Antivirenprogramme… ein Thema wie die Religionen. Es gibt einfach zu viele, keines ist perfekt und jeder hat seinen Favouriten und ist davon überzeugt. Kompliziert.
Ein Kandidat in diesem Duell ist Kaspersky. Ein Produkt für Privatanwender ist Anti-Virus 2011. Ich bekam eine Lizenz gesponsort und habe mich für einen ausführlichen Test bereiterklärt. Zusätzlich dazu habe ich von Kaspersky ein Paket bekommen. Anti-Virus 2011 für 3(!) PCs für 1 Jahr im Wert von 50€. Das Paket gibts natürlich bald zu gewinnen.
Enthalten ist: ein Echtzeitschutz, der im laufenden Betrieb Dateien scannt; ein Web- und Mailschutz, der Links und Downloads auf Webseiten und Emails überprüft. IM- und Anti-Phishing ist ebenfalls mit von der Partie und schützt vor zu vielen russischen ICQ Bots. Notfall-CD, Schwachstellenscan des Systems, Löschen von Spuren, Browseroptimierung (bzgl. Sicherheit), alles mit dabei.
Ich habe das Programm seit einer Woche auf meinem Heimrechner installiert und es jetzt eine Zeit lang beobachtet. Einige Screenshots sollen den visuellen Eindruck vermitteln, dazu jeweils meine Meinung in schriftlicher Form, erst Lob, dann Kritik. Los gehts:
Die Installation geht schnell, nach einer Minute war alles erledigt. Ein Neustart stellt sicher, dass sich das Programm in alle Systemecken und Netzwerkkanten einhaken kann. Nun befindet sich auf meinem Desktop gleich das sogenannte Desktop-Gadget, mit dem ich jederzeit auf 2 wichtige Funktionen (Buttons frei konfigurierbar) und den aktuellen Status zugreifen kann.
Die GUI ist ja bekannt, gibt auch den gröbsten Überblick.
Als erstes natürlich updaten. Das Update lässt sich mit einem Klick in der Update-Kategorie starten, wird aber auch täglich durch einen Task gestartet. Beliebig anpassbar natürlich.
Läuft ein Update wird das in der GUI angezeigt. Ein Klick auf „Update wird ausgeführt“ zeigt ein kleines Popup mit Updategröße, Übertragungsrate, Quelle, Downloaddetails usw. Hier ein Klick auf „Detaillierter Bericht“ zeigt noch ein weiteres Fenster mit noch mehr Details, alles live.
Das kann zum Beispiel bei langsamen Computern oder Internetverbindungen helfen zu erkennen, wo das Update gerade hängt oder ob es noch läuft.
Läuft das Update automatisch durch den Task wird standardmäßig nichts angezeigt und man bekommt es gar nicht mit, also Otto-Normal-Verbraucher wird nicht durch Werbung oder Infofenster bombardiert.
Die Tools-Sektion bietet das Erstellen einer Notfall-CD, Löschen von Internetspuren, Browserkonfiguration in Punkto Sicherheit, Systemwiederherstellung und einen Systemschwachstellenscan. Letzterer ist nicht uninteressant.
Es dauert 3-6 Minuten, bis das System gescannt ist. Angezeigt werden problematische Einstellungen des Systems, die gerne von Malware benutzt werden, wie z.B. Autostart/wiedergabe von Wechselmedien.
Ob man die dort angegebenen Punkte korrigiert ist jedem selbst überlassen. Es soll vor allem darauf hinweisen.
Der Karteireiter „Programme mit Schwachstellen“ zeigt Programme, bei denen bekannte Schwachstellen bekannt sind.
Bei meinem Beispiel wurde mein veralteter Thunderbird erkannt und darauf hingewiesen, dass ich mit einer neueren Version eine als „hoch gefährlich“ eingestufte Sicherheitslücke schließen kann.
Zu allen Schwachstellen gibt es Online Informationen, die beim Informieren und Beheben der Probleme helfen können.
Bei der manuellen Virenprüfung bekommt man viele verschiedene Möglichkeiten, was wie wann wo gescannt werden soll. Das sollte bei einem Anti-Viren Programm aber auch der Fall sein. 
