Bundesamt für Sicherheit in der Informationstechnik

M 2.157 Auswahl eines geeigneten Viren-Schutzprogramms

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Bei der Auswahl eines Viren-Schutzprogramms sind verschiedene Anforderungen zu beachten. Im Folgenden wird der Begriff Viren-Schutzprogramm verwendet, gemeint ist jedoch ein Programm zum Auffinden jeglicher Schadprogramme.

Technische Forderungen

Das auszuwählende Schutzprogramm sollte einen Basis-Schutz gegen Schadprogramme (Computer-Viren, Würmer, Backdoors, Trojanische Pferde, Spionageprogramme und andere) bieten. Die meisten gängigen Viren-Schutzprogramme erkennen mehr als 95% aller Viren, die im Umlauf sind. Hilfe bei der Auswahl des passenden Schutzprogramms können entsprechende Artikel in Fachzeitschriften bieten. Dort werden häufig auch andere Programmeigenschaften (zum Beispiel Geschwindigkeit und Bedienungskomfort) beschrieben.

Das Programm muss in der Lage sein, die in der Organisation im Einsatz befindlichen Dateisysteme sowie externe Datenträger und andere mobile Endgeräte zu durchsuchen, also eine möglichst umfassende Interoperabilität bieten.

Im Sicherheitskonzept gegen Schadprogramme ist festgelegt, welche IT-Systeme mit einem Viren-Schutzprogramm ausgestattet werden müssen. Das ausgewählte Produkt muss für diese IT-Systeme geeignet sein.

Zumindest für Clients sollte das Programm in einer deutschen Sprachversion verfügbar sein.

Je nach vorliegender Systemlandschaft können diese Ziele unter Umständen nicht durch die Auswahl eines einzelnen Viren-Schutzprogramms erreicht werden, sondern es müssen gegebenenfalls mehrere unterschiedliche Produkte beschafft und eingesetzt werden.

Mehrere Viren-Schutzprogramme unterschiedlicher Anbieter auf dem gleichen IT-System in Betrieb zu nehmen, ist nicht sinnvoll, da sich diese in der Regel behindern. Dies kann zu unerwünschten Nebeneffekten führen.

Betriebsarten

Bei Viren-Schutzprogrammen für Clients ist es erforderlich, dass sowohl eine speicherresidente Betriebsart (on-access), als auch eine Betriebsart, bei der ein Suchlauf manuell gestartet wird (on-demand), vorhanden ist. Mittels manuellem Suchlauf können auch einzelne Datenträger und aktuell nicht verwendete Dateien auf Schadprogramme überprüft werden.

Zu prüfende Dateiformate

Es müssen alle Dateitypen geprüft werden. Eine Beschränkung auf "ausführbare" Dateiformate ist nicht ausreichend.

Integritätstest

Viren-Schutzprogramme für Clients sollten einen Integritätsmechanismus enthalten, durch den kritische Prozesse kontrolliert und ihre Aktivitäten analysiert werden. Kritische Prozesse können z. B. Systemprozesse oder Programme, die Verbindungen ins Internet aufbauen, sein. Es sollte auch beobachtet werden, welche Sub-Prozesse von diesen Prozessen gestartet werden.

Selbsttest

Das Viren-Schutzprogramm muss in der Lage sein, sich selbst bei Installation, Start und im weiteren Betrieb auf Unversehrtheit zu überwachen. Das Programm muss seine eigene Integrität feststellen, bevor Suchfunktionen ausgeführt werden. Um die Tarn-Mechanismen von Schadprogrammen unwirksam machen zu können, muss das Viren-Suchprogramm außerdem auch den Systemspeicher auf bekannte, residente Schadprogramme kontrollieren, bevor es mit der Durchsuchung von Dateien beginnt.

Signatur-Erkennung

Viren-Schutzprogramme nutzen verschiedene Methoden, um Schadprogramme zu entdecken. Die bekannteste und wichtigste Methode ist die "Signatur-Erkennung", bei der Schadprogramme an typischen Code-Sequenzen ("Signaturen") erkannt werden. Die Hersteller beobachten die Szene und erstellen möglichst schnell, nachdem ein neues Schadprogramm aufgetaucht ist, eine Signatur aus typischen Codezeilen.

