Editorial
Wir haben was gegen NSA und Prism, auch wenn gegen das Arsenal der Geheimdienste kaum ein Kraut gewachsen ist. Doch mit Hilfe dieses Sonderhefts machen Sie es den Schurken und allzu neugierigen Staaten so schwer wie möglich.
c’t Security klärt verlässlich auf, gibt Anleitungen und enthält exklusive Werkzeuge, damit Sie sich das auf Ihre Bedürfnisse zugeschnittene Sicherheitspaket schnüren können. Wir zeigen Ihnen, wie Sie Apps kontrollieren, anonym surfen (ein Gutschein für JonDonym gehört dazu) und Schädlinge auf Ihren Rechnern mit dem exklusiven Desinfec’t 2013 aufspüren, das direkt von der DVD startet.
Die Beiträge, wie Sie Mail und Daten verschlüsseln, über öffentliche Hotspots sicher surfen, Ihr Smartphone absichern und die Schutzmechanismen von Windows 8 einsetzen, erhalten durch die aufgedeckte Totalüberwachung besondere Brisanz. Das Anliegen des c’t Security-Teams ist es aber auch, Sie über die aktuelle Nachrichtenlage hinaus über digitale Sicherheit zu informieren, denn das Thema wird uns langfristig begleiten.
Inhaltsverzeichnis
Globaler Abhörwahn
Globaler Abhörwahn
Prism yourself: Was finden Sie über sich heraus?
Gegen die Totalüberwachung
Wegweiser zu den Rezepten im Heft
Windows-Sicherheit
Die neuen Tricks der Internet-Gauner
Mehr Schutz beim Surfen
Das Schutzkonzept von Windows 8
Windows XP vor dem Support-Aus
Der c’t-Trojaner-Test
Virenscanner im Test
FAQ Virenscanner
Mobil und Apps
Die Smartphone-Trojaner-Flut
Smartphones absichern
Android-Geräte verschlüsseln
Angriffe auf Smartphones mit Honeypots analysieren
Ortung auf dem Smartphone verhindern
Bezahlen mit dem Handy
Netzwerkverkehr von Smartphones kontrollieren
Risiko WLAN
Gefahren bei der Hotspot-Nutzung
Das Bestiarium der Hotspot-Angriffe
Öffentliches WLAN sicher nutzen
c’t-Rundumschutz auf DVD
Übersicht DVD-Inhalt und Aktion
Virenjagd mit Power und Komfort
Scannen und Reinigen mit Desinfec’t
FAQ Desinfec’t 2013
Online-Banking und Finanzverwaltung mit c’t Bankix
Sicher surfen mit c’t Surfix
Kinder schützen
Kinderschutz zwischen Laisser-faire und Total-Kontrolle
Webinhalte kindersicher filtern
Kindersicherungen für Smartphones und Tablets
Anonym im Netz
Dienste und Software zum Verbergen der IP-Adresse
Anonym surfen mit JonDonym
Tracking-Schutz im Browser
Identität und Passwörter
Die Passwortknacker
Die Tools und Techniken der Passwortknacker
Passwort-Schutz für jeden
Gefahr durch Identitätsdiebstahl
Digitale Identität schützen
Verschlüsselung
Vertrauenswürdige Kommunikation
Mail-Verschlüsselung auf dem Rechner und mobil
Daten auf Online-Speichern schützen
FAQ Verschlüsselung
Analyse und Forensik
Schädlinge in der Sandbox untersuchen
Spurensuche auf Festplatten
Zum Heft
Editorial
Aktion: Gratis anonym surfen
Impressum
Windows XP vor dem Support-Aus
XP ist die am häufigsten infizierte Windows-Version. Und das kommt nicht von ungefähr: Dem Betriebssystem fehlen etliche Schutzfunktionen, die Microsoft im Laufe des vergangenen Jahrzehnts in die Nachfolgeversionen eingebaut hat. Warum ab 2014 alles noch viel schlimmer wird und XP-Nutzer schon jetzt ein Upgrade planen sollten.
Windows 8 bricht in vielerlei Hinsicht mit alten Traditionen: Neben dem Wegfall des Start-Buttons und der radikal renovierten Bedienoberfläche bringt Nummer acht etwa erstmals einen ausgewachsenen Virenscanner mit. Bei dem Schutzprogramm Windows Defender handelt es sich um neu benannte Microsoft Security Essentials (MSE), die das Unternehmen seinen Windows-Nutzern bereits seit einigen Jahren kostenlos zur Nachinstallation anbietet. Mit dem 2006 veröffentlichten und seit Vista eingebauten, gleichnamigen Spyware-Killer hat der Defender nicht mehr viel gemein. Wie schon die MSE liefert der Defender einen soliden Grundschutz, der vor allem auf der Überprüfung digitaler Fingerabdrücke, sogenannter Signaturen, beruht. Entdeckt das Schutzprogramm einen bekannten Schädling, wird er sofort in die Quarantäne befördert. Seine Signaturdatenbank aktualisiert es täglich. Ein Rundum-sorglos-Paket ist der Defender jedoch nicht: Anders als die meisten Virenschutzprogramme bringt er keine Verhaltensüberwachung mit, durch die er bislang wenig verbreitete Malware anhand verdächtiger Aktivitäten aufspüren könnte. Beim Signaturscan schnitt die Schwester MSE in Tests stets gut ab, wurde jedoch von Avast, Avira, G Data, Kaspersky und Co. meist um mehrere Prozentpunkte übertroffen.
Patchday ohne Patch
Spätestens, wenn Microsoft die ersten kritischen Windows-Lücken nach dem Tag X schließt und dabei Windows XP nicht mehr berücksichtigt, sollte sich bei den verbleibenden XP-Nutzern ein flaues Gefühl in der Magengegend einstellen: Da einige Systemkomponenten historisch gewachsenen Code nutzen, betreffen Schwachstellen allzu oft sämtliche Ausgaben des Betriebssystems. Man muss fest damit rechnen, dass kritische Lücken in der Windows-Basis auch in Zukunft entdeckt werden – und die dazu passenden Patches werden Exploit-Entwicklern wertvolle Hinweise darauf liefern, wo genau das Sicherheitsloch klafft. Darüber, ob auch XP betroffen ist, kann man dann nur rätseln, weil nicht länger unterstützte Produkte an den Patchdays gar nicht mehr in den Advisories auftauchen.
