verlassen.

Für diesen Test werden vier virtuelle Maschinen verwendet, eine vom getesteten Produkt und eine mit dem in Chrome, Firefox und Microsoft Edge integrierten Phishing-Schutz. Ein kleines Hilfsprogramm startet jede URL in den vier Browsern. Wenn einer von ihnen eine Fehlermeldung zurückgibt, verwerfen wir diese URL. Wenn die resultierende Seite nicht aktiv versucht, eine andere Site zu imitieren, oder nicht versucht, Benutzernamen- und Kennwortdaten zu erfassen, werden diese verworfen. Im Übrigen erfassen wir, ob bei jedem Produkt der Betrug festgestellt wurde.

In vielen Fällen kann das getestete Produkt nicht einmal so gut wie der integrierte Schutz in einem oder mehreren Browsern.

Testen der Spamfilterung

Heutzutage werden E-Mail-Konten für die meisten Verbraucher vom E-Mail-Anbieter oder von einem Dienstprogramm, das auf dem E-Mail-Server ausgeführt wird, mit einem Staubsauger versehen. Tatsächlich nimmt der Bedarf an Spam-Filterung stetig ab. Das österreichische Testlabor AV-Comparatives hat vor einigen Jahren die Antispam-Funktionalität getestet und festgestellt, dass sogar Microsoft Outlook allein fast 90 Prozent der Spam-E-Mails blockierte und die meisten Suites besser abschnitten, einige sogar viel besser. Das Labor verspricht nicht einmal, weiterhin verbraucherorientierte Spam-Filter zu testen, und bemerkt, dass "mehrere Anbieter daran denken, die Antispam-Funktion von ihren Consumer-Sicherheitsprodukten zu entfernen".

In der Vergangenheit haben wir unsere eigenen Antispam-Tests mit einem echten Konto durchgeführt, das sowohl Spam als auch gültige E-Mails erhält. Das Herunterladen von Tausenden von Nachrichten und das manuelle Analysieren des Inhalts des Posteingangs und des Spam-Ordners erforderte mehr Zeit und Mühe als alle anderen praktischen Tests. Maximaler Aufwand für ein Merkmal von minimaler Bedeutung ist nicht mehr sinnvoll.

Es gibt noch wichtige Punkte, die über den Spam-Filter einer Suite zu berichten sind. Welche E-Mail-Clients werden unterstützt? Können Sie es mit einem nicht unterstützten Client verwenden? Ist es auf POP3-E-Mail-Konten beschränkt oder werden auch IMAP-, Exchange- oder sogar webbasierte E-Mails verarbeitet? In Zukunft werden wir die Antispam-Funktionen jeder Suite sorgfältig prüfen, aber wir werden nicht länger Tausende von E-Mails herunterladen und analysieren.

Testen der Security Suite-Leistung

Wenn Ihre Sicherheitssuite intensiv nach Malware-Angriffen sucht, sich gegen Netzwerkeinbrüche verteidigt, verhindert, dass Ihr Browser gefährliche Websites besucht, und so weiter, wird ein Teil der CPU und anderer Ressourcen Ihres Systems für die Ausführung seiner Aufgabe verwendet. Vor einigen Jahren hatten Sicherheitssuiten den Ruf, so viele Systemressourcen abzusaugen, dass die Verwendung Ihres eigenen Computers davon betroffen war. Die Dinge sind heutzutage viel besser, aber wir führen immer noch einige einfache Tests durch, um einen Einblick in die Auswirkungen jeder Suite auf die Systemleistung zu erhalten.

Sicherheitssoftware muss so früh wie möglich im Startprozess geladen werden, damit Malware nicht bereits unter Kontrolle ist. Benutzer möchten jedoch nicht länger als nötig warten, um Windows nach einem Neustart zu starten. Unser Testskript wird sofort nach dem Start ausgeführt und fordert Windows auf, die CPU-Auslastung einmal pro Sekunde zu melden. Nach 10 Sekunden in Folge mit einer CPU-Auslastung von nicht mehr als 5 Prozent wird das System für betriebsbereit erklärt. Nach Abzug des Starts des Startvorgangs (wie von Windows gemeldet) wissen wir, wie lange der Startvorgang gedauert hat. Wir führen viele Wiederholungen dieses Tests durch und vergleichen den Durchschnitt mit dem vieler Wiederholungen, wenn keine Suite vorhanden war.

