IT-GSHB 2000 - Auswahl eines geeigneten Computer-Viren-Suchprogramms

M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT

Bundesbehörden erhalten über das BSI aktuelle Viren-Schutzprogramme. Benutzer aus anderen Bereichen müssen aus der Vielzahl der am Markt verfügbaren Computer-Viren-Schutzprogramme für sie geeignete auswählen.

Für die ITSEC, den Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik, wurde eine Funktionalitätsklasse für Anti-Virus-Produkte (F-AVIR) entwickelt. Auf diese kann bei der Auswahl eines geeigneten Viren-Suchprogramms zurückgegriffen werden.

In dieser Funktionalitätsklasse werden Sicherheitsfunktionen sowie Voraussetzungen für die sichere Arbeitsumgebung von Anti-Virus-Produkten beschrieben, die als Kriterien für die Auswahl eines geeigneten Computer-Viren-Suchprogramms herangezogen werden sollten.

Band 2 der BSI-Schriftenreihe zur IT-Sicherheit "Informationen zu Computer-Viren" enthält einen Abdruck dieser Funktionalitätsklasse. Als Hilfsmittel wurde der entsprechende Auszug der CD-ROM zum IT-Grundschutzhandbuch beigefügt.

Im wesentlichen sollten folgende Bedingungen vom auszuwählenden Computer-Viren-Suchprogramm erfüllt werden:

Der Umfang der erkannten Computer-Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen, insbesondere müssen alle sehr stark verbreiteten Computer-Viren erkannt werden.
Eine ständige Aktualisierung bezüglich neuer Computer-Viren muß vom Hersteller sichergestellt sein.
Das Programm sollte Computer-Viren auch in komprimierter Form finden, wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten.
Gefundene Computer-Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden.
Das Programm muß seine eigene Virenfreiheit feststellen, bevor die Suchfunktion ausgeführt wird.
Nach Möglichkeit muß das Produkt als residentes Programm eine permanente Computer- Virenkontrolle ermöglichen.
Sinnvoll ist eine Funktionalität, die es erlaubt, erkannte Computer-Viren zu entfernen, ohne weitere Schäden an Programmen oder Daten zu verursachen.
Das Programm sollte über eine Protokollierungsfunktion verfügen, die folgende Daten festhält:

Versionsstand des Programms,
Datum und Uhrzeit der Überprüfung,
Angabe aller benutzten Parameter,
Prüfergebnis mit Prüfumfang,
Anzahl und Identifikation der Dateien und Objekte, die nicht geprüft werden konnten.

Das Programm sollte eine Warnung ausgeben, wenn es feststellt, daß es offensichtlich nicht aktualisiert wurde (zwischen Aktualitätsstand des Programms und Systemdatum liegen mehr als 6 Monate).
Das Programm sollte eine Liste der erkennbaren Computer-Viren und ihre Beschreibung beinhalten. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Computer-Virus anzugeben.