Bundesamt für Sicherheit in der Informationstechnik

M 2.154 Erstellung eines Sicherheitskonzeptes gegen Schadprogramme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Um für eine gesamte Organisation einen effektiven Schutz vor Schadprogrammen zu erreichen, sind abgestimmte und angemessene Sicherheitsmaßnahmen auszuwählen und umzusetzen.

Eine konzeptionelle Vorgehensweise ist Voraussetzung, um sämtliche betroffene IT-Systeme mit geeigneten Sicherheitsmaßnahmen zu versehen und durch ständige Aktualisierung den notwendigen Schutz aufrecht zu halten.

Nachfolgend werden die notwendigen Inhalte eines Sicherheitskonzeptes gegen Schadprogramme beschrieben.

Abhängigkeit der Institution vom IT-Einsatz

Im Rahmen der Sicherheitsleitlinie und der Schutzbedarfsfeststellung wird bereits die Abhängigkeit der Institution vom IT-Einsatz beurteilt. Daraus lässt sich ableiten, welche Folgen sich ergeben, wenn keine oder nur unzureichende Sicherheitsmaßnahmen gegen Schadprogramme realisiert werden. Der personelle und finanzielle Aufwand, Schadprogramme zu beseitigen und deren Folgeschäden zu beheben, ist meist erheblich höher als der Aufwand zur Vermeidung einer Infektion durch den Einsatz geeigneter Sicherheitsmaßnahmen. Durch die gewählten Sicherheitsmaßnahmen sollte ein angemessener Schutz vor Schadprogrammen erreicht werden.

Beschreibung des Gefährdungspotentials

Schadprogramme sind eine Gefahr für den ordnungsgemäßen Betrieb. Sie wirken auf unterschiedliche Weise auf IT-Systeme und können zu erheblichen Beeinträchtigungen von Funktionalitäten führen. Durch Schadprogramme können Daten manipuliert, ausspioniert oder entwendet werden.

Identifikation bedrohter IT-Systeme

Betroffen sind grundsätzlich alle IT-Systeme, die über Kommunikationsverbindungen oder Datenträger mit Schadprogrammen in Berührung kommen können.

Durch Schadprogramme bedroht sind derzeit vorrangig alle IT-Systeme mit Windows-Betriebssystemen sowie solche mit Anwendungsprogrammen, deren Dateien zum Beispiel durch Makro-Viren infiziert werden können. Schadprogramme können grundsätzlich aber auch bei Verwendung anderer Betriebssysteme oder Anwendungsprogramme auftreten. Dies gilt zum Beispiel auch bei Unix/Linux-Systemen, Mac-OS-Systemen und Betriebssystemen von Mobiltelefonen. Betriebssysteme, die nicht zur Windows-Familie gehören, stellen aufgrund ihrer geringeren Verbreitung derzeit noch kein lohnendes Ziel für Entwickler von Schadprogrammen dar. Das Bedrohungspotential ist bei solchen Systemen somit niedriger.

Bedroht sind auch IT-Systeme, die nicht an das interne Netz angeschlossen sind. Insbesondere müssen Laptops, PDAs, Mobiltelefone und andere mobile Geräte berücksichtigt werden.

Auch Stand-Alone-Systeme, die über alternative Kanäle (beispielsweise Wählleitungen oder Datenträger) mit anderen IT-Systemen kommunizieren können, sind mit zu betrachten.

Aufgrund der vorstehenden Feststellungen können Sicherheitsmaßnahmen eingerichtet werden. Besonders gefährdete IT-Systeme sind vorrangig zu behandeln. Da die Bedrohung durch Schadprogramme mit dem Vernetzungsgrad der IT-Systeme steigt, sind IT-Systeme, die Schnittstellen zum Internet bilden, besonders bedroht und sollten zuerst betrachtet werden.

Benennung von Ansprechpartnern

Ein wichtiger Aspekt der Übersicht ist die Benennung von Ansprechpartnern für die jeweiligen IT-Systeme. Primäre Anlaufstellen für die Benutzer sollten dabei unabhängig vom konkreten Schutz vor Schadprogrammen sein, da ein Benutzer meist nicht zuverlässig feststellen kann, ob sein Computer von einem Schadprogramm befallen ist oder ob er ein anderes Problem hat. Es ist nicht notwendig, dass für das Thema Schadprogramme ein separates manuelles Meldewesen aufgebaut wird. Stattdessen sollten die vorhandenen Strukturen genutzt werden, die auch für andere Arten von Sicherheitsvorfällen erforderlich sind (siehe M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle und M 2.12 Betreuung und Beratung von IT-Benutzern ). Die Benutzer sollten hierbei möglichst eine einheitliche Meldestelle für alle Arten von Sicherheitsproblemen haben (User Help Desk, Support oder ähnliches).

Flankierende Sicherheitsmaßnahmen

Verschiedene Sicherheitsmaßnahmen erhöhen den Schutz vor Schadprogrammen. Neben den in B 1.6 Schutz vor Schadprogrammen beschriebenen spezifischen Aspekten des Schutzes vor Schadprogrammen tragen weitere technische und organisatorische Maßnahmen zur Senkung des Risikos bei. Diese flankierenden Maßnahmen (Sicherheitsgateway, Änderungsmanagement usw.) sind im Rahmen eines Sicherheitskonzeptes gegen Schadprogramme ebenfalls zu erfassen.