Zum großen Knall kann es überall dort kommen, wo das Betriebssystem mit Daten von außen in Berührung kommt. Das können Netzwerkpakete, aber auch Mediendateien, Dokumente oder Webseiten sein. Ein löchriges Betriebssystem sollte man nur noch mit großer Vorsicht benutzen – und zwar ausschließlich mit Daten eindeutig vertrauenswürdiger Herkunft. Letztere kann man im Internet nur schwerlich verifizieren. Selbst wer nur eine Handvoll Webseiten ansurft, ist nicht vor Angriffen sicher. Immer wieder manipulieren Cyber-Ganoven Anzeigenserver, damit diese über die Werbung auf eigentlich seriösen Webseiten Schadcode ausliefern. Auch im lokalen Netzwerk lauern Gefahren: Sobald Lücken in einem der Windows-Dienste bekannt werden, können Angreifer ungepatchte Rechner ohne Zutun des Nutzers übernehmen. So könnte etwa ein Schädling, der den Rechner des Sohnemanns infiziert hat, auch auf andere PCs im gleichen Netz überspringen.
Wer noch XP nutzt und Windows treu bleiben will, sollte also tunlichst ein Upgrade durchführen, damit der Rechner weiterhin mit Sicherheits-Patches versorgt wird. Will man im Jahr 2017, wenn Microsoft den Vista-Support einstellt, nicht schon wieder vor diesem Problem stehen, sollte man mindestens zu Windows 7 greifen. Diese Version will das Unternehmen noch bis 2020 unterstützen. Noch zukunftssicherer ist Windows 8: Mit Sicherheits-Updates ist hier voraussichtlich erst im Oktober 2023 Schluss.
Viel Sicherheit fürs Geld
Mit Windows 8 erhält man nicht nur über zehn Jahre Sicherheits-Updates, man profitiert auch von zahlreichen Schutzfunktionen, die Microsoft im Laufe der vergangenen Jahre eingebaut und verfeinert hat. So bringt Windows seit Vista etwa die Speicherverwürfelung (Address Space Layout Randomization, ASLR) mit, die Angreifern das Ausnutzen von Sicherheitslücken erschwert. Die sogenannten Integrity Levels, die Microsoft in der deutschsprachigen Windows-Version missverständlich Verbindlichkeitsstufen nennt, sorgen dafür, dass etwa Code, der über einen Webbrowser (nicht vertrauenswürdige Verbindlichkeitsstufe) ins System eingeschleust wird, nicht auf Benutzerdaten (mittlere Verbindlichkeitsstufe) und schon gar nicht auf Systemprozesse (Systemverbindlichkeitsstufe) zugreifen kann.
Darüber hinaus erleichtert die Benutzerkontensteuerung (User Account Control, UAC) das Arbeiten mit eingeschränkten Rechten. Viele der mit Vista eingeführten Schutzfunktionen hat Microsoft im Laufe der Zeit verbessert. Einen Überblick über die Änderungen in Windows 8 liefert der Artikel ab Seite 24. Das prominenteste Sicherheits-Feature ist der eingebaute Virenschutz Defender, bei dem es sich um die bislang separat angebotenen Microsoft Security Essentials (MSE) handelt. Der liefert einen durchaus soliden Grundschutz. Zwar schneidet die Konkurrenz in Tests besser ab, diese ist jedoch entweder kostenpflichtig, aufdringlich – oder beides.
Man muss damit rechnen, dass die Anzahl der infizierten XP-Rechner aufgrund der zunehmenden Anzahl ungepatchter Schwachstellen eher ansteigen als zurückgehen wird. Bei Virenforschern erfreut sich XP nach wie vor sehr großer Beliebtheit – allerdings installieren sie es nicht auf ihren eigenen Produktivsystemen, sondern auf speziellen Testrechnern, die der Schädlingsanalyse dienen. Das hat einen einfachen Grund: Die meisten Viren laufen unter XP nach wie vor am besten. Darauf, dass XP in naher Zukunft aus dem Fokus der Virenschreiber rückt, sollte man nicht bauen: Laut Magnus Kalkuhl, Vize-Forschungsleiter beim Virenschutzanbieter Kaspersky Lab, „dürfte im Jahr 2014 die Zahl aktiver Windows-XP-Nutzer aus Sicht der Malware-Schreiber immer noch hoch genug sein“. Außerdem ist XP das am leichtesten angreifbare Betriebssystem.
Lebenserhaltungsmaßnahmen
Wer Windows XP ab 2014 noch am Leben erhalten will – oder muss –, sollte sich darüber im Klaren sein, dass von einer komfortablen Nutzung keine Rede mehr sein kann. Ohne Sicherheits-Updates muss man das System konsequent von allem isolieren, was potenziell virulent sein könnte. Der kürzeste Weg hierzu ist das Ziehen des Netzwerkkabels beziehungsweise das Deaktivieren der WLAN-Schnittstelle. Wenn man sich dann noch von fremden USB-Sticks, optischen Datenträgern und Disketten fernhält, ist das Infektionsrisiko gering. Wer nicht auf das Netz verzichten kann, dem steht ein langer, steiniger Weg bevor.
Zunächst einmal sollte die Windows-Firewall so konfiguriert werden, dass sie alle eingehenden Verbindungen blockiert [1]. So kann ein Angreifer die potenziell verwundbaren Dienste des Rechners nicht erreichen. Weiteren Schutz bietet eine Firewall, die mit einer Whitelist arbeitet und nur die Kommunikation mit bestimmten Hosts erlaubt. So wäre zwar der Dateiserver im Firmennetz erreichbar, die Kontaktaufnahme eines Schädlings mit seinem Command &Control-Server würde hingegen fehlschlagen. Hierzu kann man entweder eine Personal Firewall auf dem Rechner nutzen oder noch besser eine vorgeschaltete, dedizierte Firewall, zum Beispiel ein Linux-System, das mit iptables die durchgeleiteten Netzwerkpakete sortiert.
Darüber hinaus ist es ratsam, die Autostarts mit dem c’t-Tool kafu.exe zu verriegeln [2]. Dadurch können sich viele Schädlinge nicht mehr dauerhaft ins System einnisten. Software Restriction Policies können verhindern, dass Software ausgeführt wird, die nichts auf dem System zu suchen hat [3]. Auch hier bietet sich das Whitelist-Prinzip an. Surfen sollte man, wenn überhaupt, nur noch über eine VM, in der ein sicheres Surf-OS wie c’t Surfix läuft (siehe Seite 100). Der VM sollte dann exklusiv eine Netzwerkkarte zugewiesen werden.
Dass man unter XP nicht mit Administratorrechten arbeiten sollte, gilt nach dem Support-Aus mehr denn je [4]. Als Virenscanner empfiehlt sich der Einsatz der ressourcenschonenden und kostenlosen MSE – vorausgesetzt, das Schutzprogramm wird zum Zeitpunkt der Installation noch mit Signatur-Updates versorgt. Ansonsten muss eine Alternative her. Kaspersky Lab etwa gab gegenüber c’t an, seine aktuelle Produktlinie auch über das Jahr 2014 hinweg mit frischen Signaturen versorgen zu wollen. Wie lange neue Programmversionen noch XP unterstützen werden, steht allerdings in den Sternen.
