M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT

Für die Umsetzung eines Computer-Virenschutzes sind personelle und finanzielle Ressourcen erforderlich, die in einem angemessenen Verhältnis zu dem tatsächlichen Bedrohungspotential stehen müssen. Für die Gesamtheit der identifizierten potentiell durch Computer-Viren bedrohten IT-Systeme sind folgende Einflußfaktoren zu erheben:

• Wie häufig findet über die vorhandenen Schnittstellen ein Datentransfer statt, der zu einer Infektion bzw. Verbreitung von Computer-Viren führen kann?
• Mit welchen Folgen ist bei einer tatsächlichen Infektion zu rechnen, wenn keine Schutzmaßnahmen ergriffen werden?
• Wie zuverlässig werden von den IT-Benutzern IT-Sicherheitsmaßnahmen durchgeführt, die periodisch zu veranlassen sind?
• Wieviel Zeitaufwand kann den IT-Benutzern für Computer-Viren-Schutzmaßnahmen zugemutet werden?

Bei Kenntnis der daraus und aus Fachveröffentlichungen ableitbaren Häufigkeit von Computer- Viren-Infektionen und der daraus entstehenden möglichen Folgeschäden ist unter Einbeziehung des Managements zu entscheiden, welche finanziellen Ressourcen für notwendige Maßnahmen zur Verfügung gestellt werden müssen und welche personellen Ressourcen bereitgestellt werden.

In Kenntnis der finanziellen und personellen Ressourcen, die für den Computer-Virenschutz zur Verfügung stehen, und der identifizierten potentiell bedrohten IT-Systeme können Strategien ausgewählt werden, wie ein geeigneter Schutz erreicht werden kann.

Einige mögliche Strategien werden im folgenden vorgestellt.

Computer-Viren-Suchprogramme auf jedem Endgerät

Erfolgt auf einem IT-System der Einsatz eines aktuellen residenten Computer-Viren-Suchprogramms (also eines Programmes, das permanent im Hintergrund läuft), wird sichergestellt, daß ein infiziertes Programm nicht ausgeführt oder eine Datei mit einem Makro-Virus nicht geladen werden kann. Die Kontrolle der Schnittstellen am Endgerät übernimmt das residente Suchprogramm. Dadurch wird gewährleistet, daß eine Übertragung auf das IT-System nicht erfolgt. Der ausschließliche Einsatz nicht-residenter Computer-Viren-Suchprogamme (die nur durch explizites Starten des Programms durch den Benutzer aktiviert werden) empfiehlt sich nicht, da hierdurch heute kein wesentlicher finanzieller Vorteil erzielbar ist, jedoch die Nachteile auf seiten des IT-Benutzers erheblich zunehmen, da er zuverlässig regelmäßig das Programm aktivieren muß.

Werden alle Endgeräte mit einem residenten Computer-Viren-Suchprogramm ausgestattet, ist sichergestellt, daß Computer-Viren sofort nach Auftreten identifiziert und daß sie nicht vom Endgerät aus weitergegeben werden. Darüber hinaus sollte der Einzelaufruf auch bei residenten Viren-Suchprogrammen auf jedem Client möglich sein, um bei Bedarf, z. B. vor dem Öffnen von E- Mail-Attachments diese gezielt überprüfen zu können.

Vorteile:

• Ein geeignetes, aktuelles und residentes Computer-Viren-Suchprogramm gewährleistet einen maximalen Schutz bei gleichzeitig minimalen Aufwand für den IT-Benutzer

Nachteile:

• Anschaffungskosten sowie Administrationsaufwand fallen für jedes Endgerät an.
• Ältere IT-Systeme haben unter Umständen nicht ausreichend Hauptspeicher. Es könnte außerdem zu Komplikationen bei der Zusammenarbeit mit anderen Programmen kommen.

