3.6 Computer-Virenschutzkonzept

Beschreibung

Ziel eines Computer-Virenschutzkonzeptes ist es, ein geeignetes Maßnahmenbündel zusammenzustellen, bei dessen Einsatz das Auftreten von Computer-Viren auf den in einer Organisation eingesetzten IT-Systemen verhindert bzw. möglichst früh erkannt wird, um Gegenmaßnahmen vornehmen zu können und evtl. mögliche Schäden zu minimieren. Wesentlicher Aspekt des Schutzes vor Computer-Viren ist die konsequente Aufrechterhaltung der Maßnahmen und die ständige Aktualisierung technischer Gegenmaßnahmen. Diese Forderung begründet sich durch die permanent neu auftauchenden Computer-Viren oder deren Varianten. Auch durch die Weiterentwicklung von Betriebssystemen, Programmiersprachen und Anwendungssoftware müssen die sich hieraus ergebenden möglichen Angriffspotentiale für Computer-Viren beachtet werden und rechtzeitig geeignete Gegenmaßnahmen eingeleitet werden.

Da in Behörden oder Unternehmen Rechner in zunehmendem Maße in lokale Netze integriert werden oder ein Anschluß an öffentliche Kommunikationsnetze erfolgt, werden über die Weitergabe über Disketten hinaus zusätzliche Schnittstellen geschaffen, über die eine Infektion mit Computer-Viren erfolgen kann. Dies erfordert es oftmals, daß eine permanente Kontrolle der eingesetzten Rechner auf Computer-Viren vorgenommen wird.

Um für eine Gesamtorganisation einen effektiven Computer-Virenschutz zu erreichen, wird in diesem Kapitel die Vorgehensweise zur Erstellung und Realisierung eines Viren-Schutzkonzeptes in einzelnen Schritten erläutert.

Maßnahmenempfehlungen zum Computer-Virenschutz für einzelne IT-Systeme finden sich in den entsprechenden Kapiteln 5 und 6.

Gefährdungslage

Für den IT-Grundschutz werden bezüglich Computer-Viren die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel:

• G 2.1 Fehlende oder unzureichende Regelungen
  
• G 2.2 Unzureichende Kenntnis über Regelungen
  
• G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
  
• G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
  
• G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
  
• G 2.9 Mangelhafte Anpassung an Veränderungen des IT-Einsatzes
  
• G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
  

Menschliche Fehlhandlungen:

• G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
  

Vorsätzliche Handlungen:

• G 5.2 Manipulation an Daten oder Software
  
• G 5.21 Trojanische Pferde
  
• G 5.23 Computer-Viren
  
• G 5.43 Makro-Viren
  
• G 5.80 Hoax
  

Maßnahmenempfehlungen

Bei der Erstellung eines Computer-Viren-Schutzkonzepts (vgl. M 2.154 Erstellung eines Computer-Virenschutzkonzepts) muß zunächst ermittelt werden, welche der vorhandenen oder geplanten IT-Systeme in das Computer-Viren-Schutzkonzept einzubeziehen sind (siehe M 2.155 Identifikation potentiell von Computer-Viren betroffener IT-Systeme). Für diese IT-Systeme müssen die für die Umsetzung von Sicherheitsmaßnahmen relevanten Einflußfaktoren betrachtet werden. Darauf aufbauend können dann die technischen und organisatorischen Maßnahmen ausgewählt werden. Hierzu ist insbesondere die Auswahl geeigneter technischer Gegenmaßnahmen wie Computer-Viren-Suchprogramme zu beachten (siehe M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie und M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Neben der Einrichtung eines Meldewesens (Vgl. M 2.158 Meldung von Computer-Virusinfektionen) und der Koordinierung der Aktualisierung eingesetzter Schutzprodukte (vgl. M 2.159 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme) sind für die Umsetzung des Konzeptes eine Reihe von Regelungen zu vereinbaren (vgl. M 2.11 Regelungen zum Computer-Virenschutz), in denen zusätzlich notwendige Maßnahmen zum Virenschutz festgelegt werden. Eine der wichtigsten Vorbeugemaßnahmen gegen Schäden durch Computer-Viren ist die regelmäßige Datensicherung (siehe M 6.32 Regelmäßige Datensicherung).

Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmebündel ("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Als zusätzliche Literatur ist Band 2 der Schriftenreihe zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik "Informationen zu Computer-Viren" zu empfehlen.

Organisation:

• M 2.154 (1) Erstellung eines Computer-Virenschutzkonzepts
  
• M 2.155 (2) Identifikation potentiell von Computer-Viren betroffener IT-Systeme
  
• M 2.156 (2) Auswahl einer geeigneten Computer-Virenschutz-Strategie
  
• M 2.157 (2) Auswahl eines geeigneten Computer-Viren-Suchprogramms
  
• M 2.158 (2) Meldung von Computer-Virusinfektionen
  
• M 2.159 (2) Aktualisierung der eingesetzten Computer-Viren-Suchprogramme
  
• M 2.160 (2) Regelungen zum Computer-Virenschutz
  
• M 2.9 (3) Nutzungsverbot nicht freigegebener Software
  
• M 2.10 (3) Überprüfung des Software-Bestandes
  
• M 2.34 (2) Dokumentation der Veränderungen an einem bestehenden System
  
• M 2.35 (2) Informationsbeschaffung über Sicherheitslücken des Systems
  

Personal:

• M 3.4 (2) Schulung vor Programmnutzung
  
• M 3.5 (2) Schulung zu IT-Sicherheitsmaßnahmen
  

Hardware/Software:

• M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
  
• M 4.33 (2) Einsatz eines Viren-Suchprogrammes bei Datenträgeraustausch und Datenübertragung
  
• M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
  
• M 4.84 (2) Nutzung der BIOS-Sicherheitsmechanismen
  

Notfallvorsorge:

• M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
  
• M 6.24 (2) Erstellen einer PC-Notfalldiskette
  
• M 6.32 (1) Regelmäßige Datensicherung
  

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000