Zudem sollte man die Datenausführungsverhinderung (Data Execution Prevention, DEP) scharfschalten, die sich in der Systemsteuerung unter „System\Erweitert\Einstellungen\Systemleistung“ findet. DEP erschwert Angreifern das Ausnutzen der Schwachstellen, die es unweigerlich geben wird. Weitere Exploit-Bremsen wie etwa einen Heap-Spraying-Blocker aktiviert das Abhärtungstool Microsoft EMET (siehe c’t-Link). Hierbei gilt: Je mehr Schutzfunktionen aktiv sind, desto besser. Allerdings kommen nicht alle Programme mit den aufgezwungenen Schutzmaßnahmen klar; in Problemfällen muss man die Störquelle durch gezieltes Deaktivieren der einzelnen Funktionen aufspüren.
Hardware-Verfall
Wer einen alten XP-Rechner betreibt, muss sich darüber im Klaren sein, dass der Zahn der Zeit auch an der Hardware nagt. Passende Austauschkomponenten finden sich oft nur noch bei Ebay oder auf dem Flohmarkt. Und wenn es mal ein lebenswichtiges Organ wie die Festplatte zerreißt, die das digitale Hab und Gut ihres Besitzers mit ins Datennirvana zieht, ist der Schaden groß.
Regelmäßige Backups sind also Pflicht – auch wegen der erhöhten Infektionsgefahr. Stammt der Rechner noch aus der XP-Anfangszeit, sollte man daher spätestens nach dem Support-Ende auf aktuelle Windows-8-Hardware umsatteln. Ist der Computer noch nicht ganz so alt, lässt sich Windows 8 wahrscheinlich direkt darauf installieren.
XP-Konserve
Allein die Tatsache, dass einige unersetzliche Programme nicht unter neueren Windows-Versionen laufen, sollte kein Grund gegen ein Windows-Upgrade sein. Einige Programme bekommt man mit dem Kompatibilitätsmodus ans Laufen, den man durch einen Rechtsklick auf ein Programm und den Registerreiter „Kompatibilität“ erreicht. Wenn das nicht hilft, muss die Anwendung in einer virtuellen XP-Maschine gestartet werden. Windows 7 hat hierfür einen speziellen XP-Modus, der nichts anderes ist als eine XP-VM mit einer passenden Windows-Lizenz.
Unter Windows 8 muss man selbst Hand anlegen und eine virtuelle Maschine etwa unter VirtualBox oder Virtual PC einrichten. Hierbei ist zu beachten, dass die alte XP-Lizenz nach dem Upgrade auf Windows 8 nicht mehr eingesetzt werden darf, selbst wenn dies technisch möglich wäre – auch nicht innerhalb der VM. Zur Absicherung der XP-VM sind im Wesentlichen die im Absatz „Lebenserhaltungsmaßnahmen“ beschriebenen Schritte einzuhalten.
Auf eine Netzwerkverbindung der VM sollte man möglichst verzichten. Als sichere Alternative zu Netzwerkfreigaben bieten die VM-Lösungen geteilte Ordner, die auch ohne Netzzugriff vom Host-PC in die VM hineingereicht werden. Auch der Einsatz von System-Snapshots schafft Sicherheit. Nistet sich doch mal ein Schädling in der VM ein, setzt man sie einfach auf den letzten sauberen Zustand zurück. Die Arbeitsdateien im geteilten Ordner sind vom Zurücksetzen nicht
betroffen.
Abschied nehmen
Der Einsatz von Windows XP ist spätestens ab Frühjahr 2014 mit vielen Wenns und Abers verbunden. Wer kann, sollte sich daher rechtzeitig auf ein Upgrade vorbereiten. Carsten Eiram, Chief Security Specialist beim Schwachstellen-Spezialisten Secunia, richtet sich mit deutlichen Worten an Unternehmen, die nach dem Support-Ende noch auf XP setzen: „Das Upgrade muss abgeschlossen sein, bevor Microsoft den Security Support für Windows XP […] einstellt. Alles andere wäre schlicht verantwortungslos.“ Das gilt auch für Privatnutzer. (rei)
Gerüchteküche
Seitdem bekannt ist, dass Microsoft im Frühjahr 2014 den Extended Support von Windows XP einstellen wird, ranken sich viele Mythen um diesen Termin. So heißt es etwa, dass das Betriebssystem an diesem Tag zur Freeware wird und man es daher ohne gültige Lizenz einsetzen kann. An diesem Gerücht ist nichts dran: Der Einsatz einer nicht lizenzierten XP-Version bleibt auch nach dem Support-Ende illegal.
Auch darauf, dass man ein neu installiertes Windows XP dann nicht mehr aktivieren kann, weil angeblich die Aktivierungsserver abgeschaltet werden, deutet momentan nichts hin.
Darüber hinaus wird Microsoft unter anderem seine Knowledge Base am Leben erhalten, in der man das gesammelte Support-Wissen aus über zehn Jahren XP findet. Alles, was Microsoft nach der Pensionierung als Hilfe zur Selbsthilfe bereitstellt, findet man unter dem c’t-Link am Ende des Artikels. Sogar technischen Support gibt es weiterhin gegen Bezahlung.
Literatur (siehe auch im Link unten)
[1] Daniel Bachfeld, Firewall-Kur, Netzwerkschutz mit Service Pack 2, c’t 16/04, S. 98
[2] Axel Vahldiek, Selbstschutz, Das Sicherheitskonzept von Windows 2000 und XP, c’t 15/04, S. 110
[3] Dirk Knop, Geregelte Bahnen, Auf Windows-PCs mit Bordmitteln die Ausführung von Programmen unterbinden, c’t 20/06, S. 144
[4] Johannes Endres, Heute ein Admin, Souverän arbeiten ohne Administrator-Rechte unter XP, c’t 23/05, S. 112
www.ct.de/cs1303028
Der c’t-Trojaner-Test
Angebliche Mahnungen, Strafbescheide, Rechnungen – Trojaner in E-Mails sind einer der hauptsächlichen Infektionswege für Windows-PCs. Wir haben einen Test konzipiert, der unter realistischen Bedingungen prüft, wie gut Antiviren-Software wirklich dagegen schützt. Dabei stellt sich heraus, dass die Zeit ein ganz entscheidender Faktor ist.
Computer-Schädlinge fängt man sich im Wesentlichen auf zwei Wegen ein: Entweder ohne nennenswertes eigenes Zutun über eine Sicherheitslücke in einem der installierten Programme oder der Anwender wird durch geschicktes Drumherum dazu gebracht, den Unrat selbst auf seinem Rechner auszuführen.