Viren-Schutzprogramme auf bedrohten IT-Systemen

Eine wichtige technische Maßnahme zum Schutz vor Schadprogrammen ist der Einsatz von Viren-Schutzprogrammen. Sie schützen allgemein vor Schadprogrammen und nicht nur vor Viren.

Viren-Schutzprogramme sind inzwischen meist Bestandteil größerer Software-Pakete, die auch Firewalls und Intrusion Detection Systeme umfassen können. Bei Erstellung eines Konzepts zum Schutz vor Schadprogrammen sollten daher auch die Maßnahmen M 5.71 Intrusion Detection und Intrusion Response Systeme sowie M 4.238 Einsatz eines lokalen Paketfilters berücksichtigt werden.

Der Einsatz eines Viren-Schutzprogramms wird grundsätzlich für alle von Schadprogrammen bedrohten IT-Systeme empfohlen, bestimmte IT-Systeme sind jedoch besonders anfällig für Schadprogramme. In folgender Reihenfolge kann vorgegangen werden, um Viren-Schutzprogramme flächendeckend zu installieren.

In einem ersten Schritt sollten die Viren-Schutzprogramme auf den IT-Systemen installiert werden, bei denen ein besonders hohes Risiko einer Infektion besteht oder bei denen durch eine Infektion ein besonders hoher Schaden auftreten kann. Hierzu zählen insbesondere kritische Server und IT-Systeme mit Zugang zu externen Netzen. Auch IT-Systeme, die einen Datenkanal vom oder zum Internet zur Verfügung stellen, sollten zuerst mit geeigneten Schutzprogrammen ausgestattet werden. Zu beachten ist, dass verschlüsselte Dateien nicht geprüft werden können. Inhalte verschlüsselter Dateien können erst während oder nach dem Entschlüsseln auf Schadprogramme untersucht werden.

Im nächsten Schritt sollten die restlichen Server und alle Clients mit Viren-Schutzprogrammen ausgestattet werden. File-Server können eine Verteilstelle für infizierte Programme und Dateien sein. Datenbestände auf File-Servern sollten daher regelmäßig mit einem Viren-Schutzprogramm auf Schadprogramme untersucht werden. Durch diese Untersuchung können auch Dateien, auf die seit längerer Zeit kein Zugriff mehr erfolgt ist, auf Schadprogramme geprüft werden. Dafür ist ein Benutzerkonto zu verwenden, das auf alle Dateien des File-Servers lesenden Zugriff hat.

Die Server-Betriebssysteme sind in das Sicherheitskonzept gegen Schadprogramme ebenfalls mit einzubeziehen. Spezialisierte Programme zum Schutz der Kommunikationskanäle oder Datenbestände bei File-Servern bieten in der Regel keinen ausreichenden Schutz für das Server-Betriebssystem.

Neben den stationären Clients müssen auch mobile Endgeräte, beispielsweise Laptops und PDAs, sowie Stand-Alone-Systeme mit einem Schutz gegen Schadprogramme ausgestattet werden.

Unabhängig davon, welche technischen Sicherheitsmaßnahmen gegen Schadprogramme umgesetzt werden, verbleibt immer ein Restrisiko. Viren-Schutzprogramme erkennen meist nur diejenigen Schadprogramme zuverlässig, die zum Entwicklungszeitpunkt der Signatur-Updates bekannt waren. Das heißt, dass neue Schadprogramme gegebenenfalls nicht erkannt werden und Schäden anrichten können. Auch die vielfach integrierte heuristische Analyse oder die Verhaltenskontrolle von Programmen kann das Restrisiko nur senken, nicht jedoch vollständig eliminieren.

Organisatorische Regelungen und personelle Maßnahmen

Im Sicherheitskonzept sollten auch organisatorische bzw. personelle Regelungen festgelegt werden. Weitere Hinweise hierzu finden sich unter anderem in den folgenden Maßnahmen:

Aktualisierung des Sicherheitskonzeptes gegen Schadprogramme

Das Sicherheitskonzept gegen Schadprogramme muss auf einem aktuellen Stand gehalten werden. Insbesondere bei Änderungen am Informationsverbund müssen die notwendigen Anpassungen im Sicherheitskonzept vorgenommen werden (siehe auch M 2.34 Dokumentation der Veränderungen an einem bestehenden System ).

Prüffragen:

  • Gibt es ein Sicherheitskonzept gegen Schadprogramme?

  • Deckt das Sicherheitskonzept gegen Schadprogramme alle bedrohten IT -Systeme ab?

  • Sind die zum Schutz gegen Schadprogramme erforderlichen technischen und organisatorischen Maßnahmen festgelegt?

  • Wird das Sicherheitskonzept gegen Schadprogramme auf dem aktuellen Stand gehalten?

Stand: 11. EL Stand 2009