Business Security Test März-April 2026 - Factsheet

Einleitung

Dies ist ein kurzes Factsheet zu unserer Business Main-Test Series, das die Ergebnisse des Business Malware Protection Test (März) und des Business Real-World Protection Test (März-April) enthält. Der vollständige Bericht, einschließlich des Performance Tests und der Produktbewertungen, wird im Juli veröffentlicht.

Um im Juli 2026 von AV-Comparatives als “Approved Business Product” zertifiziert zu werden, müssen die getesteten Produkte im Malware Protection Test mindestens 90% erreichen, mit null Fehlalarmen bei gängiger Unternehmenssoftware und einer FP-Rate bei nicht-geschäftlichen Dateien unter dem Auffallend hoch Schwelle. Überdies müssen die Produkte im gesamten Real-World Protection Test (d.h. über einen Zeitraum von vier Monaten) mindestens 90% erreichen, wobei weniger als fünfzig Fehlalarme bei sauberer Software/Websites und null Fehlalarme bei gängiger Unternehmenssoftware auftreten dürfen. Die getesteten Produkte müssen außerdem keine größeren Performanzprobleme aufweisen (Impact Score muss unter 40 liegen) und alle gemeldeten Fehler behoben haben, um eine Zertifizierung zu erhalten.

Bitte beachten Sie, dass die Ergebnisse der Business Main-Test Series nicht mit den Ergebnissen der Consumer Main-Test Series verglichen werden können, da die Tests zu unterschiedlichen Zeiten, mit unterschiedlichen Geräten, unterschiedlichen Einstellungen usw. durchgeführt werden.

Geprüfte Produkte

Die folgenden Produkte wurden unter Windows 11 64-Bit getestet und sind in diesem Factsheet enthalten:

• Avast Ultimate Business Security
  26.1 | 26.1
• Bitdefender GravityZone Business Security Premium
  8.26 | 8.26
• Cisco Secure Client
  8.5 | 8.6
• CrowdStrike Falcon Enterprise
  7.33 | 7.35
• Elastic Security
  9.3 | 9.3
• ESET PROTECT Entry with ESET PROTECT Cloud
  12.1 | 12.1
• G Data Endpoint Protection Business
  15.8 | 15.8
• K7 On-Premises Enterprise Security Advanced
  14.2 | 14.2
• Kaspersky Endpoint Security for Business (Select, with KSC)
  12.12 | 12.12
• ManageEngine Endpoint Central with Malware Protection
  11.5 | 11.5
• Microsoft Defender Antivirus with Microsoft Endpoint Manager
  4.18 | 4.18
• Norton Small Business
  26.2 | 26.3
• SenseOn Platform with EPP
  6.11 | 6.11
• Sophos Intercept X Advanced
  2025.2 | 2025.2
• Trellix Endpoint Security (ENS)
  10.7 | 10.7
• VIPRE Endpoint Security
  13.2 | 13.2

Kaspersky Endpoint Security for Business - Select, mit KSC, das Produkt könnte auch als “Kaspersky Next EDR Foundations” bezeichnet werden.

Die "ENS"-Version von Trellix verwendet in diesem Test die frühere McAfee Engine (jetzt im Besitz von Trellix), im Gegensatz zur "HX"-Version, die die FireEye-Engine verwendet (McAfee Enterprise und FireEye fusionierten 2022 zu Trellix).

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Cisco, G Data, SenseOn und VIPRE verwenden die Bitdefender Engine (zusätzlich zu ihren eigenen Schutzfunktionen). Norton verwendet die Avast Engine.

Settings

In Unternehmensumgebungen und bei Business-Produkten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und daher haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren.

Einige wenige Anbieter liefern ihre Produkte mit optimalen Standardeinstellungen, die sofort einsatzbereit sind, und haben daher keine Einstellungen verändert.