Die Erfahrung im Rahmen der Redaktions-Hotline und im persönlichen Umfeld deutet darauf hin, dass gerade Letzteres einen beträchtlichen, wenn nicht sogar den größeren Teil der realen Infektionen verursacht. Bei vielen der befallenen Windows-Systeme ließ sich die Infektion auf einen voreiligen Klick zurückführen. Und die zugehörigen Mails sind mittlerweile so gut gemacht, dass selbst erfahrene Anwender darauf hereinfallen. Es sind sogar schon Fälle aufgetreten, in denen die Empfänger mit ihrem korrekten Namen angesprochen wurden. Die Absender benutzen offenbar Datenbanken mit E-Mail-Adressen und Namen, die vermutlich zuvor in einem Forum oder Online-Shop gestohlen wurden.
Doch genau dafür hat man eigentlich Antiviren-Software auf seinem Windows-PC installiert. In gängigen Tests glänzen diese Wächter durch hervorragende Erkennungsraten von weit über 90 Prozent und sollten somit gut gerüstet sein, einen gelegentlichen, voreiligen Klick rechtzeitig abzufangen und die Trojaner-Gefahr abzuwenden. Doch unsere Erfahrung im Alltag spiegelte das nicht wider. Im Gegenteil: Immer wenn wir einen solchen Trojaner direkt nach dem Empfang etwa bei Virustotal hochluden, um die Erkennung durch die dort gehosteten Virenscanner zu checken, zeigte sich ein ähnliches Bild: bestenfalls vereinzelte Warnungen; die Mehrzahl der Virenscanner hat nichts an der Datei auszusetzen.
Das ist nicht wirklich verwunderlich, ist doch der grundsätzliche Ansatz der Antiviren-Programme immer noch der, bekannt bösartige Muster wiederzuerkennen. Gegen neuartige Bedrohungen haben sie nicht viel vorzuweisen. Und durch die bereits existierenden Bot-Netze verbreitet sich eine neue Trojaner-Welle rasant. Nimmt man an, dass ein versklavter PC eine Viren-Mail pro Sekunde verschickt, drückt schon ein kleineres Bot-Netz mit 50.000 Zombies in nur einer Stunde rund 200 Millionen Trojaner in unsere Postfächer. Diese Stunde ist kaum genug Zeit, AV-Programme mit aktualisierten Kennungen zu versorgen.
Trotzdem argumentiert die Branche geschlossen, dass Virustotal-Tests nicht viel aussagen. Denn ein installierter Viren-Wächter habe viel mehr Möglichkeiten, einen Schädling als solchen zu erkennen, als ein reiner Kommandozeilen-Scanner, wie er bei Virustotal zum Einsatz kommt. Da ist zum einen die Cloud-Erkennung, die in Echtzeit beim Server des Herstellers nachfragt, was denn von dieser Datei zu halten sei. Ihr zur Seite springt die viel gepriesene Verhaltenserkennung, die zur Laufzeit anhand der Aktivitäten eines Programmes bösartige Aktionen erkennen und rechtzeitig stoppen beziehungsweise rückgängig machen könne.
Das Test-Szenario
Langer Rede, kurzer Sinn: Wir wollten das genauer wissen und haben in Zusammenarbeit mit dem österreichischen Test-Labor AV-Comparatives (www.av-comparatives.org) einen Test realisiert, der genau das Trojaner-Szenario nachstellt. Im Einverständnis mit dem Betriebsrat des Heise-Zeitschriften-Verlags filterten wir alle eingehenden Mails auf Anhänge mit ZIP-Archiven. Enthielten sie eine exe-Datei, wurde diese automatisiert an AV-Comparatives übermittelt. Das Ganze reicherten wir noch durch ZIP-Anhänge aus diversen Spam-Traps an, die uns das Projekt NixSpam der iX weiterleitete.
Darüber hinaus konsultierten wir einige einschlägige Usenet-Newsgruppen, in denen vorgebliche Filme gerne als RAR-Archive gepostet werden. Auch hier fanden sich nach dem Download statt der versprochenen Video-Datei ausführbare Programme, die wir jeweils unverzüglich zum Trojaner-Test an AV-Comparatives übermittelten.
In deren Testlabor findet sich eine ganze Batterie von speziell präparierten, ferngesteuerten Rechnern, auf denen aktuelle Antiviren-Software verschiedener Hersteller installiert ist. Das System war bewusst nicht auf optimalen Schutz ausgerichtet; schließlich wollten wir die Schutzfunktion der AV-Software testen und nicht die Findigkeit der Virenbastler beim Umgehen aktueller Schutzkonzepte von Betriebssystem und Anwendungen. Als Software-Basis kam deshalb Windows XP SP3 zum Einsatz und der angemeldete Benutzer arbeitete als Administrator.
Jeder dieser Rechner erhielt eine Kopie des vermutlichen Trojaners und diese wurde auf dem System tatsächlich ausgeführt. Das System protokollierte dabei eine eventuelle Reaktion des Virenwächters. Mögliche Ergebnisse waren: Infektion verhindert (0), Nachfrage beim Anwender (0,5), keine Reaktion (1). Anschließend wurde das Windows-System auf eine eventuelle Infektion untersucht.
Der Aufwand, den ein solcher Test erfordert, ist beträchtlich. Dass für jeden Testkandidaten dazu ein eigener PC erforderlich ist, ist noch das Geringste. Das muss im Übrigen echte Hardware sein; virtuelle Maschinen erkennen viele Schädlinge und werden dort erst gar nicht aktiv. Darüber hinaus müssen alle Vorgänge vollständig automatisiert werden – auch die Erfassung der Reaktionen des Virenwächters, die abschließende Analyse des Systems und dessen Zurücksetzen in einen definierten Zustand. Denn die Tests müssen rund um die Uhr, gleichzeitig und vor allem möglichst bald nach dem Eingang der Trojaner-Mail erfolgen.
Bei den verwendeten Test-Trojanern handelte es sich somit nicht um irgendwelche Samples, die vielleicht gar nicht in freier Wildbahn auftauchen, sondern um echte Trojaner, die in dieser Form direkt in unseren Mailboxen landeten. Durch das Test-Setup war gewährleistet, dass die Schädlinge spätestens 15 Minuten nach ihrem Eintreffen auf Systemen mit aktueller AV-Software ausgeführt wurden. Diese hatte alle Möglichkeiten, eine Infektion zu verhindern – einschließlich einer Internet-Verbindung, um sich Rat beim Mutterschiff zu holen.
Testkandidaten
Bei diesem Test wollten wir uns ein möglichst breites Bild der aktuellen Situation machen und bauten so ziemlich alles ein, was Rang und Namen hat: Avast, Avira, Bitdefender, Eset, F-Secure, G Data, Kaspersky, McAfee, Microsoft, Panda, Symantec und Trend Micro. Die jeweils getesteten Versionen können Sie der Tabelle „Antiviren Software” entnehmen. Bei einigen Programmen sind zwischenzeitlich allerdings neuere Versionen erschienen. Besonders bei G Data, die eine neue Scan-Engine namens CloseGap eingeführt haben, sind die Testergebnisse somit nur noch sehr begrenzt anwendbar. Die grundsätzlichen Erkenntnisse dieses Tests behalten jedoch unabhängig davon ihre Gültigkeit.