Ein Nachteil der Signatur-Erkennung ist, dass ein Schadprogramm innerhalb des Zeitraums bis zur Auslieferung einer passenden Signatur auf diesem Weg nicht entdeckt werden kann. Schadprogramme, die nicht bekannt werden, können somit niemals mittels Signatur-Erkennung aufgespürt werden.

Trotz dieser immanenten Schwäche sollte die Signatur-Erkennung von einem Viren-Schutzprogramm in jedem Fall beherrscht werden.

Heuristische Suche

Um den Zeitraum bis zur Auslieferung der entsprechenden Signaturen für ein neues Schadprogramm zu überbrücken, sollten Viren-Suchprogramme zusätzlich über Mechanismen zur Erkennung noch nicht bekannter Schadprogramme verfügen. Bei einigen Viren-Suchprogrammen kann man durch die Betriebsart "heuristisches Suchen" neue, bisher noch nicht bekannte Schadprogramme aufspüren. Bei diesem Verfahren werden in den zu prüfenden Dateien verdächtige Befehlsfolgen gesucht, z. B. die Umleitung von Interrupts, das direkte Schreiben auf Sektor 1 eines Datenträgers (Boot-Sektor) und ähnliches.

Mit Hilfe der heuristischen Suche können selbst maßgeschneiderte Schadprogramme mit einer gewissen Wahrscheinlichkeit entdeckt werden. Diese Betriebsart eines Viren-Suchprogramms erfordert jedoch mehr Fachwissen vom Anwender, denn zum einen müssen Meldungen richtig interpretiert werden, andererseits sind Fehlalarme möglich.

Erkennung von Schadprogrammen auch in komprimierten Dateien

Das Viren-Schutzprogramm sollte Schadprogramme auch in komprimierten Dateien finden, wobei alle gängigen Komprimierungsfunktionen und Archivformate unterstützt werden sollten. Schadprogramme in geschachtelten Archivdateien sollten ebenfalls gefunden werden.

Entfernung von Schadprogrammen

Wünschenswert ist eine Funktionalität, die es erlaubt, erkannte Schadprogramme zu entfernen, ohne weitere Schäden an den Programmen oder Daten zu verursachen. Ob dies möglich ist, hängt jedoch von der jeweiligen Art der Schadprogramme ab. Es kann beispielsweise passieren, dass bereits Nutzdaten vernichtet wurden oder das Schadprogramm in einem abgesicherten Bereich läuft, auf den das Viren-Schutzprogramm keinen Zugriff hat.

Überwachung von Aktiven Inhalten

Sofern Aktive Inhalte (z. B. VBScript, JavaScript, ActiveX Controls oder Java Applets) auf den genutzten Systemen ausgeführt werden können, sollte das Viren-Schutzprogramm diese Inhalte auf Schadprogramme prüfen können.

Schnittstelle zum E-Mail-Client

Das Client-seitige Viren-Schutzprogramm sollte eine Schnittstelle für die E-Mail-Client-Software bereitstellen, so dass der E-Mail-Client das Schutzprogramm integrieren und für eine Prüfung auf Schadprogramme aufrufen kann.

Weiterführende Informationen

Das Viren-Schutzprogramm sollte Administratoren und Sicherheitsfachkräften für jedes gefundene Schadprogramm einen Link zu Seiten mit weiterführenden Informationen anzeigen (z. B. auf den Web-Seiten des Herstellers). Idealerweise können diese Angaben über ein Management-System abgerufen werden. Dort sollten zumindest folgende Informationen über das jeweilige Schadprogramm zu finden sein: Name, Beschreibung der Wirkungsweise, Verbreitungswege, mögliche Sofortmaßnahmen bei Befall, Maßnahmen zur Entfernung.

Aktualisierung des Viren-Schutzprogramms

Der Hersteller des Viren-Schutzprogramms muss eine regelmäßige Aktualisierung der Schadprogramm-Signaturen sowie der Such-Engine über das Internet anbieten. Die zeitlichen Abstände zwischen den Aktualisierungen sollten konfigurierbar sein und möglichst kurz gehalten werden. Die Signaturen müssen mindestens täglich auf den neuesten Stand gebracht werden.

Bei Verwendung eines nicht hinreichend aktuellen Programms oder einer veralteten Signatur (älter als 1 Tag) muss vom Viren-Schutzprogramm eine Warnung ausgegeben werden.

Bei konkreter Gefahr muss es möglich sein, ein sofortiges Update zu initiieren, um die aktuellsten Signaturen und Patches zu erhalten.