Es gibt zusätzlich den Scan, der nur „wichtige Bereiche“ scannt. Das dauert nur 20-120 Sekunden (je nachdem ob SSD oder HDD :P) und reicht für den täglichen Sicherheitsbedarf. Dieser Scan wird sogar täglich automatisch gestartet.
Der Webschutz scannt Links auf der gerade besuchten Internetseite. Die Links werden mit einer Kaspersky Datenbank abgeglichen, in der „malicious websites“, also schädliche Webseiten, auf welche Art auch immer, gelistet sind. Das passiert also im Hintergrund und der Benutzer merkt es nicht. Ich habe auch keine Änderungen beim Seitenaufbau, bei Ladezeiten oder dem Surfverhalten allgemein bemerken können.
IM (Instant Messaging) und Mail-Antivirus sollte klar sein. Dateisendungen, Anhänge, temporäre Dateien werden.
Anti-Phishing wird wahrscheinlich wie der Webschutz über Linkkontrolle laufen, zusätzlich wird bestimmt auch auf Fakezertifikate oder verschleierte Domainnamen/Weiterleitungen getestet. Allerdings kam ich nicht in den Genuss einer Phishingattacke in meiner Testzeit von Anti-Virus 2011. Schade 🙂
Das war bisher ja alles schön und gut, kommen wir zur Kritik.
Ich bin normalerweise jemand, der nach der Installation eines Programms zuerst die Einstellungen alle durchgeht und das Programm nach den persönlichen Bedürfnissen anpasst. Bei Kaspersky ist das leichter gesagt als getan. Es stehen schier hunderte Optionen zur Verfügung und diese sind stark verschachtelt. Es gibt in den Einstellungen jeweils 4 Oberkategorien und jede hat bis zu 11 Unterpunkte. In diesen 11 Unterpunkten stehen dann verschiedenste Einstellungen zur Verfügung, fast jede davon hat nochmal jeweils einen „Erweitert“/“Anpassen“ Button. Nach einem Klick darauf öffnen sich dann weitere Einstellungen, teilweise mit noch einem „Erweiter“ Button. Das Konfigurieren des ganzen Anti-Virus 2011 kann sich also gut eine Stunde hinziehen. Hier wünsche ich mir eine stark vereinfachte Einstellungsumgebung, die sich auf Wunsch(!) des Anwenders spezieller einstellen lässt. Z.B. 1(!) Einstellung für alle heuristischen Analysen in allen Anti-Virus 2011 Komponenten. Statt dessen muss man, wenn man die Heuristik flächendeckend ausstellen möchte, sich durch alle Komponenten und Untermenüs der Einstellung durchklicken und überall die Heuristikeinstellung für diesen Part konfigurieren. Genauso mit weiteren Einstellungen, die sich auf alle oder fast alle Komponenten des Systems anwenden lassen, erstmal zusammenfassen und optional dem Anwenden die Möglichkeit geben, das für jede Komponente einzeln einstellen zu können.
Die Heuristik ist nämlich ziemlich nervig, das ist der 2. Punkt. In der Standardeinstellung von Anti-Virus 2011 meckert das System bei vielen recht bekannten Programmen wie Thunderbird, Dropbox, Irfan View oder KMPlayer. Bei jeder Ausführung erscheint ein kleines Pupup unten rechts, dass mich darauf hinweist, dass ein eventuell schädliches Programm ausgeführt wurde. Es wurde zwar automatisch erlaubt aber es stört trotzdem. Man könnte Ausnahmen erstellen, Heuristikeinstellungen anpassen oder einen anderen Weg finden aber grundsätzlich sollten solche bekannten Programme keine Bedrohungen für ein solch modernes Antivirensystem darstellen.
Eine Sache die mir noch sehr komisch vorkommt ist folgende: Unter Einstellungen->Erweiterte Einstellungen->Gefahren und Ausnahmen->[Ausnahmen] Einstellungen->Vertrauenswürdige Programme (jaaa, ungünstige Einstellungsstruktur) steht die Datei svchost.exe, als Ausnahme. Warum muss eine so wichtige Systemdatei in den Ausnahmen 
eines Antivirenprogramms stehen, und das bei einer Standardinstallation. Was passiert wohl, wenn ich diese Ausnahme lösche? Wird dann mein ganzes System geblockt? Hier stimmt wohl etwas im Hintergrund nicht, dass die Entwickler diese Notlösung einsetzen müssen.
