Ich habe den Test nicht gelesen, aber Kugelfisch (?!) hat ja schon ein Manko, nämlich die geringe Stichprobe von 100 Files.
Ich könnte mir vorstellen, dass da auch nicht darauf geachtet wurde, welche Arten von Malware man eingesetzt hat.
Beispielsweise "alt bekannte" Viren, Viren, die unmittelbar oder erst zu bestimmten Zeiten aktiv werden, "unbekannte" bzw "eigenkreierte Viren" etc.
Um das weiter auszuführen, wäre vielleicht die Frage, wo der Scanner ansetzt, ob er versucht Viren zu erkennen, bevor diese aktiv werden oder erst wenn "verdächtige Aktivitäten" von eine Programm durchgeführt werden, ob er Viren aus bekannten Definitionen erkennt oder Heuristiken verwendet (falls Heuristiken auf Code oder Verhaltensbasis?). Vielleicht waren unter den 100 Malwarefiles auch 50 Cracks und 25 Keygens, beides wird von einigen Virenscannern als bösartig erkannt, ist aber in der Regel unschädlich. Wie gesagt, ich habe mir den Test nicht weiter angeschaut, falls das dort also irgendwo noch erläutert wird, gilt natürlich weiterhin das, was Kugelfisch sagt, sonst kommt eben noch dazu, dass die Daten viel zu ungenau sind, als dass man irgendetwas auf die Statistik geben könnte.
Zum Thema Drive-By-Angriffe: Um Plugins im Browser zu deaktivieren, die nachweislich als Sicherheitsrisiko bekannt sind (Java Applet, Flash, PDF Viewer etc), brauche ich keine 60Euro Software. Auch der größte DAU braucht dazu keine.
Zum Thema Phishing Sites und unbedarfte Nutzer: Viel wichtiger, als das Unwissen durch Software zu kompensieren, ist es den Nutzer für die Gefahren aus dem Web zu sensibilisieren. Den weg gehen auch moderne Browser, wenn auch nicht direkt. Sie versuchen ihre Darstellung auf wesentliche Informationen zu beschränken, so dass der Nutzer sich nicht mal mehr anstrengen muss. Dass bei URLs mittlerweile relevante Informationen (Domain) hervorgehoben werden und Protokoll, Subdomain sowie Unterpfade in den Hintergrund gerückt werden, dass je nach SSL Zertifikat eine Hervorhebung stattfindet, ist ja nicht etwa, weil es schöner aussieht. Diese Maßnahmen sind genau dazu gedacht den Nutzer zu unterstützen. Wenn ich eine Seite besuche und die gibt sich als Deutsche Bank ausgibt und so aussieht:
http://deutschebank.de.kundenmenue.asda.ru/083rwefh/iuofhwe4u/r0iosdfohsrf89w438/formular.php
dann kann das für den DAU eventuell verwirrend sein, einfach weil da so viel Müll steht, dass der Kunde erst mal überfordert ist.
Zeigt dir der Browser dann aber, dass du
a. eine Seite besuchst, die kein / ein selbst signiertes SSL Zertifikat bereit stellt (rot) und
b. du auf asda.ru und nicht auf deutschebank.de bist (indem die Subdomain ausgeblendet wird)
dann sollten selbst beim dümmst anzunehmenden Menschen die Alarmglocken klingeln. Dafür braucht es sicherlich keine Internet Suite.
Würde das zugehörige Kreditinstitut seine Online Banking Kunden zusätzlich darauf hinweisen (etwa im persönlichen Kundengespräch), könnte man das Bewusstsein der Nutzer nachhaltig und sehr effektiv schulen und sich unglaublich viel Zeit und Ärger ersparen.
Diese Aufklärung ist ja auch nicht schwer. Jedem, dem ich einen PC vor die Nase stellen, der sich nicht auskennt, bekommt von mir erklärt, was es mit SSL auf sich hat und wann der Browser was wie anzeigt. Auch für sonstige genutzte Dienste erkläre ich den Leuten, wie es richtig und "gut" auszusehen hat und was "böse" ist.
Dass man auf Emails vom Packdienst / eBay / Amazon nicht reagieren muss, wenn man dort nicht registriert ist oder falls doch man bestimmte Dinge beachten soll.
Klar, das kostet 2-3 Minuten, erspart aber mir später mehrere Stunden und Nerven und dem PC Nutzer jede Menge Zeit, Geld und Nerven.