M 4.3 Regelmäßiger Einsatz eines Anti-Viren-Programms
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Funktionsweise von Anti-Viren-Programmen
Zum Schutz vor Computer-Viren können unterschiedliche Wirkprinzipien genutzt werden. Programme, die IT-Systeme nach bekannten Viren durchsuchen, haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. Von Vorteil ist, dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können. Man kann daher eine Infektion mit bekannten Computer-Viren grundsätzlich vermeiden. Ein weiterer Vorteil ist, dass man durch das Anti-Viren-Programm eine genauere Information über den jeweils entdeckten Virus erhält. Die bekannten Viren sind durch Spezialisten analysiert worden, so dass man weiß, ob Schadensfunktionen vorhanden sind. Ein gutes Anti-Viren-Programm muss daher nicht nur in der Lage sein, viele Viren zu finden, sondern sie auch möglichst exakt identifizieren.
Schutz vor Makro-Viren
Nicht nur reguläre Programm-Dateien können Computer-Viren enthalten, sondern auch Dateien von Anwendungsprogrammen, die eine Makrosprache verwenden ("Makro-Viren"). Betroffen sind in der Regel die Office-Programme (wie Textverarbeitung oder Tabellenkalkulation) der meisten Hersteller. Die meisten Anwendungsprogramme bieten Einstellungsoptionen, die den Schutz vor Makro-Viren erhöhen. Beispielsweise kann beim Öffnen von Dateien die Ausführung von Makros standardmäßig verhindert werden. In den Informationen und Dokumentationen der Hersteller von Anwendungsprogrammen sollte daher gezielt nach diesem Thema gesucht und die Empfehlungen beachtet werden.
Auch wenn nahezu alle Anti-Viren-Programme Makro-Viren erkennen, sollten die folgenden Maßnahmen erwogen werden, um die Sicherheit zu erhöhen: In einer Testumgebung können Dateien mit dem jeweiligen Anwendungsprogramm gefahrlos auf Makro-Viren untersucht werden. Alternativ besteht die Möglichkeit, empfangene Dateien mit einem Editor zu bearbeiten, der die Datei in ein Format umwandelt, in dem die Makros nicht ablauffähig sind. Die empfangenen Dateien können auch mit so genannten Viewern geöffnet werden, die es kostenlos für die Darstellung der verbreitetsten Dateiformate gibt und die ebenfalls die Ausführung von Makros nicht zulassen.
Dokumente sollten nur in Formaten nach außen gegeben werden, die möglichst "ungefährlich" sind, also beispielsweise solchen, zu denen keine Makrosprache existiert und damit keine Gefahr von Makro-Viren besteht. Textdokumente sollten z. B. statt als DOC- oder SDW-Datei möglichst nur im RTF-Format nach außen gegeben werden (siehe auch M 4.134 Wahl geeigneter Datenformate).
Bei der Verwendung des RTF-Formats ist jedoch zu beachten, dass damit unter bestimmten Voraussetzungen der Makroviren-Schutz von Microsoft Word umgangen werden kann. Bekannte Viren werden jedoch von aktuellen Anti-Viren-Programmen gefunden. Für RTF existiert zwar keine Makrosprache, es können jedoch Verknüpfungen mit Dokumentenvorlagen (DOT) eingebettet sein, die ihrerseits Makros enthalten können. Wird eine solche RTF-Datei geöffnet und ist die Dokumentvorlage ebenfalls im Zugriff, führt Microsoft Word in der Dokumentenvorlage eventuell enthaltene Makros ohne Rückfrage aus. Betroffen sind ungepatchte Versionen von Word 97, 98, 2000 und 2001 (Mac).
Als weitere Vorbeugung sollten Benutzer darauf hingewiesen werden, wie sie die automatische Ausführung möglicherweise vorhandener Makros verhindern können. Dies ist leider für fast alle Programme und Versionen unterschiedlich und auch nicht immer zuverlässig.