Bitte beachten Sie, dass die in der Enterprise Main-Test Series erzielten Ergebnisse nur durch die Anwendung der hier beschriebenen Produktkonfigurationen erreicht wurden. Jede hier als aktiviert aufgeführte Einstellung kann in Ihrer Umgebung deaktiviert sein und umgekehrt. Dies beeinflusst die Schutzraten, die Fehlalarmraten und die Auswirkungen auf das System. Die angewendeten Einstellungen werden im Laufe des Jahres für alle unsere Enterprise Tests verwendet. Das heißt, dass wir es einem Anbieter nicht erlauben, die Einstellungen je nach Test zu ändern. Andernfalls könnten die Anbieter ihre jeweiligen Produkte z.B. so konfigurieren, dass sie bei den Protection Tests maximalen Schutz bieten (was die Performanz verringern und die Fehlalarme erhöhen würde) und bei den Performance Tests maximale Geschwindigkeit erreichen (was wiederum den Schutz und die Fehlalarme verringern würde). Bitte beachten Sie, dass bei einigen Produkten für Unternehmen alle Schutzfunktionen standardmäßig deaktiviert sind, so dass der Administrator das Produkt konfigurieren muss, um einen Schutz zu erhalten.

Nachfolgend sind die relevante Abweichungen von den Standardeinstellungen aufgelistet (d.h. von den Anbietern vorgenommene Einstellungsänderungen):

Avast, Norton: “Die Funktionen ”Patch Management“ und ”WebControl" wurden deaktiviert.

Bitdefender: “Sandbox Analyzer” (für Anwendungen, Dokumente, Skripte, Archive und E-Mails) aktiviert. “Analysemodus” wurde auf “Überwachung” eingestellt. “Scan-Aktionen für PUA” wurde auf “Beseitigen” gesetzt. “SSL-Scan” wurde für HTTP und RDP aktiviert. “HyperDetect” und “Gerätekontrolle” wurden deaktiviert. “Update Ring” wurde auf “Fast Ring” geändert. “Web Traffic Scan” und “Email Traffic Scan” für eingehende E-Mails (POP3) aktiviert. “Ransomware-Bekämpfung” aktiviert. “Prozessspeicher-Scan” für “On-Access-Scanning” aktiviert. Alle Einstellungen des “AMSI-Befehlszeilenscanners” für den “Schutz vor dateilosen Angriffen” aktiviert. Unter “Netzwerkschutz” wurde in “Zusätzliche Prozesse” aktiviert und die folgenden Prozesse wurden hinzugefügt: powershell.exe, wscript.exe, cscript.exe, pwsh.exe.

Cisco: Unter “Secure Client” wurde “Umbrella” aktiviert. In “Secure Endpoint” wurde die Option “On Execute File and Process Scan” auf “Active” gesetzt; “Exploit Prevention: Script Control” auf “Block” gesetzt; “TETRA Deep Scan File” aktiviert; “Detect expanded threat types” aktiviert; “Exclusions” auf “Microsoft Windows Default” gesetzt; Engines “ETHOS” und “SPERO” deaktiviert. “Exploit-Verhinderung” auf “Aggressiv” eingestellt. “Dateien zur Malware-Analyse einreichen” auf “Aktiv” eingestellt. “MaxScanFileSize” auf 250 MB erhöht; “MaxArchiveScanFileSize” auf 500MB erhöht; "Cisco Secure Access" aktiviert und so konfiguriert, dass die folgenden Kategorien blockiert werden: Malware, Befehls- und Steuerungsrückrufe, Phishing-Angriffe, potenziell schädliche Domänen, neu gesehene Domänen, dynamische DNS, DNS-Tunneling-VPN, Cryptomining.

CrowdStrike: alles aktiviert und auf Maximum eingestellt, d.h. “Extra Aggressiv”. “Sichtbarkeit von Skriptdateien beim Schreiben” und “Analyse unbekannter ausführbarer Dateien im Zusammenhang mit der Erkennung” aktiviert. “On-demand Scans” und “Analyse unbekannter ausführbarer Dateien” deaktiviert. “Early Adopter Sensor Builds” aktiviert. “Redacted HTTP detection details”, “Enhanced exploitation visibility”, “Enhanced DLL load visibility” und “WSL2 visibility” wurden aktiviert”. “Der Schutz der Boot-Konfigurationsdatenbank, der Schutz vor anfälligen Treibern und die Eingrenzung des Dateisystems wurden ebenfalls aktiviert. Alle ”File Detection and Remediation Playbooks“ wurden in Falcon Fusion aktiviert.