In Wahrheit starten Sie wahrscheinlich nicht mehr als einmal pro Tag neu. Eine Sicherheitssuite, die den alltäglichen Dateivorgang verlangsamt, hat möglicherweise größere Auswirkungen auf Ihre Aktivitäten. Um diese Art von Verlangsamung zu überprüfen, erstellen wir ein Skript, das eine große Sammlung von großen bis großen Dateien zwischen Laufwerken verschiebt und kopiert. Im Durchschnitt mehrerer Läufe ohne Suite und mehrerer Läufe mit aktivierter Sicherheitssuite können wir feststellen, um wie viel die Suite diese Dateiaktivitäten verlangsamt hat. Ein ähnliches Skript misst den Effekt der Suite auf ein Skript, das dieselbe Dateisammlung komprimiert und dekomprimiert.

Die durchschnittliche Verlangsamung in diesen drei Tests durch die Suiten mit der geringsten Berührung kann weniger als 1 Prozent betragen. Am anderen Ende des Spektrums liegen einige Suiten im Durchschnitt bei 25 Prozent oder sogar mehr. Möglicherweise bemerken Sie tatsächlich die Auswirkungen der schwerfälligeren Suiten.

Testen des Firewall-Schutzes

Es ist nicht so einfach, den Erfolg einer Firewall zu quantifizieren, da verschiedene Anbieter unterschiedliche Vorstellungen darüber haben, was eine Firewall genau tun sollte. Trotzdem gibt es eine Reihe von Tests, die wir für die meisten von ihnen anwenden können.

In der Regel hat eine Firewall zwei Aufgaben, die den Computer vor Angriffen von außen schützen und sicherstellen, dass Programme die Netzwerkverbindung nicht missbrauchen. Um den Schutz vor Angriffen zu testen, verwenden wir einen physischen Computer, der über den DMZ-Port des Routers eine Verbindung herstellt. Dies wirkt wie ein Computer, der direkt mit dem Internet verbunden ist. Dies ist wichtig für das Testen, da ein Computer, der über einen Router verbunden ist, für das Internet im Allgemeinen praktisch unsichtbar ist. Wir haben das Testsystem mit Port-Scans und anderen webbasierten Tests getestet. In den meisten Fällen stellt sich heraus, dass die Firewall das Testsystem vollständig vor diesen Angriffen verbirgt und alle Ports in den Stealth-Modus versetzt.

Die integrierte Windows-Firewall verwaltet das Stealthing aller Ports, sodass dieser Test nur eine Basis ist. Aber auch hier gibt es unterschiedliche Meinungen. Die Entwickler von Kaspersky sehen keinen Wert darin, Ports zu verschleiern, solange die Ports geschlossen sind und die Firewall einen Angriff aktiv verhindert.

Die Programmsteuerung in den frühesten persönlichen Firewalls war äußerst praktisch. Jedes Mal, wenn ein unbekanntes Programm versucht hat, auf das Netzwerk zuzugreifen, hat die Firewall den Benutzer gefragt, ob er den Zugriff zulassen möchte oder nicht. Dieser Ansatz ist nicht sehr effektiv, da der Benutzer im Allgemeinen keine Ahnung hat, welche Aktion korrekt ist. Die meisten erlauben einfach alles. Andere klicken jedes Mal auf Block, bis sie ein wichtiges Programm beenden. danach erlauben sie alles. Wir führen eine praktische Überprüfung dieser Funktionalität mit einem winzigen, in Stunden codierten Browser-Dienstprogramm durch, das immer als unbekanntes Programm eingestuft wird.

Einige Schadprogramme versuchen, diese Art der einfachen Programmsteuerung zu umgehen, indem sie als vertrauenswürdige Programme manipulieren oder maskieren. Wenn wir auf eine Firewall der alten Schule stoßen, testen wir ihre Fähigkeiten mithilfe von Dienstprogrammen, die als Lecktest bezeichnet werden. Diese Programme verwenden dieselben Techniken, um der Programmsteuerung zu entgehen, jedoch ohne schädliche Nutzdaten. Wir finden immer weniger Dichtheitsprüfungen, die unter modernen Windows-Versionen noch funktionieren.

Am anderen Ende des Spektrums konfigurieren die besten Firewalls automatisch die Netzwerkberechtigungen für als funktionierend bekannte Programme, beseitigen als fehlerhaft bekannte Programme und verstärken die Überwachung unbekannter Programme. Wenn ein unbekanntes Programm versucht, eine verdächtige Verbindung herzustellen, wird die Firewall zu diesem Zeitpunkt aktiviert, um die Verbindung zu beenden.

