25. August 2025 | Text: Markus Selinger | Antivirus für Windows

Gegen Ransomware und Infostealer: 20 Security-Lösungen im ATP-Test

Egal, welche Studie man sich zum Thema Malware zu Gemüte führt: Ransomware und Infostealer stehen seit Jahren an der Spitze der Gefahren in Sachen Cybersecurity. Gute Schutz-Software erkennt die Angreifer, bevor sie ihr desaströses Werk ausführen. Aber was passiert, wenn die Software die Angreifer nicht sofort erkennt? Diese Frage klärt der Advanced Threat Protection-Test – kurz ATP-Test. Denn dabei prüfen die Experten im Labor, ob die aktuellen 20 Schutzlösungen die Malware direkt erkennen oder ob weitere Schutzmechanismen erst in späteren Schritten ein System vor Schaden bewahren. Der Test zeigt, dass auch bei nicht erkannter Malware die Schlacht noch lange nicht verloren ist. Manches Schutzpaket ringt mit einem Angreifer über viele Runden und erzwingt am Schluss den Sieg der Sicherheit.

Erweiterter Schutztest unter Windows 10 –

20 Produkte für private Anwender und Unternehmen müssen Ransomware und Infostealer abwehren

Sie werden oft als Malware-„Top Ten“ bezeichnet – obwohl ihre Spitzenplätze nichts Gutes bedeuten. Zwar wechseln die Namen in den Malware-Charts der Security-Hersteller, doch an der Dominanz von Ransomware und Infostealern ändert sich kaum etwas. Security-Pakete haben nicht nur die Aufgabe eine Malware direkt zu erkennen. Sie müssen auch in der Lage sein, diese in einem späteren Stadium eines Angriffs zu stoppen. Der Advanced Threat Protection-Test – kurz ATP-Test – klärt in jeweils 10 Live-Szenarien, in welchem Schritt die untersuchten Schutzlösungen gegen einen Angreifer erfolgreich sind. Oft ist das bereits bei der Erkennung der Fall, aber manchmal geht der Kampf bis in die letzte Runde und es werden einzelne Dateien verschlüsselt oder gestohlen. Leider gibt es aber auch Fälle, in denen der Angreifer weder sofort noch später an seinen Aktionen erkannt wird und Alarm auslöst. Dieser Fall ist mehrfach in diesem Test zu beobachten.

20 Programme – 200 Abwehrszenarien

Im aktuellen ATP-Test finden sich 20 Software-Pakete zum Schutz von Windows-Systemen. 8 Pakete versorgen die PCs privater Anwender – die weiteren 12 Lösungen Windows-Endpoints in Unternehmen. Getestet wurden die Produkte im Mai und Juni 2025 unter Windows 10 – dem Betriebssystem, das weiterhin auf den meisten PCs in Unternehmen und bei Privatanwendern im Einsatz ist. Folgende Hersteller nehmen mit Paketen für private Anwender am Test teil: Avast, AVG, Bitdefender, ESET, K7 Computing, Kaspersky, McAfee und Norton. Bei den Lösungen für Unternehmen treten diese Hersteller an: Acronis, Avast, Bitdefender, Check Point, ESET, Huawei, Kaspersky (mit 2 Versionen), Microworld, Qualys, Trellix und WithSecure.

ATP-Test: 8 Windows-Schutzpakete für Privatanwender

Der Advanced Threat Protection-Test unter Windows 10 zeigt, wie gut Security-Pakete den hartnäckigen Angreifern gewachsen sind

ATP-Test: Security-Lösungen für Unternehmen

Von den 12 untersuchten Endpoint-Schutzlösungen zeigen 9 im ATP-Test unter Windows 10 eine fehlerfreie Leistung in allen Szenarien

ATP-Test: 8 Windows-Schutzpakete für Privatanwender

ATP-Test: Security-Lösungen für Unternehmen

In der jeweiligen Tabelle können die Hersteller bis zu 35 Punkte für ihren Schutz-Score erreichen. Dieser Wert setzt sich zusammen aus den maximalen Punkten für die Abwehr von je 5 Exemplaren Ransomware und Infostealern. Da die Abwehrschritte bei den beiden Malware-Kategorien unterschiedlich sind, kann ein Produkt pro abgewehrter Ransomware 3 Punkte erhalten und pro Infostealer 4 Punkte. Wird ein Angriff in einem Schritt nur teilweise abgewehrt, gibt es entsprechend halbe Punkte.

Alle Abwehrschritte – egal, ob erfolgreich oder nicht – dokumentiert das Team der Experten bei jedem Produkt in einer Matrix nach dem MITRE ATT&CK-Standard. So lässt sich der Testvorgang exakt nachverfolgen.

