Bundesamt für Sicherheit in der Informationstechnik

M 4.3 Einsatz von Viren-Schutzprogrammen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Zum Schutz vor Schadprogrammen können unterschiedliche Wirkprinzipien genutzt werden. Programme, die IT-Systeme nach sämtlichen bekannten Schadprogrammen durchsuchen, haben sich in der Vergangenheit als wirksames Mittel in der Schadprogramm-Prävention erwiesen. Entsprechend der in M 2.157 Auswahl eines geeigneten Viren-Schutzprogramms beschriebenen Anforderungen sollten daher Viren-Schutzprogramme eingesetzt werden.

Bei mobilen Endgeräten, wie Smartphones, Tablets oder PDAs, ist zusätzlich Maßnahme M 4.466 Einsatz von Viren-Schutzprogrammen bei Smartphones, Tablets und PDAs umzusetzen.

Schutz von Internet-Diensten

Am zentralen E-Mail-Gateway muss ein Viren-Schutzprogramm eingesetzt werden, das ein- und ausgehende E-Mails prüft.

Alle weiteren Internet-Dienste ( HTTP , FTP , etc. ) sollten ebenfalls mit spezialisierter Schutzsoftware abgesichert werden. Wenn dies beispielsweise aufgrund von Performance-Problemen nicht möglich ist, muss zumindest die Ausführung aktiver Inhalte von nicht vertrauenswürdigen Seiten technisch unterbunden werden.

Regelmäßige Untersuchung des gesamten Datenbestands

Auch wenn das Viren-Schutzprogramm bei jedem Dateizugriff eine Prüfung auf Schadprogramme durchführt, ist eine regelmäßige Untersuchung aller Dateien auf Clients und Datei-Servern sinnvoll. So können auch Schadprogramme gefunden werden, für die es noch keine Erkennungssignatur gab, als sie gespeichert wurden. In derartigen Fällen muss beispielsweise untersucht werden, ob das Schadprogramm vor seiner Entdeckung bereits vertrauliche Daten gesammelt, Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat.

Aus Performance-Gründen sollte eine vollständige Prüfung des Datenbestands in Zeiten durchgeführt werden, in denen die IT -Ressourcen nicht stark beansprucht werden. Ideal ist es, wenn die Software die Auslastung des Rechners überwacht und dessen "Arbeitspausen" automatisch für die Überprüfung nutzt. Auf den Arbeitsplatz-Rechnern könnte das Viren-Schutzprogramm z. B. auch mit dem Start des Bildschirmschoners gekoppelt werden.

Datenaustausch und Datenübertragung

Daten, die versendet werden sollen, müssen unmittelbar vor dem Versand auf Schadprogramme geprüft werden. Analog müssen empfangene Daten unmittelbar nach dem Empfang auf Schadprogramme geprüft werden. Diese Überprüfungen sind sowohl beim Zugriff auf Datenträger als auch bei der Datenübertragung über Kommunikationsverbindungen erforderlich. Die Überprüfungen sollten so weit wie möglich automatisiert werden.

Als zusätzliche Maßnahme können Prüfstellen für von außen kommende Programme, Dateien und Datenträger eingerichtet werden. Die Prüfstellen sind separate IT-Systeme, die nicht in das lokale Netz integriert sind. Mittels eines Viren-Schutzprogramms werden auf den Prüfstellen alle von außen kommenden Programme und Dateien zentral getestet und freigegeben.

Dieses Vorgehen kann beispielsweise notwendig sein, wenn besonders hohe Sicherheitsanforderungen vorliegen oder wenn ein besonders gefährliches Schadprogramm im Umlauf ist.

Wechselwirkungen mit Verschlüsselungstechniken

Beim Einsatz von Verschlüsselungstechniken müssen die potentiellen Auswirkungen auf den Schutz vor Schadprogrammen bedacht werden. Werden Daten verschlüsselt, so können Systemkomponenten bzw. Anwendungen auf diese Daten nicht zugreifen, solange sie nicht über die entsprechenden Schlüssel verfügen. Dies impliziert, dass ein Viren-Schutzprogramm entweder im Kontext des Benutzers laufen oder mit den entsprechenden kryptografischen Schlüsseln ausgestattet werden muss, um eine verschlüsselte Datei auf Schadprogramme überprüfen zu können. Wird jedoch die Benutzer-Kennung, unter der das Viren-Schutzprogramm ausgeführt wird, mit den entsprechenden kryptografischen Schlüsseln ausgestattet, entstehen neue Sicherheitsrisiken, die es zu vermeiden gilt. Daher wird der Einsatz eines residenten Viren-Schutzprogramms empfohlen, welches die Prüfung auf Schadprogramme im Benutzer-Kontext bei jedem Zugriff auf eine Datei durchführt.

Schutz vor unerlaubter Deaktivierung oder Änderung

Die Viren-Schutzprogramme auf den Clients und Endgeräten müssen so konfiguriert sein, dass die Benutzer keine sicherheitsrelevanten Änderungen an den Einstellungen der Viren-Schutzprogramme vornehmen können. Insbesondere muss sichergestellt sein, dass die Benutzer die Viren-Schutzprogramme nicht deaktivieren können.

Prüffragen:

  • Sind Viren-Schutzprogramme auf allen IT -Systemen installiert, auf denen dies laut Sicherheitskonzept vorgesehen ist?

  • Wird sichergestellt, das sowohl Scanprogramm als auch Signaturen stets auf dem aktuellsten Stand sind?

  • Sind die Nutzer mit dem Scanprogramm vertraut, insbesondere mit der Möglichkeit des "On-Demand-Scans"?

  • Wird das zentrale E-Mail-Gateway durch ein Viren-Schutzprogramm gesichert?

  • Ist für die genutzten Internet-Dienste ein ausreichender Schutz vor Schadprogrammen gewährleistet?

  • Wird eine regelmäßige Untersuchung des gesamten Datenbestandes auf Schadprogramme durchgeführt?

  • Bei Auffinden eines Schadprogrammes: Wird untersucht, ob das gefundene Schadprogramm vor seiner Entdeckung bereits vertrauliche Daten gesammelt, Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat?

  • Wird bei Datenaustausch und Datenübertragung eine Suche nach Schadprogrammen durchgeführt?

  • Ist auch für verschlüsselte Daten ein ausreichender Schutz vor Schadprogrammen gewährleistet?

  • Ist sichergestellt, dass die Benutzer keine sicherheitsrelevanten Änderungen an den Einstellungen der Viren-Schutzprogramme vornehmen können?

Stand: 14. EL Stand 2014