Software ist nicht perfekt und kann auch nicht perfekt sein. Deshalb arbeiten die Bösewichte hart daran, Sicherheitslücken in gängigen Betriebssystemen, Browsern und Anwendungen zu finden. Sie entwickeln Exploits, um die Systemsicherheit zu gefährden, indem sie die gefundenen Schwachstellen ausnutzen. Natürlich veröffentlicht der Hersteller des ausgenutzten Produkts so schnell wie möglich einen Sicherheitspatch, aber bis Sie diesen Patch tatsächlich anwenden, sind Sie anfällig.

Die intelligentesten Firewalls fangen diese Exploit-Angriffe auf Netzwerkebene ab, sodass sie nicht einmal Ihren Computer erreichen. Selbst für diejenigen, die nicht auf Netzwerkebene scannen, löscht die Antivirenkomponente in vielen Fällen die Malware-Nutzlast des Exploits. Wir verwenden das CORE Impact Penetration Tool, um jedes Testsystem mit ungefähr 30 aktuellen Exploits zu treffen und aufzuzeichnen, wie gut das Sicherheitsprodukt sie abwehrt.

Abschließend führen wir eine Überprüfung der Integrität durch, um festzustellen, ob ein Malware-Codierer den Sicherheitsschutz leicht deaktivieren kann. Wir suchen in der Registrierung nach einem Ein / Aus-Schalter und testen, ob er zum Deaktivieren des Schutzes verwendet werden kann (obwohl wir seit Jahren ein für diesen Angriff anfälliges Produkt gefunden haben). Wir versuchen, Sicherheitsprozesse mit dem Task-Manager zu beenden. Und wir prüfen, ob es möglich ist, die wichtigen Windows-Dienste des Produkts zu beenden oder zu deaktivieren.

Testen der Kindersicherung

Die elterliche Kontrolle und Überwachung umfasst eine Vielzahl von Programmen und Funktionen. Mit dem typischen Dienstprogramm zur Kindersicherung werden Kinder von unerwünschten Websites ferngehalten, ihre Internetnutzung überwacht und Eltern können bestimmen, wann und wie lange die Kinder täglich das Internet nutzen dürfen. Andere Funktionen reichen von der Beschränkung von Chat-Kontakten bis hin zum Patroullieren von Facebook-Posts für riskante Themen.

Wir führen immer eine Überprüfung der Integrität durch, um sicherzustellen, dass der Inhaltsfilter tatsächlich funktioniert. Wie sich herausstellt, ist es ein Kinderspiel, Pornoseiten zum Testen zu finden. Fast jede URL, die aus einem Größenadjektiv und dem Namen eines normal abgedeckten Körperteils besteht, ist bereits eine Pornoseite. Nur sehr wenige Produkte bestehen diesen Test nicht.

Wir verwenden ein kleines firmeninternes Browser-Dienstprogramm, um sicherzustellen, dass die Inhaltsfilterung browserunabhängig ist. Wir geben einen Netzwerkbefehl aus drei Wörtern aus (nein, wir veröffentlichen ihn hier nicht), mit dem einige einfache Inhaltsfilter deaktiviert werden. Und wir prüfen, ob wir dem Filter mithilfe einer sicheren, anonymisierenden Proxy-Website ausweichen können.

Das Auferlegen von Zeitlimits für den Computer oder die Internetnutzung von Kindern ist nur dann effektiv, wenn die Kinder die Zeitmessung nicht beeinträchtigen können. Wir überprüfen, ob die Zeitplanungsfunktion funktioniert, und versuchen, sie zu umgehen, indem wir Datum und Uhrzeit des Systems zurücksetzen. Die besten Produkte verlassen sich hinsichtlich Datum und Uhrzeit nicht auf die Systemuhr.

Danach müssen nur noch die Funktionen getestet werden, die das Programm angeblich besitzt. Wenn es die Möglichkeit verspricht, die Verwendung bestimmter Programme zu blockieren, aktivieren wir diese Funktion und versuchen, sie zu unterbrechen, indem wir das Programm verschieben, kopieren oder umbenennen. Wenn es besagt, dass fehlerhafte Wörter aus E-Mails oder Instant Messaging entfernt werden, fügen wir der Sperrliste ein zufälliges Wort hinzu und vergewissern uns, dass es nicht gesendet wird. Wenn behauptet wird, dass Instant Messaging-Kontakte eingeschränkt werden können, richten wir eine Konversation zwischen zwei unserer Konten ein und sperren dann eines von ihnen. Was auch immer die Steuerungs- oder Überwachungsleistung des Programms verspricht, wir tun unser Bestes, um es auf die Probe zu stellen.