So, grundlegend müssten das die interessantesten Punkte gewesen sein. Ich hoffe, jeder konnte sich eine Übersicht verschaffen. Wer nun Interesse hat schaut auf der Produktseite nach und macht bei meinem Gewinnspiel in naher Zukunft (gegen Ende dieses Monats) mit. 3 PC Lizenzen für 1 Jahr in einer hübschen Box gibt es zu gewinnen.
Ergänzung:
Auf Anfrage habe ich noch 3 Performancetests mit und ohne Kaspersky gemacht. Sind jetzt keine empirischen Messwerte, nur falls es jemanden interessiert.
ZIP: 230MB ZIP Datei entpackt
mit Kaspersky: 11,0 Sekunden
und ohne Kaspersky: 3,65 Sekunden
Kopieren:
1 Datei, 4,34GB
mit Kaspersky: 1:02min
und ohne Kaspersky: 1:02min 😀
19 Dateien, 1,37GB
mit Kaspersky: 18,56s
und ohne Kaspersky: 15,45s
Messungen mit Stoppuhr, frag mich nicht warum beim Kopieren einer Datei kein Unterschied ist ^^
Was sicherlich interessant sein dürfte: Wie sieht es mit der Performance aus?
Kann ich für dich testen, aber wie? Was soll ich machen, was für Werte brauchst du?
Als ich mich für eine Antiviren-Software entscheiden musste, habe ich auch einige getestet. Wir brauchten in unsere Firma eine Software, die sich leicht verwalten lässt und nicht mit einem Monster-Interface daherkommt. Kaspersky viel bei mir durch, weil ich es zu unübersichtlich fand.
Tausenden Funktionen überall verschachtelt. Dann noch die ständigen Warnmeldungen die einen Benutzer nerven. Ein Antiviren Programm soll für mich im Hintergrund laufen und mich vor Bedrohungen waren und mich nicht mit Meldungen bombardieren.
Auf ein Netzwerk mit Clients und Servern hat mich vor allem das Lizenzmodell nicht angesprochen.
Nun läuft bei uns Avira Antivir Network Bundle und ich bin voll zufrieden. Client können über einen einfache Management Console verwaltet werden und Avira arbeitet still und leise im Hintergrund.
Zwar hast du nur die Einzeplatz-Version getestet, aber ich denke auch dort sollte man doch einen Scanner haben, der bei der Arbeit nicht behindert.
Gruß
Mirco
Nur ein Tipp von mir: Schalt in dem Proaktiven Schutz die Prüfung auf Invader (Eindringen in Prozess) aus. Die Meldungen diesbzgl. erscheinen, weil Programme Subprozesse erstellen, die sich dann in deren Hauptprozess einklinken.
Da da dies auch von Malware genutzt wird, um z.B. über den Explorer, etc. an höhere Berechtigungen zu kommen, wird dies als ‚Problem‘ erkannt.
@Mirco:
Ich finde bei Virenscannern muss man zwischen Privat und Arbeit stark unterscheiden. Die Anforderungen sind einfach total verschieden. Mein Test war natürlich bezogen auf eine private Nutzung. Hinsichtlich eines produktiven Einsatzes wäre die BEwertung wohl ganz anders verlaufen, denn eine produktive Umgebung in Bezug auf Arbeit ist auch was ganz anderes als zu Hause privat arbeiten und am PC Dinge machen.
Aber in deinen Kritikpunkten der ersten Absätze stimme ich zu, steht ja im Artikel.
@Torsten:
Oh der Mann von Kaspersky! Einer der ersten, deren Blogs ich in meiner Bloggerlaufbahn mitverfolgt habe und immernoch mitverfolge.
Dein Hinweis klingt logisch, zumindest die Analyse des Fehlverhaltens. Warum das Fehlverhalten trotzdem existiert, wo es doch so offensichtlich ist, ist seltsam. Gibt es keine Lösung für sowas, warum gibt es den Dienst dann überhaupt?