Das Testobjekt war in der Regel das Produkt mit der laut Hersteller maximalen Schutzwirkung – also die jeweilige Internet Security Suite. Weil uns aber schon lange die Frage umtreibt, ob denn die kostenpflichtigen Internet Security Suiten mit all ihren Zusatzfunktionen besser schützen als die kostenlosen, durfte bei Avast, AVG und Avira auch deren kostenlose Antivirus Software teilnehmen.
Das Testfeld komplettierten die ebenfalls kostenlosen Panda Cloud Antivirus und Microsoft Security Essentials, zu denen es kein direkt vergleichbares, kostenpflichtiges Produkt gibt. Die für Windows XP, Vista und 7 nachinstallierbaren Security Essentials sind im Übrigen quasi identisch mit dem bereits von Haus aus eingebauten Windows Defender von Windows 8. Insgesamt mussten sich 16 Produkte unseren Trojanern stellen.
Apropos Trojaner: Zu Beginn des Tests waren wir nicht ganz sicher, ob unser Auswahlverfahren, ausführbare Dateien in ZIP-Archiven auf die Scanner loszulassen, nicht vielleicht auch die ein oder andere harmlose Datei erfassen würde. Eine nachträgliche Kontrolle der getesteten Samples zeigte jedoch sowohl bei den Mailanhängen als auch bei den vorgeblichen Videos eine hundertprozentige Trefferquote: Zwei Wochen nach dem Test konnte jedes einzelne Sample eindeutig als Malware identifiziert werden.
Überhaupt zeigte der Test, dass die Zeit tatsächlich ein sehr entscheidender Faktor ist. Bevor AV-Comparatives die Infrastruktur für den Test fertiggestellt hatte, sammelten wir nämlich bereits fleißig Trojaner aus unseren Mailboxen ein. Die wurden dann zu Testbeginn in einem Rutsch durchgetestet – also mehrere Tage nach ihrem Eingang. Das Ergebnis war fast schon enttäuschend – zumindest aus Sicht des Testers, der sehr viel Mühe darauf verwendet hatte, ein realistisches Szenario zu entwerfen: Alle Testkandidaten konnten alle Trojaner stoppen; es kam zu keinen Infektionen.
Die Nagelprobe
Das Bild änderte sich jedoch schlagartig, als wir zum Echtzeitbetrieb übergingen. Schon als zwei neue Abkömmlinge aus bereits mehrfach aufgetauchten und erfolgreich abgewehrten Schädlingsfamilien eintrafen, gerieten die ersten Kandidaten ins Schleudern (siehe Zeile 3 und 4 in der Tabelle in diesem Artikel): McAfee, Symantec, Eset und G Data ließen einen der beiden Trojaner im neuen Outfit passieren und AVG fand zwar etwas Verdächtiges, fragte aber den Anwender um Rat.
Das tat es übrigens öfter mal, wenn auch nicht ganz so häufig wie Avast, das sehr viele Entscheidungen dem Anwender überlassen hat. Der Wächter meldete zwar, dass da etwas im Gange ist, überließ die Entscheidung, was zu tun ist, aber letztlich dem Anwender. Auch G Data griff gelegentlich zu dieser Notlösung.
Insgesamt konnte kein einziger der Virenwächter alle 248 Trojaner aufhalten. Die Überraschung des Tests war Avira, das alle bis auf einen einzigen wegfischte, bevor sie Schaden anrichten konnten. Die Überraschung rührte unter anderem daher, dass Avira bei den letzten Tests mit der eingesetzten Technik ein wenig ins Hintertreffen geraten war und nicht mehr so glänzte wie in früheren Jahren.
Es ist durchaus möglich, dass die Firma aus Tettnang am Bodensee in diesem Test ihren Heimvorteil ausspielen konnte. Schließlich stammten die Trojaner aus deutschen Mailboxen und da ist Avira natürlich „näher dran“ als etwa ein US-Konzern.
Gegen eine regionale Bevorzugung durch das Testverfahren spricht, dass McAfee und Symantec ebenfalls noch exzellente Ergebnisse vorweisen können. Im Mittelfeld angesiedelt sind Eset, Kaspersky und Avast, die sich nur gelegentliche Aussetzer leisteten. Bei Trend Micro verpatzte vor allem die sehr mangelhafte Erkennung der Video-Trojaner ein sonst recht gutes Ergebnis. Trend ließ sich durch den immer wieder in geringfügig modifizierter Form auftretenden (polymorphen) Trojaner sehr oft austricksen.
Zu den Enttäuschungen des Tests gehören durchaus renommierte Hersteller: Bitdefender und F-Secure sind mit diesen Ergebnissen nicht mehr unbedingt zu empfehlen. Dass die zweite deutsche Firma im Test, G Data, von ihrem Heimvorteil nicht profitiert, könnte daran liegen, dass die getestete Version anders als Avira noch keine eigene Engine einsetzte, sondern mit Avast und Bitdefender zwei externe Produkte verwendete. Mit der neuen Close-Gap-Technik will G Data genau das hier zutage getretene Problem angehen und deutlich schneller Signaturen bereitstellen. Es ist gut möglich, dass diese Version deutlich besser abgeschnitten hätte.
Als geradezu katastrophal muss man die Schutzwirkung von AVG, Microsofts Security Essentials und Pandas ebenfalls kostenloses Cloud Antivirus einstufen. Ihnen rutschten so viele Trojaner durch, dass man nicht mehr von wirkungsvollem Schutz reden kann.
Kostenlose im Vergleich
Interessant ist das Abschneiden der kostenlosen Antivirus-Produkte – ganz besonders im Vergleich zur hauseigenen Internet-Security-Konkurrenz. Zwar bilden die drei Gratis-Programme von Panda, Microsoft und AVG das Schlusslicht des Tests. Doch dafür glänzt Avira und auch das kostenlose Avast kann durchaus gut mithalten, sodass sich aus den Ergebnissen keine generelle Überlegenheit der kostenpflichtigen Programme herleiten lässt.
Insbesondere konnte in keinem einzigen Fall das kostenpflichtige Internet Security Suite signifikant besser abschneiden als das kostenlose Programm aus gleichem Haus. Bei Avira ist das Ergebnis exakt identisch, bei AVG schützten beide Versionen ähnlich schlecht und bei Avast konnte die kostenlose Version sogar ein paar Trojaner mehr stoppen. Das ist allerdings eher auf eine geringe Zeitdifferenz beim Test und damit andere Ergebnisse der Cloud-Abfragen des Wächters zurückzuführen als auf überlegene Erkennungsfunktionen. Insgesamt liefert dieser Test somit keinen Beleg, dass die jeweils hochpreisigeren Versionen eines Produkts einen besseren Schutz vor Trojanern böten.