Interpretieren von Antivirus-Labortests

Wir verfügen nicht über die Ressourcen, um umfassende Antiviren-Tests durchzuführen, die von unabhängigen Labors auf der ganzen Welt durchgeführt werden. Daher achten wir genau auf deren Ergebnisse. Wir folgen zwei Labors, die Zertifizierungen ausstellen, und vier Labors, die regelmäßig Testergebnisse veröffentlichen. Die Ergebnisse dienen als Grundlage für unsere Überprüfungen.

ICSA Labs und West Coast Labs bieten eine Vielzahl von Sicherheitszertifizierungstests an. Wir folgen speziell ihren Zertifizierungen für die Erkennung von Malware und für die Entfernung von Malware. Sicherheitsanbieter zahlen dafür, dass ihre Produkte getestet werden, und der Prozess umfasst die Hilfe der Labors, um Probleme zu beheben, die die Zertifizierung verhindern. Was wir hier sehen, ist die Tatsache, dass das Labor das Produkt als signifikant genug zum Testen befunden hat und der Anbieter bereit war, für das Testen zu zahlen.

Das in Magdeburg ansässige AV-Test-Institut unterzieht Virenschutzprogramme fortlaufend einer Vielzahl von Tests. Das, worauf wir uns konzentrieren, ist ein dreiteiliger Test, der bis zu 6 Punkte in jeder der drei Kategorien vergibt: Schutz, Leistung und Benutzerfreundlichkeit. Um die Zertifizierung zu erreichen, muss ein Produkt insgesamt 10 Punkte ohne Nullen erhalten. Die besten Produkte werden in diesem Test mit 18 Punkten bewertet.

Um den Schutz zu testen, setzen die Forscher jedes Produkt dem Referenzsatz von AV-Test von über 100.000 Proben und mehreren Tausend extrem verbreiteten Proben aus. Produkte werden dafür ausgezeichnet, dass sie den Befall in jedem Stadium verhindern, sei es den Zugriff auf die Malware-Hosting-URL blockieren, die Malware mithilfe von Signaturen erkennen oder das Ausführen der Malware verhindern. Die besten Produkte erreichen in diesem Test oft einen 100-prozentigen Erfolg.

Leistung ist wichtig - Wenn das Virenschutzprogramm die Systemleistung spürbar beeinträchtigt, wird es von einigen Benutzern deaktiviert. Die Forscher von AV-Test messen den Zeitunterschied, der erforderlich ist, um 13 allgemeine Systemaktionen mit und ohne vorhandenes Sicherheitsprodukt durchzuführen. Zu diesen Aktionen gehören das Herunterladen von Dateien aus dem Internet, das Kopieren von Dateien sowohl lokal als auch über das Netzwerk sowie das Ausführen gängiger Programme. Durch die Mittelung mehrerer Läufe können sie feststellen, wie stark jedes Produkt wirkt.

Der Usability-Test entspricht nicht unbedingt Ihren Vorstellungen. Es hat nichts mit Benutzerfreundlichkeit oder Design der Benutzeroberfläche zu tun. Vielmehr werden die Usability-Probleme gemessen, die auftreten, wenn ein Antivirenprogramm ein legitimes Programm oder eine Website fälschlicherweise als böswillig oder verdächtig markiert. Die Forscher installieren und führen eine ständig wechselnde Sammlung beliebter Programme aus, wobei sie merkwürdige Verhaltensweisen des Antivirus bemerken. Ein separater Nur-Scan-Test überprüft, ob das Virenschutzprogramm mehr als 600.000 legitime Dateien als Malware identifiziert.

Wir sammeln Ergebnisse aus vier (zuvor fünf) der zahlreichen Tests, die regelmäßig von AV-Comparatives veröffentlicht werden, das seinen Sitz in Österreich hat und eng mit der Universität Innsbruck zusammenarbeitet. Sicherheitstools, die einen Test bestehen, erhalten die Standardzertifizierung. diejenigen, die versagen, werden als lediglich getestet bezeichnet. Wenn ein Programm über das erforderliche Minimum hinausgeht, kann es eine Advanced- oder Advanced + -Zertifizierung erhalten.

Bei dem Dateierkennungstest von AV-Comparatives handelt es sich um einen einfachen statischen Test, bei dem jedes Virenschutzprogramm auf etwa 100.000 Malware-Beispiele überprüft wird. Bei einem Test auf falsch-positive Ergebnisse wird die Genauigkeit sichergestellt. Und der Leistungstest misst ähnlich wie der von AV-Test alle Auswirkungen auf die Systemleistung. Zuvor haben wir den Heuristik- / Verhaltenstest eingeschlossen. Dieser Test wurde fallen gelassen.