Elastic: MalwareScore ("windows.advanced.malware.threshold") auf "aggressive" eingestellt und Rollback-SelfHealing ("windows.advanced.alerts.rollback.self_healing.enabled") aktiviert. "Credential hardening" aktiviert.

ESET: Unter "Protections" wurden alle "Detection responses" auf "Aggressiv" eingestellt. "Detection of potentially unwanted programs" aktiviert.

G Data: "BEAST Behavior Monitoring" auf "Halt program and move to quarantine" eingestellt. "BEAST Automatic Whitelisting" deaktiviert. "G DATA WebProtection"-Add-on für Google Chrome installiert und aktiviert. "Malware Information Initiative" aktiviert.

K7: Standardeinstellungen.

Kaspersky: "Adaptive Anomaly Control" deaktiviert; "Detect other software that can be used by criminals to damage your computer or personal data" aktiviert.

ManageEngine: In den Einstellungen für die Ransomware-Erkennung wurde die Erkennungsrichtlinie auf “Prozess töten” und die Erkennungsempfindlichkeit auf “Standard” gesetzt. Im Abschnitt Next-Gen Antivirus wurde der Erkennungsauslöser “Beim Schreiben aktivieren und beim Laden von DLLs aktivieren” aktiviert und die Erkennungsrichtlinie wurde auf “Töten & Quarantäne” gesetzt, auch für die “Behavior Detection Engine”.

Microsoft: "CloudExtendedTimeOut" auf 50 gesetzt; "PuaProtection" aktiviert. "SubmitSamplesConsent" auf "SendAllSamples" gesetzt. Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert.

SenseOn: Unter "Endpoint Protection" wurde die "Protection Level" auf "Respond" gesetzt. Der "Real Time Process Protection" wurde aktiviert und die Empfindlichkeit auf "Medium" eingestellt.

Sophos: “Erstellung von Bedrohungsdiagrammen”, “Ereignisprotokolle”, “Webkontrolle” und “Ereignisprotokollierung” deaktiviert.

Trellix: "Trellix Endpoint Security Web Control" Add-on für Google Chrome aktiviert. "Access Protection", "Firewall" und “Exploit Prevention” deaktiviert.

VIPRE: “Behandlung inkompatibler Software” deaktiviert. Unter “Aktiver Schutz” wurde “Desinfektion bei ATC-Codepuffer-Erkennung von prozessinternen Injektionen” aktiviert. Der “Schutz vor Netzwerkangriffen” wurde aktiviert und für alle Kategorien auf “Blockieren” gesetzt. “Erweiterte Erkennung” und “Verschlüsselten Domain-Controller-Verkehr untersuchen” wurden ebenfalls aktiviert. “Firewall” wurde aktiviert.

Test-Ergebnisse

Real-World Protection Test (März-April)

Dieses Merkblatt gibt einen kurzen Überblick über die Ergebnisse des Business Real-World Protection Test, der im März und April 2026 durchgeführt wurde. Die Gesamtberichte über die Unternehmensprodukte (die jeweils vier Monate umfassen) werden im Juli und Dezember veröffentlicht. Weitere Informationen über diesen Real-World Protection Test finden Sie unter https://www.av-comparatives.org. Die Ergebnisse beruhen auf einem Testsatz, bestehend aus 200 Testfällen (wie bösartige URLs), die von Anfang März bis Ende April getestet wurden.

	Blocked	User-Dependent	Kompromitiert	SCHUTZQUOTE [Blocked % + (User Dependent %)/2]*	False-Positives (FPs)
Bitdefender	200	-	0	100%	2
Elastic	200	-	0	100%	6
Avast, ESET, Norton	199	-	1	99.5%	2
Kaspersky	199	-	1	99.5%	3
Microsoft, VIPRE	198	-	2	99.0%	0
Cisco	197	-	3	98.5%	0
G Data	197	-	3	98.5%	1
CrowdStrike	197	-	3	98.5%	2
K7	197	-	3	98.5%	3
Sophos	195	2	3	98.0%	1
Trellix	196	-	4	98.0%	6
ManageEngine	196	-	4	98.0%	16
SenseOn	191	-	9	95.5%	1

* User-Dependent (Benutzerabhängige) Fälle werden zur Hälfte angerechnet. Wenn ein Programm zum Beispiel 80% von sich aus blockiert und weitere 20% der Fälle User-Dependent sind, geben wir die Hälfte der 20% an, also 10%, so dass es insgesamt 90% erhält.