Zu guter Letzt haben wir auch noch einen kurzen Gegentest mit zwei selbst erstellten Programmen gemacht, die garantiert harmlos waren. Avast, AVG und F-Secure schöpften trotzdem Verdacht und meldeten dem Anwender eine potenzielle Bedrohung, weil das Programm nicht ausreichend bekannt war. Symantec machte sogar kurzen Prozess und verschob den vermeintlichen Schädling mit einer kurz aufpoppenden Notiz gleich in die Quarantäne. Ähnliches Verhalten haben wir auch bereits früher bei Norton beobachtet.
Legenden und reale Gefahren
Will man einen Gegner überlisten, hilft es, Emotionen zu wecken, die ihn dazu verleiten, seine Vorsicht über Bord zu werfen. Die eingesetzten Tricks beherrschten schon die alten Griechen: In der griechischen Mythologie zum Trojanischen Krieg symbolisierte ein von den abziehenden Griechen zurückgelassenes Holzpferd scheinbar das Eingeständnis der Niederlage. Die Trojaner, die nichts mehr ersehnten, feierten das Ende der jahrelangen Belagerung und holten das Pferd in die Stadt. Etwas später – als keiner mehr drauf achtete – schlüpften aus dem Bauch des Trojanischen Pferds griechische Soldaten und öffneten ihrem zurückgekehrten Heer die Stadttore.
Heute kommen trojanische Pferde in Form von E-Mails, die tolle Gewinne verheißen, durch überhöhte Rechnungen verunsichern oder mit Konsequenzen für angebliche Missetaten drohen. Das Schema ist immer das gleiche: Der Anwender soll dazu verleitet werden, im Überschwang der Gefühle den Anhang der Mail zu öffnen. Das führt dann in der Regel zum Start eines kleinen Programms, das aus dem Internet den eigentlichen Schädling nachlädt und installiert.
Doch direkt ausführbare exe-Dateien als Dateianhänge zu verschicken macht nur wenig Sinn. Erstens hat sich herumgesprochen, dass von ausführbaren Dateien, die auf diesem Weg eintreffen, nichts Gutes zu erwarten ist. Deshalb filtern viele Mail-Provider derartige Anhänge standardmäßig aus. Und zweitens lässt sich eine solche exe-Datei im Anhang nur noch unter größten Mühen starten. Aber der listige Odysseus wartete schließlich auch nicht einfach so vor den Toren auf Einlass.
Analog zum Holzpferd verpacken die Cyber-Griechen ihre Downloader in Archive. So findet sich dann im E-Mail-Anhang ein ZIP-Archiv, das beispielsweise eine Datei namens Mahnung.pdf.exe enthält. Durch den scheinbaren Umweg über das ZIP-Archiv lässt sich die Datei letztlich sogar leichter starten. Außerdem blendet Windows per Default die bekannte Dateiendung exe aus und Öffnen bedeutet bei einer exe-Datei, dass diese ausgeführt wird. Sie kann dann mit den Rechten des Anwenders auf dem Rechner schalten und walten, wie sie will.
Der durch eine Mahnung mit angedrohter Zwangsvollstreckung sowieso schon verunsicherte Anwender sieht also eine Datei Mahnung.pdf mit einem passenden Icon. Wenn er auf diese doppelt klickt, hat er verloren – wenn ihm nicht sein Antiviren-Programm zur Seite springt und den bösartigen Trojaner enttarnt.
Natürlich ist die Bezeichnung Trojaner eigentlich falsch; schließlich waren die Angreifer Griechen und die Einwohner Trojas die Opfer. Aber Trojaner hat sich als kurzer, prägnanter Bezeichner für diese heimtückische Schädlingsgattung etabliert und kommt auch hier in diesem Sinn zum Einsatz.
Fazit
Man sollte sich davor hüten, die Ergebnisse dieses Tests zu verallgemeinern. So sagt dieser Trojaner-Test nichts darüber aus, wie gut ein Wächter vor Exploits schützt, die Schwachstellen und Sicherheitslücken ausnutzen und ebenfalls eine durchaus reale Gefahr darstellen.
Den Schutz vor derartigen Bedrohungen testen unter anderem die beiden Testlabors AV-Comparatives und AV-Test regelmäßig. Dabei schnitten aus dem Spitzenfeld des Trojaner-Tests im „Real World“-Test von AV-Comparatives Kaspersky sehr gut und Avira, Eset und Avast immer noch gut ab. Leider findet sich Symantecs Norton nicht im Testfeld von AV-Comparatives. Das deutsche Testlabor AV-Test attestiert Avast, Kaspersky und Symantec überdurchschnittlich guten Schutz vor Angriffen aus dem Internet und sortiert McAfee, Eset und Avira im Mittelfeld ein.
Außerdem leidet der Trojaner-Test darunter, dass die Zahl der Samples letztlich immer noch zu klein ist, um ein wirklich repräsentatives Abbild der Realität zu geben. So werteten wir zwar Hunderttausende Viren-Mails aus, aber viele davon erwiesen sich als Duplikate bereits bekannter Malware. Außerdem verteilten sich die getesteten 248 Trojaner auf recht wenige Schädlingsfamilien, was wohl auch am sehr speziell gewählten Infektionsvektor liegt.
Doch schon jetzt zeigt der Trojaner-Test sehr deutlich, dass die Zeit tatsächlich eine entscheidende Rolle dabei spielt, wie gut der Schutz durch ein Antiviren-Programm wirklich ausfällt. Im Prinzip können alle Hersteller nahezu alle Schädlinge erkennen und blockieren – wenn man ihnen genug Zeit lässt. Das erklärt die Ergebnisse mancher Tests, bei denen fast alle Produkte mit weit über 90 Prozent erstaunlich gut abschneiden. Um diesen Schutz zu genießen, müssten Sie also nur Ihre Mail vor dem Lesen immer erst ein paar Tage liegen lassen.
Doch Scherz beiseite! Was wir hier getestet haben, waren keineswegs hoch spezialisierte Exploits für gezielte Angriffe, sondern Massenware, die mit Standardverfahren ständig modifiziert wird, um AV-Software auszutricksen. Ganz offensichtlich funktionieren die generischen Verfahren zum Erkennen solch modifizierter Schädlinge immer noch nicht zuverlässig genug. Somit kommt es entscheidend darauf an, mit welcher Geschwindigkeit Hersteller auf neue Variationen reagieren. Und einige davon – namentlich Panda, Microsoft und AVG – sind da entschieden zu behäbig. Wer sich auf deren Schutzfunktion verlässt, spielt trojanisches Roulette. (ju)
So schützen Sie sich
Die Basis für ein sicheres System sind Updates. Spielen Sie insbesondere sicherheitsrelevante Updates für die eingesetzte Software schnellstmöglich ein. Besondere Aufmerksamkeit sollte Betriebssystem, Browser, Flash und Adobe Reader gelten. Aber auch Programme zur Anzeige beziehungsweise zum Bearbeiten von Bildern und Videos darf man nicht ignorieren. Java deinstalliert man am besten ganz. Ein Tool wie Secunia PSI hilft Ihnen dabei, auf aktuellem Stand zu bleiben.