Wir betrachten den dynamischen Gesamtprodukttest von AV-Comparatives als den bedeutendsten. Ziel dieses Tests ist es, die tatsächliche Benutzererfahrung so genau wie möglich zu simulieren, damit alle Komponenten des Sicherheitsprodukts Maßnahmen gegen die Malware ergreifen können. Schließlich beginnt der Korrekturtest mit einer Sammlung von Malware, von der bekannt ist, dass sie von allen getesteten Produkten erkannt wird, und fordert die Sicherheitsprodukte auf, ein infiziertes System wiederherzustellen und die Malware vollständig zu entfernen.

Während AV-Test und AV-Vergleichstests in der Regel 20 bis 24 Produkte enthalten, gibt SE Labs in der Regel nicht mehr als 10 an. Dies ist zum großen Teil auf die Art des Tests in diesem Labor zurückzuführen. Forscher erfassen Websites, auf denen Malware in der Realität gehostet wird, und verwenden eine Wiedergabetechnik, sodass für jedes Produkt genau derselbe Drive-by-Download oder eine andere webbasierte Attacke auftritt. Es ist extrem realistisch, aber anstrengend.

Ein Programm, das einen dieser Angriffe vollständig blockiert, erhält drei Punkte. Wenn es nach Beginn des Angriffs Maßnahmen ergriffen hat, aber alle ausführbaren Spuren entfernt wurden, sind dies zwei Punkte wert. Und wenn der Angriff ohne vollständige Bereinigung nur abgebrochen wird, erhält er immer noch einen Punkt. In dem unglücklichen Fall, dass die Malware auf dem Testsystem frei läuft, verliert das getestete Produkt fünf Punkte. Aus diesem Grund haben einige Produkte tatsächlich unter null Punkte erzielt.

In einem separaten Test bewerten die Forscher, inwieweit jedes Produkt es unterlässt, gültige Software fälschlicherweise als böswillig zu identifizieren, und gewichten die Ergebnisse basierend auf der Prävalenz der einzelnen gültigen Programme und der Auswirkung der falsch-positiven Identifizierung. Sie kombinieren die Ergebnisse dieser beiden Tests und zertifizieren Produkte auf einer von fünf Stufen: AAA, AA, A, B und C.

• Die besten Sicherheitssuiten für 2019 Die besten Sicherheitssuiten für 2019
• Der beste Virenschutz für 2019 Der beste Virenschutz für 2019
• Der beste kostenlose Virenschutz für 2019 Der beste kostenlose Virenschutz für 2019

Seit einiger Zeit verwenden wir einen Feed mit Beispielen von MRG-Effitas für unseren praktischen Test zur Blockierung böswilliger URLs. Dieses Labor veröffentlicht auch vierteljährliche Ergebnisse für zwei bestimmte Tests, die wir folgen. Der 360 Assessment & Certification-Test simuliert den realen Schutz vor aktueller Malware, ähnlich dem von AV-Comparatives verwendeten dynamischen Real-World-Test. Ein Produkt, das einen Befall durch das Probenset vollständig verhindert, erhält die Level 1-Zertifizierung. Die Zertifizierung der Stufe 2 bedeutet, dass mindestens einige der Malware-Beispiele Dateien und andere Spuren auf dem Testsystem abgelegt haben, diese Spuren jedoch bis zum nächsten Neustart beseitigt waren. Die Online-Banking-Zertifizierung prüft ganz spezifisch den Schutz vor finanzieller Malware und Botnets.

Es ist nicht einfach, eine allgemeine Zusammenfassung der Laborergebnisse zu erstellen, da in den Labors nicht alle dieselbe Sammlung von Programmen getestet werden. Wir haben ein System entwickelt, das die Ergebnisse der einzelnen Labors auf einen Wert von 0 bis 10 normiert. In unserem aggregierten Laborergebnisdiagramm werden der Durchschnitt dieser Ergebnisse, die Anzahl der Labortests und die Anzahl der erhaltenen Zertifizierungen angegeben. Wenn nur ein Labor ein Produkt in die Prüfung einbezieht, sind die Informationen für eine Gesamtbewertung unseres Erachtens unzureichend.

Möglicherweise haben Sie festgestellt, dass diese Liste der Testmethoden keine virtuellen privaten Netzwerke oder VPNs abdeckt. Das Testen eines VPN unterscheidet sich stark vom Testen eines anderen Teils einer Sicherheitssuite. Daher haben wir eine separate Erläuterung zum Testen von VPN-Diensten bereitgestellt.