Jede im Test ausgeführte Attacke beginnt gleich: Eine Spear-Phishing-E-Mail landet bei einem Windows-System und trägt ein Archiv im Gepäck. Darin befindet sich in den 10 Szenarien entweder eine ausführbare EXE-Datei oder eine .LNK Linkdatei mit verstecktem gefährlichem Code. Anschließend folgen meist weitere Schritte per PowerShell oder anderen Methoden. Alle Schritte finden sich in den einzelnen Szenarien zum Nachlesen.

Die 10 Testszenarien

Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.

So gut wehren Produkte für Privatanwender die Angreifer ab

Die im Mai-Juni-Test untersuchten 8 Pakete für private Anwender schlagen sich im Test fast alle hervorragend. 7 Produkte passieren ohne einen Fehler alle Testszenarien und bewahren die Windows-Systeme vor Schaden: Avast, AVG, Bitdefender, K7 Computing, Kaspersky, McAfee und Norton. Sie alle erhalten die maximalen 35 Punkte für ihren Schutz-Score.

Lediglich das Security-Paket von ESET muss bei einer Ransomware passen: Der Angreifer wird nicht direkt erkannt – auch nicht bei weiteren Aktionen. Damit ist das System verloren und am Ende sind alle Daten verschlüsselt. Somit bleiben ESET 9 fehlerfreie Szenarien und 32 von 35 Punkten im Schutz-Score.

Alle geprüften Pakete erhalten als Auszeichnung das AV-TEST-Zertifikat „Advanced Certified“, denn sie haben mindestens 75 Prozent der maximalen 35 Punkte (26,5 Punkte) im Test erreicht.

So gut wehren Endpoint-Lösungen die Angreifer ab

Das Ergebnis in Sachen Unternehmenslösungen sieht sehr gut aus. Von den 12 geprüften Produkten erarbeiten sich 9 die maximalen 35 Punkte für ihren Schutz-Score: Acronis, Avast, Bitdefender, Kaspersky (beide Versionen), Microworld, Qualys, Trellix und WithSecure. Lediglich die 3 Produkte von ESET, Huawei und Check Point haben kleinere Probleme.

Das Produkt von ESET erkennt in einem Fall eine Ransomware nicht und hält sie auch in späteren Aktionen nicht auf. Somit ist das System verschlüsselt und volle 3 Punkte sind verloren. Es bleiben 32 von 35 Punkten für den Schutz-Score.

Die Lösung von Huawei erkennt einen Infostealer nicht und lässt ihn inklusive Datendiebstahl gewähren. Somit werden 31 von 35 Punkten erreicht – 4 Punkte weniger als möglich.

Am härtesten trifft es das Produkt von Check Point: Es identifiziert einen Infostealer im Test nicht und leitet auch nachträglich keine weiteren Aktionen ein. Das bedeutet einen Abzug von 4 Punkten. In zwei weiteren Fällen erkennt Check Point die Ransomware, blockt sie aber nicht vollends. Somit führt sich die Verschlüsselungs-Software aus. Aber die Lösung agiert weiter gegen den Angreifer. Am Ende steht es unentschieden: die Ransomware ist zwar gestoppt, aber es sind teilweise Daten verschlüsselt. Für jeden Fall gibt es noch einen Punkt Abzug. Am Ende stehen damit 29 von 35 möglichen Punkten im Schutz-Score.

Alle untersuchten Endpoint-Lösungen erhalten das Test-Zertifikat „Advanced Approved Endpoint Protection“, da sie im Test die Vorgabe von 75 Prozent der 35 Punkte (26,5 Punkte) als Schutz-Score erreichen.

Fazit: Stabile Schutzwerte im ATP-Test

Der Test verlief sehr gut für die meisten Produkte – für private Anwender genauso wie für Unternehmen. So zeichnen sich 16 der 20 untersuchten Produkte mit einer perfekten Leistung und den vollen 35 Punkten im Schutz-Score aus.

Bei den 8 Produkten für private Anwender muss lediglich ein Hersteller bei einem Exemplar einer Ransomware passen. Damit sind unter dem Strich 79 der 80 untersuchten Szenarien fehlerfrei.

Bei den 12 geprüften Endpoint-Lösungen ist das Feld etwas gemischter. Auch hier meistern 9 der 12 Lösungen die 90 untersuchten Szenarien fehlerfrei. Lediglich 3 Produkte haben ihre Probleme mit mancher Malware, schützen aber dennoch auf recht hohem Niveau.