M 5.109 Einsatz eines E-Mail-Scanners auf dem Mailserver
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Zur Erhöhung der Sicherheit sollte auf dem zentralen Mailserver ein speicherresidentes Virenschutzprogramm (oft auch E-Mail-Wächter genannt) installiert werden, das sowohl eingehende als auch ausgehende E-Mails, insbesondere deren Anhänge, auf Computer-Viren und andere schädliche Inhalte überprüft.
Ergänzend zur Einrichtung eines E-Mail-Wächters auf dem Mailserver selbst kann auch am Übergang zum Internet ein so genanntes SMTP-Gateway eingerichtet werden, auf dem die Überprüfung der ein- und ausgehenden E-Mails erfolgt. Die Anbindung an das Internet muss dann so realisiert werden, dass sämtliche SMTP-Verbindungen nur über das SMTP-Gateway abgewickelt werden können.
Dabei ist es wichtig, auch ausgehende E-Mails zu überprüfen. Einerseits kann so möglicherweise eine Infektion im internen Netz entdeckt werden, bevor größerer Schaden entsteht. Andererseits schützt dies aber auch die Behörde bzw. das Unternehmen vor einem eventuellen Ansehensverlust oder gar Schadensersatzansprüchen, die dadurch entstehen könnten, dass virenverseuchte E-Mails an Geschäftspartner verschickt werden.
Die meisten E-Mail-Wächter bieten umfangreiche Einstellmöglichkeiten im Bezug darauf, was mit "verdächtigen" E-Mails zu tun ist. Beispielsweise können solche E-Mails grundsätzlich gelöscht oder auch auf einem "Quarantäne-Server" zwischengespeichert werden bis feststeht, ob der Inhalt harmlos ist. Eine weitere Möglichkeit ist es, nur eventuell bösartige E-Mail-Anhänge abzutrennen, während die Nachricht selbst mit einem entsprechenden Hinweis an den Empfänger weiter geleitet wird.
Als mögliche Vorgehensweisen bieten sich ein Ansatz mit "Blacklist" oder ein "Whitelist" an. Bei der "Blacklist" wird eine Liste "verbotener" Dateitypen definiert, die keinesfalls als Anhänge an E-Mails versandt werden dürfen und die auch bei eingehenden E-Mails nicht akzeptiert werden. Ein restriktiverer Ansatz ist die "Whitelist", bei der nur solche Dateitypen als E-Mail-Anhänge zugelassen werden, die auf der festgelegten Liste erlaubter Typen stehen. Bei der Festlegung von Black- oder Whitelists sollte darauf geachtet werden, dass ein vernünftiger Kompromiss zwischen Sicherheit und Funktionalität gefunden wird. Zu laxe Einstellungen führen unter Umständen dazu, dass schädliche Inhalte in das interne Netz gelangen, während zu strenge Einstellungen die Produktivität behindern können.
Datei-Typen, die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen und potentiell gefährliche Inhalte darstellen (z. B. ausführbare Dateien wie *.VBS, *.WSH, *.BAT, *.PIF, *.EXE unter Windows sowie *.SH, *.CSH, *.TCSH, *.PL und ähnliche unter Unix) sollten in jedem Fall zentral blockiert werden.
Da verschlüsselte E-Mails nicht automatisch überprüft werden können, muss auch festgelegt werden, wie mit verschlüsselten E-Mails zu verfahren ist (siehe hierzu auch Bausteine B 1.6 Computer-Viren-Schutzkonzept und B 1.7 Kryptokonzept).
Die Mitarbeiter müssen darüber informiert werden, dass E-Mails automatisch gescannt werden und welche Regeln gelten. Außerdem sollte bei der Entscheidung, E-Mails automatisch auf dem Mailserver zu scannen, die Personalvertretung und der Datenschutzbeauftragte beteiligt werden. Je nach Land und der Art der Organisation (Behörde oder Firma) müssen eventuell auch noch andere Rechtsvorschriften beachtet werden.
Selbst wenn ein E-Mail-Wächter auf dem Mailserver installiert wurde, sollte keinesfalls auf den Einsatz von Virenscannern auf den Arbeitsplatzrechnern verzichtet werden. Obwohl inzwischen der überwiegende Anteil von Viren und anderen Schadprogrammen per E-Mail verbreitet wird, gibt es doch noch genügend andere Verbreitungsmöglichkeiten für bösartige Programme, beispielsweise nach wie vor über Disketten oder andere Wechselmedien oder über den Dateidownload aus dem Web.
Ergänzende Kontrollfragen:
- Existiert ein umfassender Schutz gegen Computer-Viren, die über E-Mail verbreitet werden?
- Sind die Mitarbeiter darüber informiert, was sie beachten müssen, um einer Verbreitung von Computer-Viren über E-Mail vorzubeugen?