Werden Signaturen über Verbindungen verteilt, deren Übertragungskapazität knapp ist, ist es wichtig, dass die Signaturen inkrementell aktualisiert werden können. Der Betrieb sollte durch das Verteilen der Signaturen nicht mehr als notwendig beeinträchtigt werden.

Das Produkt muss über Funktionen verfügen, um die Integrität und Authentizität von heruntergeladenen Updates und Schadprogramm-Signaturen für das Viren-Schutzprogramm zu überprüfen. Es muss durch Mechanismen, die dem Stand der Technik entsprechen, verhindert werden, dass gefälschte oder manipulierte Daten in das Viren-Schutzprogramm eingespielt werden.

Betrieb in Netzen

Bei einem Einsatz in Rechnernetzen sollte das Viren-Schutzprogramm eine zentrale Administration und Aktualisierung des Programms inklusive der Schadprogramm-Signaturen ermöglichen.

Ist keine allgemeine Software-Verteilungslösung vorhanden, sollte ein Produkt mit automatisierter Aktualisierung des Grundprogramms (Engine) gewählt werden.

Das Viren-Schutzprogramm sollte über ein zentrales Management verfügen, über das der Status der vorhandenen IT-Systeme ermittelt werden kann. Defekte Installationen, veraltete Engines, veraltete Signaturen und von Schadprogrammen befallene IT-Systeme müssen auf diese Weise zentral erkannt werden können. Der Zugriff auf infizierte Dateien der IT-Systeme sollte von zentraler Stelle aus möglich sein.

Die Möglichkeit zur individuellen Konfiguration des Clients durch den Benutzer muss abschaltbar sein.

Meldewesen

Gefundene Schadprogramme müssen auf dem System mit einer Bezeichnung und vollständiger Pfadangabe angezeigt werden.

Insbesondere bei Betrieb im Netz ist es wünschenswert, dass eine automatische E-Mail-Benachrichtigung bei aufgefundenen Schadprogrammen konfigurierbar ist.

Protokollierungsfunktion

Das Viren-Schutzprogramm sollte über eine Protokollierungsfunktion verfügen, die zumindest folgende Daten festhält:

  • Versionsstand des Viren-Schutzprogramms und der Schadprogramm-Signaturen
  • Datum und Uhrzeit der Überprüfung
  • Ergebnis und Umfang der Überprüfung
  • Anzahl und Identifikation der Dateien und Objekte, die nicht geprüft werden konnten

Formale Anforderungen

Neben den technischen und funktionalen Anforderungen spielen auch formale Forderungen eine Rolle. Um Planungssicherheit zu erreichen, sollte die Laufzeit des Vertrags mit dem Hersteller der Software zur Lieferung von Updates und aktuellen Schadprogramm-Signaturen genau geprüft werden. Weiterhin ist Support wichtig. Bei einem Support-Vertrag muss geklärt werden, welche Ansprechpartner in welchen Zeiträumen wie erreichbar sind und welche Zusatzkosten gegebenenfalls entstehen.

Prüffragen:

  • Erfüllen die eingesetzten Viren-Schutzprogramme die Anforderungen, die aus dem Sicherheitskonzept zum Schutz vor Schadprogrammen resultieren?

  • Sind die eingesetzten Viren-Schutzprogramme für die vorliegende Systemlandschaft geeignet?

  • Unterstützen die eingesetzten Viren-Schutzprogramme die verwendeten Dateisysteme, Datenformate, Archivformate und Übertragungsprotokolle?

  • Können die eingesetzten Viren-Schutzprogramme auch Aktive Inhalte auf Schadprogramme überprüfen?

  • Verfügt das Client-seitige Viren-Schutzprogramm sowohl über eine speicherresidente Betriebsart, als auch über eine Betriebsart, bei der ein Suchlauf manuell gestartet werden kann?

  • Können die eingesetzten Viren-Schutzprogramme ihre eigene Unversehrtheit überwachen?

  • Geben die eingesetzten Viren-Schutzprogramme eine Warnung bei fehlenden Updates oder Verwendung einer veralteten Signatur (älter als 1 Tag) aus?

  • Erhält der Anwender durch die eingesetzten Viren-Schutzprogramme weiterführende Informationen zu gefundenen Schadprogrammen?

Stand: 11. EL Stand 2009