Computer-Viren-Suchprogramme auf allen Endgeräten mit externen Schnittstellen

In vernetzten IT-Systemen wird ein residentes Computer-Viren-Suchprogramm nur auf den IT-Systemen installiert, die neben Schnittstellen zum eigenen internen Netz über weitere externe Schnittstellen (Diskettenlaufwerk, CD-ROM, Modem) verfügen. Vernetzte IT-Systeme ohne direkte externe Schnittstellen werden nicht mit Computer-Viren-Suchprogrammen ausgestattet.

Vorteile:

• Anschaffungskosten sowie Administrationsaufwand reduzieren sich auf die IT-Systeme mit externen Schnittstellen.

Nachteile:

• Änderungen an den IT-Systemen, die zur Einrichtung neuer externer Schnittstellen führen, müssen akribisch nachgehalten werden, da ggf. die Nachrüstung von IT-Systemen mit Computer- Virersuchprogammen notwendig wird.
• Verschlüsselte Dateien oder Programme, die Computer-Viren beinhalten und erst auf einem ungeschützten Endgerät entschlüsselt werden, führen zu Infektionen. Dies kann in gleicher Weise auch für komprimierte Dateien gelten, wenn das Suchprogramm nicht geeignet ist.

Computer-Viren-Suchprogramme auf allen Servern

In diesem Fall wird in einem vernetzten IT-System jeder Server mit einem residenten Computer-Viren- Suchprogramm ausgestattet, die angeschlossenen Endgeräte jedoch nicht. Dadurch wird sichergestellt, daß keine Übertragung von Computer-Viren von einem Endgerät auf ein anderes Endgerät erfolgen kann und so eine mögliche Infektion lokal isoliert bleibt.

Vorteile:

• Anschaffungskosten sowie Administrationsaufwand reduzieren sich auf die Server.
• Schutz der Server verhindert Re-Infektionen, z. B. nach dem Einspielen von archivierten Dateien.

Nachteile:

• Für die Endgeräte mit externen Schnittstellen muß der Benutzer das auf dem Server befindliche Computer-Viren-Suchprogramm manuell starten, um damit eingehende externe Datenträger, aber auch zu versendende Datenträger und Dateien zu überprüfen.
• Verschlüsselte Dateien oder Programme, die Computer-Viren beinhalten und erst auf einem ungeschützten Endgerät entschlüsselt werden, führen ohne Eingangskontrolle zu Infektionen. Dies kann in gleicher Weise auch für komprimierte Dateien gelten, wenn das Suchprogramm nicht geeignet ist.
• Ein Computer-Viren-Befall eines Endgerätes mit externen Schnittstellen kann nicht ausgeschlossen werden.
• Wird zusätzlich eine Peer-to-Peer-Funktionalität genutzt, können Computer-Viren ohne Kontrolle der geschützten Server zwischen Endgeräten übertragen werden.
• Schlecht für die Performance, da alle Kommunikationsinhalte überprüft werden müssen.

Computer-Viren-Suchprogramme auf allen Servern und Endgeräten

Diese Kombination obiger Strategien bietet den maximalen Schutz, da Computer-Viren sofort beim Auftreten erkannt werden und nicht über Server weiterverteilt werden. Darüber hinaus können Computer-Viren-Suchprogramme verschiedener Hersteller eingesetzt werden, um so die Erkennungsrate für Computer-Viren zu erhöhen.

Vorteile:

• Ein geeignetes, aktuelles und residentes Computer-Viren-Suchprogramm gewährleistet einen maximalen Schutz bei gleichzeitig minimalen Aufwand für den IT-Benutzer.
• Computer-Viren werden nicht über Server weiterverteilt.

Nachteile:

• Anschaffungskosten sowie Administrationsaufwand für jeden Server und jedes Endgerät.

Computer-Viren-Suchprogramme auf den Kommunikationsservern

Computer-Virenschutzprogramme können ausschließlich oder zusätzlich auf allen Kommunikationsservern installiert werden, also den IT-Systemen über die der Datenaustausch mit externen IT-Systemen läuft, z. B. Firewalls oder Mail-Server. Hierdurch sind aber die Endgeräte nur dann vor Computer-Viren geschützt, wenn diese keine weiteren Schnittstellen wie CD-ROM-Laufwerke o. ä. besitzen.