Malware Protection Test (März)

Der Malware Protection Test bewertet die Fähigkeit eines Security-Programms, ein System vor, während oder nach der Ausführung vor einer Infektion durch schädliche Dateien zu schützen. Die für jedes getestete Produkt angewandte Methodik ist wie folgt: Vor der Ausführung werden alle Samples einem On-Access Scan vom Security-Programm unterzogen (sofern diese Funktion verfügbar ist) (z.B. beim Kopieren der Dateien über das Netzwerk). Alle Samples, die vom On-Access Scanner nicht erkannt wurden, werden dann auf dem Testsystem ausgeführt, das über einen Internet- bzw. Cloud-Zugang verfügt, damit z.B. Verhaltenserkennungsfunktionen zum Tragen kommen können. Wenn ein Produkt nicht alle von einem bestimmten Malware-Sample vorgenommenen Änderungen innerhalb eines bestimmten Zeitraums verhindert oder rückgängig macht, gilt dieser Testfall als Fehlschlag. Für diesen Test wurden 1,000 aktuelle Malware-Samples verwendet.

False-Positives (False-Alarm) Test mit gängiger Business-Software

Es wurde auch ein False-Alarm Test mit gängiger Software für Unternehmen durchgeführt. Alle getesteten Produkte hatten Null Fehlalarme bei gängiger Business-Software.

Die folgende Tabelle zeigt die Ergebnisse des Business Malware Protection Tests:

	Malware-Schutzrate	Fehlalarme bei gängiger Business-Software
Elastic	100%	0
Avast, Norton	99.8%	0
CrowdStrike	99.7%	0
Kaspersky, ManageEngine	99.6%	0
Bitdefender	99.5%	0
G Data, Microsoft, VIPRE	99.3%	0
ESET	99.2%	0
Cisco	99.0%	0
SenseOn	98.2%	0
Trellix	97.5%	0
Sophos	96.6%	0
K7	96.0%	0

Zum Zeitpunkt des Tests gab es bei Trellix ein Problem, das zu einigen zusätzlichen Fehlern führte. Zum Zeitpunkt der Veröffentlichung war das Problem bereits behoben.

Um die Erkennungsgenauigkeit und die Dateierkennungsfähigkeiten der Produkte (die Fähigkeit, gutartige Dateien von bösartigen Dateien zu unterscheiden) besser beurteilen zu können, haben wir auch einen Fehlalarmtest mit nicht-betrieblicher Software und ungewöhnlichen Dateien durchgeführt. Die Ergebnisse sind in den nachstehenden Tabellen aufgeführt; die festgestellten Fehlalarme wurden von den jeweiligen Anbietern umgehend behoben. Organisationen, die häufig unübliche oder nicht unternehmensrelevante Software oder selbst entwickelte Software verwenden, sollten diese Ergebnisse jedoch berücksichtigen. Um zugelassen zu werden, müssen die Produkte eine FP-Rate für Nicht-Business-Dateien aufweisen, die unter dem Schwellenwert für "Bemerkenswert hoch" liegt. Damit soll sichergestellt werden, dass die getesteten Produkte keine höheren Schutzwerte erreichen, indem sie Einstellungen verwenden, die übermäßig viele Fehlalarme verursachen könnten.

FP-Rate	Anzahl der FPs auf Non-Business-Software
Sehr niedrig	0 - 5
Low	6 - 15
Mittel/Durchschnitt	16 - 30
High	31 - 65
Sehr hoch	66 - 125
Auffallend hoch	> 125

	FP-Rate mit Non-Business-Software
Bitdefender, G Data, Kaspersky, Microsoft, VIPRE	Sehr niedrig
Avast, Norton, SenseOn	Low
Cisco, CrowdStrike, ESET, K7, Sophos	Mittel/Durchschnitt
Elastic, ManageEngine, Trellix	High
-	Sehr hoch
-	Auffallend hoch

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2026 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung des Vorstandes von AV-Comparatives vor jeglicher Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, aber eine Haftung für die Richtigkeit der Testergebnisse kann von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, der Testdokumente oder der damit verbundenen Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Mai 2026)