StartPraxis & Werkstatt › Virenschutz-Vergleich
Werkstatt · Sicherheit

Verhindern oder aufräumen?

Der ehrliche Windows-Virenschutz-Vergleich – die Frage fällt vor der Infektion.

01

Worum es geht

Das grosse rote Schutzschild der Praevention neben dem kleinen grauen Aufraeum-Eimer, der fuer Backup steht
Verhindern schlägt AufräumenVor der Infektion zählt die Härtung – alles danach ist ehrlicherweise ein Backup.
02

Die Trennung

Zwei Phasen – und nur eine ist Schutz

Jeder Angriff hat einen Moment, in dem er kippt: den Moment, in dem der Schadcode das erste Mal läuft. Alles davor ist Prävention – verhindern, dass es überhaupt so weit kommt. Alles danach ist Schadensbegrenzung – retten, was zu retten ist.

Die Virenschutz-Industrie verkauft beides als „Schutz“. Aber das ist nicht dasselbe. Und wenn man ehrlich hinschaut, schrumpft die zweite Phase zu etwas sehr Bekanntem zusammen:

Der unbequeme Satz

Ein Ransomware-„Rollback“ ist kein Zauber. Es ist ein Backup unter anderem Namen – eine Schattenkopie, die die Sicherheitssoftware im letzten Moment anlegt, in der Hoffnung, sie später zurückspielen zu können. Es greift nur bei bestimmten Angriffsmustern, nur wenn die Kopie nicht selbst verschlüsselt wurde, nur wenn die Software den Angriff rechtzeitig bemerkt hat. Ein echtes, getrenntes Backup kennt keine dieser Einschränkungen.

Damit ist die Messlatte klar: Ein Virenschutz ist genau so gut, wie er Phase 1 gewinnt. Die zweite Phase kauft man sich besser mit einer Backup-Strategie, die diesen Namen verdient – dazu am Ende mehr. Der Rest dieses Artikels dreht sich deshalb um die entscheidende Frage: Wer verhindert am meisten?

03

Phase 1, Teil A

Erkennung: 2026 ist das Rennen gelaufen

Beginnen wir mit dem, was jeder unter „Virenschutz“ versteht: eine Datei ankommt, die Engine erkennt sie als böse, sie fliegt raus. Jahrelang war das die Disziplin, in der Windows Defender belächelt wurde. Diese Zeit ist vorbei.

In den unabhängigen Dauertests von AV-TEST und AV-Comparatives spielt Defender seit Jahren in der Spitzengruppe – Schulter an Schulter mit den kommerziellen Testsiegern:

Testreihe (2026)Ergebnis
AV-TEST, SchutzwirkungDefender erreicht die volle Punktzahl – gleichauf mit den etablierten Kaufprodukten. Fehlalarme: nur eine Handvoll, unter dem Branchenschnitt.
AV-Comparatives, Real-World ProtectionDefender blockt rund 98–99 % der Live-Angriffe und trägt die höchste Auszeichnung „Advanced+“. Der Abstand zur Spitze beträgt Bruchteile eines Prozents.

Der ehrliche Befund: An der Spitze entscheidet nicht mehr, ob Malware erkannt wird, sondern wie viele Fehlalarme ein Produkt produziert und wie sehr es das System ausbremst. Und in beiden Nebendisziplinen steht Defender gut da – wenige Fehlalarme, und im Performance-Test der leichteren Hälfte des Feldes, während manche Kaufsuite Datei-Operationen spürbar verlangsamt.

Eine Einschränkung, ehrlich benannt

Defender lehnt sich stark an die Cloud an. Ohne Internet fällt seine Erkennung messbar ab – von rund 98 % auf grob 90 %. Wer häufig offline oder in abgeschotteten Netzen arbeitet, sollte das wissen. Für den Normalbetrieb mit Internet spielt es keine Rolle.

Wenn Erkennung also Gleichstand ist – wo entsteht dann überhaupt noch ein Unterschied? Genau eine Ebene höher.

04

Phase 1, Teil B

Die Schicht, über die keiner redet

Erkennung setzt voraus, dass Schadcode ankommt und als solcher erkannt wird. Die klügere Frage ist: Warum ihn überhaupt so weit kommen lassen? Genau hier setzt Angriffsflächen-Reduktion an (auf Englisch Attack Surface Reduction, ASR) – und dazu gehören der Überwachte Ordnerzugriff und der Netzwerkschutz.