Betrieb von Computer-Anti-Viren-Programmen
Zu beachten ist, dass Anti-Viren-Programme mit der Zeit ihre Wirksamkeit verlieren, da sie nur die zu ihrem Erstellungszeitpunkt bekannten Computer-Viren berücksichtigen, neu hinzugekommene jedoch meist nicht erkennen können. Daher ist eine regelmäßige, mindestens wöchentliche (besser tägliche) Aktualisierung des Anti-Viren-Programms erforderlich.
Durch Parametrisierung lassen sich bei Anti-Viren-Programmen Einstellungen vornehmen, über die festgelegt wird, welche Dateien geprüft werden sollen und in welchem Umfang die Prüfung erfolgen soll. Hier ist es Aufgabe des IT-Sicherheitsmanagements, die geeigneten Einstellungen zu ermitteln und den Benutzern mitzuteilen bzw. als Voreinstellungen an diese weiterzugeben.
Ebenso wie andere Programme können Anti-Viren-Programme durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. Die Betriebsart des Schutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Benutzern und damit auf die tatsächlich erreichte Schutzfunktion.
Beim transienten Betrieb muss das Anti-Viren-Programm durch den Benutzer gestartet werden, der außerdem explizit festlegen muss, welche Datenträger durchsucht werden sollen. Hierdurch können Infektionen erst im Nachhinein festgestellt werden. Ein Viren-Schutz ist zwar grundsätzlich möglich, jedoch hängt die Wirksamkeit von der Sorgfalt der Benutzer ab.
Beim residenten Betrieb wird das Anti-Viren-Programm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten. Es verrichtet seine Tätigkeit, ohne dass der Benutzer dabei mitwirkt, er kann inzwischen seine eigentliche Arbeit, z. B. das Schreiben von Texten, ausführen. Der residente Betrieb wird empfohlen.
Wird ein Virus gefunden, wird die betroffene Datei für den Zugriff gesperrt, d. h. der Benutzer kann sie nicht verwenden, solange das Schutzprogramm aktiv ist. Der Einsatz speicherresidenter Anti-Viren-Programme unter Windows-Betriebssystemen ist derzeit die beste Möglichkeit, sich vor Computer-Viren zu schützen, weil jede Datei vor ihrer Nutzung (Öffnen zur Bearbeitung, Kopieren, Drucken, Entpacken usw.) geprüft und bei Viren-Befall gesperrt werden kann.
Beim Einsatz von Verschlüsselungstechniken müssen die potentiellen Auswirkungen auf den Antivirusschutz bedacht werden. Werden Dateien verschlüsselt, so können Systemkomponenten bzw. Anwendungen auf die Dateien nicht zugreifen, solange sie den entsprechenden Schlüssel nicht besitzen. Dies impliziert, dass ein Viren-Suchprogramm entweder im Kontext des Benutzers laufen oder mit dem entsprechenden kryptographischen Schlüssel ausgestattet werden muss, um eine verschlüsselte Datei auf Viren überprüfen zu können. Wird jedoch die Benutzerkennung, unter der das Viren-Suchprogramm ausgeführt wird, mit dem entsprechenden kryptographischen Schlüssel ausgestattet, entstehen Sicherheitsrisiken, die es zu vermeiden gilt. Daher wird der Einsatz eines residenten Viren-Suchprogramms empfohlen, welches die Virenprüfung im Benutzerkontext bei jedem Zugriff auf eine Datei durchführt.
Verhaltensregeln bei Auftreten eines Computer-Virus sind unter M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus beschrieben.
Ergänzende Kontrollfragen:
- Wann wurde die letzte Überprüfung vorgenommen? Wurde das Ergebnis dokumentiert?
- Wurden Computer-Viren gefunden? Wenn ja, so kann dies darauf hindeuten, dass unerlaubt unautorisierte Software eingesetzt wurde.
- Wann wurde das eingesetzte Anti-Viren-Programm zuletzt aktualisiert?
- Sind Maßnahmen zum Schutz vor Makro-Viren umgesetzt?