Gegen Trojaner hilft gesunder Menschenverstand und ein wenig Misstrauen. Wenn eine Mail versucht, Sie in Euphorie oder Panik zu versetzen, bleiben Sie erst mal ruhig und öffnen Sie weder Links noch Dateianhänge. Fragen Sie vielleicht erst mal einen Kollegen oder eine Kollegin, was das wohl sein mag. Oft finden sich beim genaueren Hinsehen dann doch Merkwürdigkeiten, die den Trick entlarven. Enthält beispielsweise ein scheinbar offizielles Anschreiben einer Firma oder Behörde keine persönliche Anrede, können Sie in aller Regel davon ausgehen, dass da etwas faul ist. Und vielleicht können Sie ja mit dem Öffnen des Anhangs tatsächlich ein, zwei Tage warten.
Sorgen Sie außerdem dafür, dass Windows Ihnen die „bekannten Dateiendungen“ nicht mehr vorenthält. Das damit angezeigte „.exe“ hinter „Rechnung.pdf“ könnte genau der Hinweis sein, der Sie im letzten Moment doch noch zögern lässt, einen Trojaner zu öffnen. Sie finden die standardmäßig aktivierte Einstellung „Erweiterungen bei bekannten Dateitypen ausblenden“ bei Windows 8 etwas versteckt im Registerreiter „Ansicht“ des Explorer unter Optionen, Ansicht. Bei Windows 7 kommen Sie über die Menüleiste via Extras, Ordneroptionen, Ansicht dort hin.
Virenscanner zwischen Schutz und Gängelung
Einen Virenschutz braucht jeder Windows-Anwender; Windows 8 hat zwar einen an Bord, doch der ist im c’t-Trojaner-Test durchgefallen. Die Bedürfnisse der Nutzer sind aber unterschiedlich. Während sich der eine von selbstständig handelnder Software gegängelt fühlt, gibt der andere Sicherheitsfragen nur zu gerne vollständig aus der Hand. Das Bedienkonzept der Virenwächter braucht eine sehr gute Balance aus Einmischung und Zurückhaltung. Wir haben die Besten getestet und verglichen.
Sicherheit hat bei einem Virenscanner oberste Priorität. Eine aufgeräumte Oberfläche nützt nichts, wenn das Programm Schädlinge nicht im Griff hat. Deshalb steht im vorangegangenen Test die Zuverlässigkeit der Programme im Mittelpunkt. Die sechs besten Vertreter aus dem Artikel „Der c’t-Trojaner-Test“ haben wir uns darüber hinaus hinsichtlich ihres Verhaltens und ihrer Bedienbarkeit genauer angesehen. Avast Free Anti-Virusˇ8, Avira Free Antivirus 2013, NOD32 Antivirus 6 von Eset, Kaspersky Anti-Virus 2013, McAfee AntiVirus Plus 2013 und Norton Antivirus 2013 zeigen im zweiten Teil, wie viele Freiheiten sie dem Anwender gewähren und wie komfortabel sie sich konfigurieren lassen.
Je nach Anwendungsszenario ergeben sich unterschiedliche Anforderungen: Auf dem gemeinsam genutzten Familien-PC oder im Unternehmen sollten Schutzmaßnahmen automatisch ablaufen. Idealerweise überwacht der Virenscanner geöffnete Dateien und Einfallstore wie Browser und E-Mail-Client im Hintergrund und tritt nur in Erscheinung, um Alarm zu schlagen. Möglichen Bedrohungen begegnet er selbstständig, ohne Fragen zu stellen. Schädliche Dateianhänge im E-Mail-Eingang beseitigt er, den Zugang zu gefährlichen Webseiten sperrt er ohne Umschweife.
Ganz anders die Erwartungen des Power-Users: Er möchte selbst entscheiden, was mit Virenfunden geschehen soll – Virenscanner schlagen schließlich hin und wieder falschen Alarm. Avast und Avira lassen dem Anwender hier Freiheiten. Manchmal ist es wichtig zu wissen, ob eine E-Mail ein Attachment enthielt – eine flüchtige Meldung, dass da irgendetwas war, jedoch beseitigt wurde, reicht dann nicht aus. Eset, Kaspersky, Norton und McAfee ersetzen Anhänge durch einen Hinweistext.
Das Quarantäne-Verzeichnis sollte leicht zugänglich sein – zur Kontrolle oder falls dem Wächter ein Irrtum unterlaufen ist. Unnötige Hürden aufzubauen, indem man es in den Einstellungen versteckt, nützt niemandem. Wiederhergestellte Dateien verschwinden nach erneutem Aufruf häufig blitzschnell wieder dahin, wo sie hergekommen sind, etwa bei Eset NOD32, Kaspersky und McAfee. Um dieses sinnlose Hin und Her zu vermeiden, müssen Ausnahmeregeln her. Avira kann Dateien nach dem Wiederherstellen etwa für alle Zukunft ignorieren. Norton nimmt Dateien beim Wiederherstellen gleichzeitig von künftigen Scans aus.
Weitere Aktionen, durch die sich mancher Nutzer gegängelt fühlt, betreffen Wechselmedien, etwa den USB-Stick, der ungefragt überprüft wird, sobald er an den Rechner angesteckt wurde. Wer weiß, was er tut, kann auf derartige Bevormundung verzichten.
Ein sicheres Gefühl
In den genannten Fällen möchten kundige Anwender gern ein Wörtchen mitreden – ansonsten sollte der Virenscanner die Arbeit nicht durch unnötige Wortmeldungen unterbrechen. Einige Virenwächter tun das dennoch, beispielsweise mit Werbung oder Nachrichten wie bei Avira und Avast. Nun muss man fairerweise anmerken, dass es sich bei diesen beiden Kandidaten um die kostenlosen Vertreter im Test handelt. Wer sich durch gelegentliche Pop-ups nicht gestört fühlt, kann also Geld sparen. Für Gamer ist ein Spielemodus wichtig. Er verhindert, dass die übereifrige Meldung über die Vorzüge des Signatur-Updates einem die Kampagne in der Fantasy-Welt ruiniert.