Statt eine Datei zu erkennen, würgt diese Schicht die Verhaltensmuster ab, die Angreifer praktisch immer brauchen – unabhängig davon, ob die konkrete Schadsoftware schon bekannt ist:

  • Office darf keine Kindprozesse starten – das Excel-Makro aus der Bewerbungsmail kann keine PowerShell mehr aufrufen. Die häufigste Ransomware-Kette reißt im ersten Glied.
  • Kein Zugriff auf den Zugangsdaten-Speicher – Werkzeuge wie Mimikatz kommen nicht mehr an die Passwörter im Arbeitsspeicher.
  • Kein Missbrauch verwundbarer Treiber – die beliebte Masche, einen löchrigen, aber gültig signierten Treiber mitzubringen, um den Virenschutz von innen abzuschießen, läuft ins Leere.
  • Verschleierte Skripte und Nachlade-Ketten werden blockiert, bevor die zweite Stufe überhaupt heruntergeladen wird.
  • Überwachter Ordnerzugriff lässt nur vertrauenswürdige Programme in Ihre Dokumente schreiben – ein Ransomware-Prozess wird schon beim ersten Verschlüsselungsversuch abgewiesen.

Microsoft selbst und unabhängige Tests bescheinigen dieser Schicht eine hohe Wirksamkeit gegen genau die Angriffe, die im Mittelstand real Schaden anrichten. Und jetzt kommt der Punkt, der alles verändert:

Das Alleinstellungsmerkmal

Diese Härtungsschicht ist Teil von Windows Defender. Die typischen kommerziellen Verbraucher-Suiten bieten kein gleichwertiges Gegenstück. Wer sie scharf schaltet, erreicht ein Härtungsniveau, das sonst nur mit teuren Unternehmens-Lizenzen und viel Handarbeit zu haben ist.

05

Der Haken

Der Haken: ab Werk ausgeschaltet

Wenn diese Härtung so wirksam ist – warum profitiert dann kaum jemand davon? Weil sie standardmäßig deaktiviert ist. In Microsofts eigener Sprache stehen die ASR-Regeln auf „nicht konfiguriert“, und das ist gleichbedeutend mit aus. Kein Schalter in der Windows-Sicherheits-App bietet sie an. Sie existieren nur als PowerShell-Befehle – und genau da beginnt das eigentliche Problem.

Denn Härtung von Hand endet fast immer im selben Ordner: Scripts oder tools oder einfach neu, mit harden.ps1, harden_v2.ps1 und – mit etwas Pech – harden_v2_FINAL_wirklich.ps1. Niemand weiß mehr, welches davon auf welcher Maschine lief und was es dort angestellt hat. Und der Tag danach ist noch schlimmer: Eine Regel blockt ein legitimes Werkzeug, ein frischer Build wird fälschlich als Bedrohung eingestuft – und nach dem dritten Vorfall schaltet der genervte Mensch die Regel einfach wieder ab. So stirbt Härtung in der Praxis.

Unser Ansatz

Genau dafür haben wir die DefenderHardeningSuite gebaut – ein kostenloses Werkzeug, das die verborgenen Schalter sichtbar macht, sie in Minuten setzt und, das ist der eigentliche Trick, wieder aufräumt, wenn die Härtung den eigenen Build blockiert. Jede Änderung ist protokolliert und umkehrbar. Der Download folgt in Kürze – wie das Werkzeug funktioniert, lesen Sie im Artikel „Defender kann mehr, als Windows zeigt“.

06

Die Falle

Der Denkfehler beim Umstieg auf eine Suite

Jetzt die Wendung, die viele übersehen. Der Reflex bei der Frage „bin ich sicher genug?“ lautet: eine bekannte Kaufsuite installieren. Das fühlt sich nach mehr Schutz an. Technisch passiert aber etwas anderes.

Eine kommerzielle Antivirus-Suite ersetzt Defenders Echtzeitschutz – zwei Scanner nebeneinander vertragen sich nicht, also legt Windows den eigenen schlafen. Und mit dem Echtzeitschutz verschwindet die ganze Härtungsschicht: Der Überwachte Ordnerzugriff funktioniert ausdrücklich nur, solange Defender der primäre Virenschutz ist – sobald eine Fremdsuite übernimmt, ist er tot. Für die ASR-Regeln gilt dasselbe.

Der Tausch, den kaum jemand bemerkt

Wer eine Kaufsuite installiert, tauscht die Präventionsschicht gegen ein Rollback-Feature. Man gibt das strukturelle Verhindern auf – und bekommt dafür ein besseres Aufräumen. Nach der Logik aus Abschnitt 02 ist das ein schlechtes Geschäft: Man verkauft echten Schutz und kauft ein Backup zurück, das ein richtiges Backup ohnehin besser kann.

Man kann eben nicht beides haben: die Härtung von Defender und die Engine einer Fremdsuite. Es ist eine Entweder-oder-Entscheidung – und genau die macht dieser Vergleich sichtbar.