Vorteile:

• Alle Dateien werden am Eingang zum LAN überprüft, nicht erst innerhalb.
• Computer-Viren werden nicht über Server weiterverteilt. Allerdings können sie sich auf den Endgeräten weiterverbreiten, wenn zwischen diesen Dateien direkt (z. B. über Disketten) ausgetauscht werden.

Nachteile:

• Diese Methode ist fehleranfällig: Attachments an E-Mail werden u. U. nicht alle erkannt. Häufig wird von solchen Programmen das Vorhandensein von Attachments nur innerhalb der ersten Zeilen einer Mail bzw. im Mail-Header überprüft. Es kann auch vorkommen, daß das Verfahren, mit dem das Attachment behandelt wurde (z. B. uuencode) vom Virensuchprogramm nicht erfaßt wird. Dies ist z. B. bei MIME möglich, es kann zu Problemen kommen, wenn eine oder mehrere mit uuencode codierte Dateien einfach in den Mailbody eingefügt werden.
• Schlecht für die Performance, da alle Kommunikationsinhalte überprüft werden müssen.
• Auf allen Kommunikationsservern sollte nur ein minimales Betriebssystem installiert sein, also nur die nötigsten Dienste (siehe auch M 4.95 Minimales Betriebssystem).
• Um Denial-of-Service-Angriffe zu vermeiden sollte ein Computer-Viren-Suchprogramm nie auf einer Firewall installiert werden, höchstens auf einem Proxy.

Datenhygiene und zentrale Prüfung von Dateien

Hierbei werden sämtliche eingehenden und ausgehenden Dateien und Datenträger an zentraler Stelle durch ein Computer-Viren-Suchprogramm kontrolliert. Darüber hinaus wird geregelt, daß die IT-Benutzer keine Dateien, Programme und Datenträger aus zweifelhafter Herkunft verwenden.

Vorteile:

• Die Anzahl der zu beschaffenden Lizenzen für Computer-Viren-Suchprogramme reduziert sich erheblich.

Nachteile:

• Bei häufigen Einsatz externer Datenträger nimmt eine zentrale Prüfung auf Computer-Viren sehr viel Zeit in Anspruch und verzögert den Geschäftsablauf. Ein Computer-Virenbefall kann grundsätzlich nicht ausgeschlossen werden, da ggf. die Prüfung eines Datenträgers versehentlich vergessen werden kann.
• In regelmäßigen Zeitabständen müssen alle Rechner ohne Computer-Viren- Suchprogramm auf einen möglichen Computer-Viren-Befall untersucht werden.

Unabhängig davon, welche Strategie für den Computer-Virenschutz gewählt wird, verbleibt immer das Restrisiko, daß Computer-Viren-Suchprogramme nur diejenigen Computer-Viren erkennen, die zum Entwicklungszeitpunkt des Programms bekannt waren. Das heißt, daß neue Viren ggf. nicht erkannt werden und Schäden anrichten können.

Die Wahl der richtigen und unter Kostengesichtspunkten angemessenen Strategie ist von der jeweiligen IT- Landschaft abhängig. Da jedoch beim Kauf von Mehrfach-Lizenzen der gängigen, geeigneten Computer-Viren-Suchprogramme sich meist die Kosten pro Lizenz stark reduzieren, empfiehlt es sich, über eine Komplettausstattung aller Server und Endgeräte nachzudenken.

• Sind in der Vergangenheit Computer-Viren aufgetreten? Welche Schäden wurden verursacht (finanzielle Einbußen, Arbeitsausfall, ...)?
• Wird die Entscheidung über den Ressourceneinsatz für den Computer-Virenschutz vom Management getragen?
• Ist sichergestellt, daß bei Änderungen der IT-Landschaft über eine Anpassung der Computer-Virenschutz-Strategie nachgedacht wird?
• Wurden die mit der gewählten Strategie verbundenen Nachteile dem IT-Sicherheitsmanagement verdeutlicht?
• Werden die entstehenden Restrisiken getragen?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.