Selbstverständlich wird immer ein Kompromiss zwischen Sicherheit und Performance, besser gesagt Verfügbarkeit gemacht. Wie soll es auch anders gehen? Ich kann alles so sicher machen, dass es nicht mehr verfügbar ist oder ich mache alles so verfügbar, dass es nicht mehr sicher ist. Beides ist schlicht nicht möglich und das würde auch nie jemand bezweifelt.
Die Frage ist auch: Lohnt es sich überhaupt? Ich kann total geile Sicherheitslösungen kaufen, aber wenn der Inhalt das gar nicht wert ist? Lohnt es sich, für mein eines Eurostück einen Safe für 5000 Euro anzuschaffen? Abwägung Risiko versus Aufwand muss jeder machen, der sich mit dem Thema ernsthaft auseinander setzt. Das ist auch eine Backup-Frage, die der private Endanwender ja auch zu gerne unter den Tisch fallen lässt.

Das Sicherheitshersteller hinterher hinken, stimmt meiner Meinung nach nicht. Nur, weil jemand böses im Sinne hat, wird aus ihm noch lange kein Superhacker. Irgendwelchen "Gurus", im Falle von SennaSpy mehr als zweifelhaften Gestalten mit eindeutig unredlichen Absichten, mit so tiefsitzender Ehre und konstruktivem Beitrag zur Gesellschaft würde ich natürlich auch jedes Wort glauben Anders gesagt: Ich frage auch nicht den Einbrecher um Rat, welches Haustürschloss ich nehmen soll. Lieber vertraue ich dem TÜV, der Stiftung Warentest und dem Ratschlag der örtlichen Sicherheitsorgane, weil ich an deren Haltung keine Zweifel hegen muss.

Lieber ne mittelmäßige Lösung als gar keine. Quasi egal welche, Hauptsache man schließt zumindest die üblichen Einstiege einigermaßen. Gar keine haben nämlich nach wie vor die Mehrzahl der User und wundern sich eines Tages über ihre zerbombten Rechner.

Auf der Seite der guten ist deutlich mehr Kompetenz und Know How versammelt, als beim Gegenspieler. Man spricht halt nicht über gutes. Es wird nur gemeckert, wenn was durchkommt. Das war schon immer so und wird auch immer so bleiben. Die Polizei und die vielen guten Dinge, die sie tun, wird auch nie gelobt. Es geht immer nur darum, was sie nicht verhindert haben, sowie faul waren und gepennt haben.

Nicht nur ein Hersteller hat schon gezeigt, dass sie Dein Beispiel Stuxnet mit Produkten von der Stange hätten aufspüren können. Erster war RSA, soweit ich mich erinnere. Problem ist in meinen Augen eher die mangelnde Wahrnehmung von Gefahren für Produktions-IT. Wer betreibt denn schon Systemhärtung oder konsequente Intrusion Detection in seiner Fabrik? Interessiert kein Schwein in Europa...

Compliance spielt meiner Erfahrung nach in der Realität bei Enterprise-Endpoint-Protection praktisch keine Rolle. Viel wichtiger ist zentrale und problemfreie Verwaltung von Lizenzen und Patches. Das können nur wenige gut und weil nur ein gemanagetes System überhaupt jemals ein sicheres sein kann, wird da auch jede Stücklösung immer hinter einem kompletten Produkt nachstehen.

Beamtenrechner sind in Deutschland so ziemlich die am schlechtesten gesicherten überhaupt. Die öffentliche Hand betreibt Security doch eher als notwendiges Übel denn als geschäftskritischen Bereich. Solange IT-Abteilungen der öffentlichen Hand von Verwaltungswirten (FH) anstatt von IT-Fachleuten geleitet werden, wird sich daran auch nichts ändern. Dein Beispiel von "Ich klicke, also bin ich" trifft hier im negativsten Sinn ins Schwarze.