Wenn du schon ausführlicher bist, als ich bin, dann erwähne doch bitte noch die virtuelle Tastatur 😉
Viel Glück beim MacBook^^
@ Hannes:
Es ist definitiv kein Fehlverhalten. Die Aktivitätsanalyse zu welcher eben die Prüfung auf „Eindringen in Prozess / Invader“ gehört, tut das, wozu sie da ist: sie warnt vor einer potentiell gefährlichen Aktion.
Im Gegensatz zu der Corporateversion hast Du ja scheinbar bei der 2011er das Glück, dass die entsprechenden Programme erlaubt werden und ’nur‘ ein Popup erscheint. Somit ist das ‚Problem‘ für mich keines mehr.
Es ist eben einfach so, dass die meist IT-affineren Menschen lieber mehr Informationen bekommen und wissen möchten, was auf ihrem System geschieht und andere wollen möglichst wenig mitbekommen und ihre Ruhe haben. Man kann es eben nie allen Recht machen. 😉
@ Mirco:
Du hast Dir hier in einem Satz gleich selbst widersprochen. 😉
@Hannes: Interessant wäre z.B. die Zeit zum Hochfahren; die Zeit, um ein Zip-Datei der Größe X zu entpacken; die Zeit um X MB Daten zu kopieren, etc.
Okay also zum Systemstart, keine Ahnung. Ich möcht jetzt ungern mein System von Kaspersky befreien und 2x neustarten ^^
Aber im aktuellen NSS Labs Bericht (Link) wurde u.A. Kaspersky Internet Security 2011 getestet und beim Systemstart eine Zunahme von 64,6% gemessen.
ZIP: Ich habe eine 230MB ZIP Datei entpackt, mit Virenschutz 11,0 Sekunden, ohne Kaspersky 3,65 Sekunden.
Kopieren: 1 Datei, 4,34GB
mit Kaspersky: 1:02min
und ohne Kaspersky: 1:02min 😀
19 Dateien, 1,37GB
mit Kaspersky: 18,56s
und ohne Kaspersky: 15,45s
Messungen mit Stoppuhr, frag mich nicht warum beim Kopieren einer Datei kein Unterschied ist ^^
Ich könnte mir das so vorstellen:
* bei der ZIP-Datei geht Kaspersky wahrscheinlich hin, entpackt das Ding selber, prüft die Dateien und sagt dann, ob sie infiziert ist oder nicht.
* beim Dateikopieren wird Kaspersky wahrscheinlich erstmal nur kurz an den Anfang der Datei gucken, ob es irgend ein spannendes Format ist: Wenn ja, dann scannt er, wenn nein, dann halt nicht – da bringt kaum Overhead.
* bei mehreren Dateien multipliziert sich natürlich der Overhead – evtl. waren auch „interessante“ Dateien dabei, die einen richtigen Scan bedurften.
So zumindest meine Theorie. ^_^
In etwa das dachte ich auch. Beim Kopieren scannt Kaspersky sicher von jeder Datei nur irgendwelche Header Daten. Bei nem spannenden Format geht Kaspersky vielleicht sogar den Inhalt nochmal grob durch, bei langweiligen Dateiheadern (die 1 Datei war ne Videodatei) wird die Datei einfach ohne weitere Scans durchgewunken. Vielleicht wird nach dem Kopieren, wenn die Datei komplett am Zielort angekommen ist, nochmal verglichen, ob es die selbe Datei ist oder ob beim Kopieren Änderungen vorgenommen wurden, keine Ahnung ob das Sinn macht.
Das würde zumindest, wie du sagst, die Situation recht gut beschreiben 🙂
1. werden normalerweise (wie schon vermutet) nur bestimmte Dateitypen gescanned. Es macht z.B. keinen Sinn eine txt-Datei zu scannen, da dort kein schädlicher Inhalt enthalten sein kann bzw. die Datei nicht ausführbar ist. Ähnliches gilt im Normalfall auch für Video- oder Musikformate. Diese können zwar theoretisch manipuliert sein, so dass Exploits in den Anwendungen zum Abspielen ausgenutzt werden, aber das ist letztlich eher ein Problem der Anwendung selbst. Außerdem würde dann ja auch die Aktivität der fehlerhaften Anwendung geprüft.
2. Gibt es, gerade in Bezug auf Archive, meist ein Größenlimit, ab welchem die Datei nicht gescanned wird. Hier muss einfach der Kosten-/Nutzenfaktor berücksichtigt werden.