Auch wenn es nach Werbegeschwätz klingt: Dem Anwender das Gefühl zu vermitteln, gut beschützt zu sein, ist eine wichtige Aufgabe der Programme. Der Virenscanner soll sich melden, wenn er Updates lädt und wenn er Schädlinge beseitigt. Die Angreifer sind heimlich und hinterlistig. Der Wächter klappert mit seinen Waffen und zeigt so, dass man beruhigt schlafen kann. Wenn sich alles still verhält, ist er vielleicht schon tot. Auch hier gilt es, das rechte Maß zu finden, denn häufige Fehlalarme unterminieren das Vertrauen. Doch es kann nicht schaden, ein dezentes „Datei ok“ einzublenden wie bei Norton üblich, wenn man eine EXE-Datei aus dem Netz lädt.
Avast Free Anti-Virus 8
Während der Installation fragt Avast detaillierte Einstellungen zum Schutz ab und möchte Google Chrome installieren. Anschließend folgt ein Upgrade-Angebot.
Ein Tray-Icon zeigt die Aktivität des Programms an. Hält man den Scanner an, belehrt eine deutliche Warnung, dass Deaktivierung Teil eines Angriffs sein kann. Zeitgesteuerte Scans bietet Avast nicht, allerdings checkt es den Rechner auf Wunsch beim Neustart.
Die Benutzerschnittstelle informiert, ob alles in Ordnung ist, betreibt allerdings auch etwas Werbung in eigener Sache. Status-Informationen, System-Scan und Protokoll sind gut zugänglich und einfach zu bedienen. Kacheln bieten die verschiedenen Schutzbereiche zur Auswahl an, darunter Dateisystem, Mail, Web, P2P, IM, Script und Verhalten. Die Tabs besitzen jeweils einen Stopp-Schalter, einen Graphen für die Aktivität und einen Knopf für erweiterte Einstellungen.
So weit, so einheitlich. Der Teufel steckt in den separaten Einstellungen. Sie bieten dem Anwender jeweils detaillierte Möglichkeiten zum Eingriff, etwa um einzelne Archivtypen vom Scan auszunehmen. Hier verzettelt man sich aber immer wieder auf der Suche nach dem gewünschten Schalter.
Auf infizierte Dateien weist Avast zunächst nur hin. Die Entscheidung, ob es sie ignoriert, löscht oder in die Quarantäne verschiebt, obliegt dem Anwender. E-Mail-Anhänge landen automatisch und unter Hinweis auf den Vorgang in der Quarantäne – ein Hinweis in der Mail wäre sinnvoll. Der „Virus Container“ in der Verwaltung ist einfach zugänglich, die angezeigten Details zu den Schädlingen sind aber nicht hilfreich. Man erfährt etwa Name, Dateigröße und Datum, erhält aber keine weiteren Informationen.
Avast setzt einen mündigen Nutzer voraus, der sich persönlich kümmert. Leider hapert es an Informationen, sodass man mit den Optionen leicht überfordert ist. Das Programm weist gerne und viel auf seine Aktivität hin und informiert nebenbei über die neuesten Sicherheitslücken in Java und Co.
Avira Free Antivirus 2013
Avira Antivirus hat immer noch nicht die Zertifizierungsstufe „kompatibel mit Windows 8“ erreicht. Probleme gibt es mit der Integration im Wartungscenter und der Stabilität, die Avira mit Updates beheben möchte. Im Test unter Windows 8 erwies sich das Programm anders als Avast aber nicht als fehleranfällig.
Bei der Installation möchte Avira eine Toolbar installieren und Ask als Suchmaschine festlegen. Anschließend lädt das Programm Signatur-Updates und scannt das System. Im Tray zeigt es sich als Icon mit aufgespanntem Schirm; bei Deaktivierung schließt er sich. Der Scanner lässt sich nicht zeitweise, sondern nur vollständig deaktivieren – bleibt aber nur bis zum Neustart abgeschaltet.
Das „Control Center“ zeigt in Signalfarben den Status an. Kostenpflichtige Optionen wie Browser- und E-Mail-Schutz sind ausgegraut. Beim Surfen entfernt das Programm immerhin gefährliche Webseiten aus dem Cache, insgesamt kann die Free-Version in Sachen Web und Mail aber vergleichsweise wenig. Der System-Scanner überprüft Laufwerke – er ist so uncharmant wie der Windows-Geräte-Manager. Die Bereiche Soziale Netzwerke und Android Security enthalten lediglich Werbung.
Die Verwaltung versammelt Quarantäne, Task-Planer und Berichte. Hier informiert Avira detailliert und übersichtlich über Suchläufe, Funde, Updates und Änderungen an den Einstellungen. Irgendwo in der Baumansicht der unübersichtlichen Experteneinstellungen lassen sich Ausnahmen definieren.
Bei Virenalarm heißt die Standardoption Entfernen, der Anwender darf aber entscheiden: Per Kontextmenü kann er die Datei in Quarantäne verschieben, ignorieren, umbenennen, löschen oder reparieren. Schließlich kann man die Datei immer ignorieren, wenn man sich seiner Sache sicher ist. Ausführliche Informationen zu Schädlingen helfen bei der Entscheidung.
Avira blendet viel Werbung ein und informiert über jedes Update. Ansonsten zeigt es auf dem Desktop angemessen Präsenz und lässt dem Nutzer im Rahmen der Möglichkeiten Raum zum Eingreifen. Praktisch sind die ausführlichen Berichte zu gefundenen Viren. Wie Avast wendet es sich an kundige Anwender.
Eset NOD32 Antivirus 6
Eset NOD32 lädt seine Programmdateien live aus dem Netz – das sind mit 70 MByte deutlich weniger als bei der Konkurrenz. Zur Installation, ob Demo oder Vollversion, verlangt der Hersteller eine Online-Registrierung und fragt, ob man verdächtige Anwendungen überwachen lassen möchte. Nach dem Programmstart lädt es Signatur-Updates. Eine anschließende Prüfung des Rechners muss man manuell anstoßen.
Die Oberfläche ist übersichtlich gestaltet. Die Startseite weist lediglich auf Updates und Lizenzstatus hin. Im Bereich „Prüfen des Computers“ kann man den ganzen Rechner oder ausgewählte Laufwerke überprüfen. Das Feld Update ist auf einfache Weise organisiert. Die Einstellungen informieren übersichtlich über den aktiven oder inaktiven Status der Komponenten, darunter Echtzeit-, E-Mail-, Web- und Phishing-Schutz.
Der Bereich Tools stellt ein unübersichtliches Log, eine wenig hilfreiche Statistik und eine Prozessüberwachung zur Verfügung. Anders als Avira hat NOD32 kaum nützliche Informationen zu bieten. Unter Tools befindet sich auch das Quarantäneverzeichnis, wo man eingefangene Dateien per Kontextmenü wiederherstellen oder löschen kann. Die erweiterten Einstellungen – dazu gehören auch Ausschlusskriterien – sind unübersichtlich gestaltet.