M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Bundesbehörden erhalten über das BSI aktuelle Viren-Schutzprogramme. Benutzer aus anderen Bereichen müssen aus der Vielzahl der am Markt verfügbaren Computer-Viren-Schutzprogramme für sie geeignete auswählen.
Für die ITSEC, den Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik, wurde eine Funktionalitätsklasse für Anti-Virus-Produkte (F-AVIR) entwickelt. Auf diese kann bei der Auswahl eines geeigneten Viren-Suchprogramms zurückgegriffen werden.
In dieser Funktionalitätsklasse werden Sicherheitsfunktionen sowie Voraussetzungen für die sichere Arbeitsumgebung von Anti-Virus-Produkten beschrieben, die als Kriterien für die Auswahl eines geeigneten Computer-Viren-Suchprogramms herangezogen werden sollten. Band 2 der BSI-Schriftenreihe zur IT-Sicherheit "Informationen zu Computer-Viren" enthält einen Abdruck dieser Funktionalitätsklasse.
Im wesentlichen sollten folgende Bedingungen vom auszuwählenden Computer-Viren-Suchprogramm erfüllt werden:
- Der Umfang der erkannten Computer-Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen, insbesondere müssen alle sehr stark verbreiteten Computer-Viren erkannt werden.
- Eine ständige Aktualisierung bezüglich neuer Computer-Viren muss vom Hersteller sichergestellt sein.
- Das Programm sollte Computer-Viren auch in komprimierter Form finden, wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten.
- Gefundene Computer-Viren müssen mit einer vollständigen Pfadangabe angezeigt werden.
- Das Programm muss seine eigene Virenfreiheit feststellen, bevor die Suchfunktion ausgeführt wird.
- Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Computer-Virenkontrolle ermöglichen.
- Sinnvoll ist eine Funktionalität, die es erlaubt, erkannte Computer-Viren zu entfernen, ohne weitere Schäden an Programmen oder Daten zu verursachen.
- Das Programm sollte über eine Protokollierungsfunktion verfügen, die folgende Daten festhält:
- Versionsstand des Programms,
- Datum und Uhrzeit der Überprüfung,
- Angabe aller benutzten Parameter,
- Prüfergebnis mit Prüfumfang,
- Anzahl und Identifikation der Dateien und Objekte, die nicht geprüft werden konnten.
- Das Programm sollte eine Warnung ausgeben, wenn es feststellt, dass es offensichtlich nicht aktualisiert wurde (zwischen Aktualitätsstand des Programms und Systemdatum liegen mehr als 6 Monate).
- Das Programm sollte eine Liste der erkennbaren Computer-Viren und ihre Beschreibung beinhalten. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Computer-Virus anzugeben.