07

Gegenübergestellt

Der ehrliche Vergleich

Ausstattung wie VPN, Passwort-Manager oder Kinderschutz lassen wir bewusst weg – das ist Komfort, kein Schutz. Es bleibt der tatsächliche Schutz, getrennt nach den zwei Phasen. „Beste Kaufsuite“ meint jeweils den Testsieger der Kategorie, kein Durchschnittsprodukt.

SchutzfaktorDefender ab WerkDefender + DHSBeste Kaufsuite
— vor der Infektion —
Malware-Erkennung (online)SpitzenfeldSpitzenfeldSpitzenfeld
Erkennung offlineschwächerschwächermeist stärker
ASR-Angriffsflächen-Härtungvorhanden, aber ausscharffehlt (deaktiviert Defender)
Überwachter Ordnerzugriffvorhanden, aber ausscharffehlt (braucht Defender)
Netzwerk-/Exploit-Schutzteilweisescharfteils eigene Module
Fehlalarmesehr niedrigniedriggemischt
Performance-Lastgeringgeringteils spürbar
— nach der Infektion —
Ransomware-Rollbackja (mustereingeschränkt)
Die ehrliche Antwort daraufEin echtes, getrenntes Backup – zuverlässiger als jede Rollback-Funktion.

Die Tabelle liest sich in einer Zeile: Vor der Infektion gewinnt der gehärtete Defender, weil er als einziger die Härtungsschicht hat. Nach der Infektion gewinnt niemand – da gewinnt das Backup.

08

Die Einordnung

Welches Schutzniveau man erreicht

Drei Stufen, klar benannt:

StufeSchutzniveau
Defender ab WerkTop-Erkennung, aber die Angriffsfläche steht offen – Makros, Skripte, verwundbare Treiber laufen durch. Bildlich: eine gute Haustür, während die Seitenfenster offen stehen.
Defender + DHSTop-Erkennung plus die Härtungsschicht. Gegen die real häufigsten Angriffe (Ransomware über Makro/Skript, Passwort-Diebstahl) spürbar robuster als jede Standard-Kaufsuite. Praktisch das höchste Niveau, das mit Windows-Bordmitteln ohne Unternehmens-Lizenz erreichbar ist.
Beste KaufsuiteDieselbe Erkennungsklasse plus Rollback und Komfort-Bündel – aber ohne die Härtungsschicht und meist mit mehr Systemlast.
Unsere Empfehlung

Für Unternehmen mit IT-Betreuung und für versierte Einzelnutzer: mit der kostenlosen DefenderHardeningSuite gehärteter Defender + ein echtes Backup. Das ist das beste Verhältnis aus Schutz, Tempo und Kosten – und die Rollback-Lücke schließt das Backup ohnehin besser. Wer dagegen ein wartungsfreies Rundum-Paket klicken will und mit dem Verlust der Härtung leben kann, für den ist eine Kaufsuite eine legitime Bequemlichkeit – der Gewinn liegt dann aber im Komfort, nicht in der Schutzwirkung.

Die DefenderHardeningSuite – kostenlos, in Kürze verfügbar. Genau die Härtungsschicht aus diesem Vergleich, in Minuten scharf geschaltet: sichtbar, protokolliert, umkehrbar. Der freie Download steht bald an dieser Stelle bereit – bis dahin härten wir Ihre Maschinen auf Wunsch von Hand.

Wie das Werkzeug funktioniert →
09

Ehrliches Schlusswort

Und dann? Das ehrliche Schlusswort

Keine Härtung der Welt ist vollständig. Ein unbekannter Zero-Day, der keine der geregelten Verhaltensweisen auslöst; ein Mitarbeiter, der sein Passwort auf einer perfekt gefälschten Seite eingibt; ein Innentäter – dagegen hilft keine Engine und keine ASR-Regel. Dagegen helfen nur drei Dinge: zeitnah patchen, Menschen schulen – und ein Backup, das den Namen verdient.

Genau deshalb löst sich der scheinbare Vorteil der Kaufsuiten – das Ransomware-Rollback – bei ehrlicher Betrachtung auf. Es ist der Versuch, ein fehlendes Backup software-seitig zu ersetzen. Wer ein richtiges, vom System getrenntes Backup hat (idealerweise nach der 3-2-1-Regel: drei Kopien, zwei Medien, eine außer Haus), braucht diese Funktion nicht – und ist im Ernstfall besser dran.

Damit schließt sich der Kreis. Der beste Virenschutz ist nicht der, der am elegantesten aufräumt. Es ist der, bei dem am wenigsten durchkommt. Verhindern schlägt Aufräumen – und das Aufräumen überlässt man am besten dem Backup.

Sie wollen wissen, wie Ihre Maschinen dastehen? Wir härten Ihre Windows-Landschaft mit Defender-Bordmitteln, richten ein Backup ein, das im Ernstfall wirklich trägt – und hinterlassen keinen Skript-Friedhof.

Zu Kontakt & Support →