Virenschutz: Das notwendige Übel

Umfassender Virenschutz ist nicht gratis, aber in Zeiten grassierender Verbreitung böswilliger Programmcodes über das Internet unerlässlich – mit Ausnahmen.

Artikel erschienen in Swiss IT Magazine 2001/36

     

Täglich werden 400 neue Viren entdeckt, wie Symantec bereits Ende 2000 in einer Pressemitteilung festhält. Vom klassischen Virus in Form einer Programmdatei, der angeblich erstmals 1996 von zwei über Softwareklau erzürnten Entwicklern gleichsam als Rache programmiert wurde und sich vornehmlich über Disketten verbreitete, bis zum aktuellen Nimda mit multilateralen Angriffsmechanismen und rasend schneller Internetvermehrung treiben Viren, Trojaner und Würmer allenthalben reichste Blüte. Oft spricht man auch von "malicious code" oder "Malware".




Kein Wunder, dass die Hersteller von Virenschutzsoftware und anderen Security-Lösungen auch dieser Tage meist erfreuliche Zahlen schreiben und weniger von der IT-Krise betroffen sind als manch anderer Softwarezweig. Ohne ihre Produkte, so die Antivirus-Industrie, komme heute vom Privatarbeitsplatz bis zum Unternehmensnetzwerk keine IT-Infrastruktur mehr aus. Dementsprechend gross ist die Produktevielfalt; sie reicht von kostenlosen Einzelplatzpaketen bis zu serverbasierten, zentral administrierbaren Gesamtlösungen mit Komponenten für Workstations, Server und Firewalls.


Leben ohne Virenschutz möglich...

Es ist durchaus möglich, auf Virenschutzprogramme ganz zu verzichten. Der Autor zum Beispiel arbeitet seit Jahren auf ungeschützten Windows-PCs; seine geistige Zurechnungsfähigkeit wird deshalb gelegentlich angezweifelt.



Wohlgemerkt: Die Workstation steht nicht etwa isoliert in einem sterilen Operationssaal, sondern ist per DSL-Standleitung ans Internet angeschlossen und wird für E-Mail ebenso genutzt wie für ständige Software-Downloads. Das Resultat nach langjähriger Virenschutz-Abstinenz: Eine kürzliche vollständige Systemüberprüfung mit speziell zu dieser Gelegenheit installiertem Norton Antivirus wies unter über 108'000 Dateien gerade mal ein mit einem harmlosen Scherzvirus infiziertes File aus, das problemlos sofort gelöscht werden konnte.




Möglich ist diese ungeschützte Virenfreiheit nur dank eiserner Disziplin und einiger Software-technischer Massnahmen: Als E-Mail-Client wird eine nicht-VBS-fähige Shareware genutzt; Attachments mit ausführbarem Code werden grundsätzlich nicht geöffnet - EXE-Dateien werden auch von bekannten Absendern nicht akzeptiert. Ähnliches gilt für Office-Dokumente mit Makros: Hier wird prinzipiell nur das nackte Dokument betrachtet und die Makroausführung beim Öffnen deaktiviert. Ausserdem ist im Mailprogramm die Anzeige von HTML-Mails unterbunden - damit können auch beim blossen Betrachten einer eingehenden Meldung keine schädlichen Scripts ablaufen.




...aber nur beim disziplinierten Single-User

Ein derart rigoroser Umgang ist nur auf einem einzelnen PC oder in einem kleinen Netzwerk denkbar, das exklusiv von einem einzelnen Anwender genutzt wird. Sobald ein Team aus mehreren Mitgliedern oder gar die Belegschaft eines ganzen Unternehmens ins Spiel kommt, wird ein softwaregestütztes Sicherheitskonzept unerlässlich - dies behaupten nicht nur die Virenschutzhersteller, die Praxis beweist es immer wieder. Wie sonst könnten sich Würmer wie Melissa, Loveletter und Nimda in Windeseile über den ganzen Planeten ausbreiten?



Die Notwendigkeit von Virenschutz im Unternehmen gründet vor allem auf dem Faktor Mensch: Eine grössere Zahl von Mitarbeitern lässt sich nicht kontrollieren. Zu schnell ist ein schädliches Attachment geöffnet, vielleicht sogar unabsichtlich, oder eine vom wohlmeinenden Kollegen erhaltene Diskette mit dem neuesten Game (und dem neuesten Virus) installiert, der sich dann ungehindert im gesamten LAN verbreitet und auch sämtliche Geschäftspartner infiziert, wenn er nicht vorher aufgehalten wird.





Quantité non négligeable

Die je nach Produkt und Anzahl Lizenzen zwischen rund 200 und unter 20 Franken, die der Virenschutz pro Netzwerk-Node kostet, sind bereits amortisiert, wenn sie einen Arbeitsausfall von Minuten vermeiden helfen. Wesentlich stärker schlagen die organisatorischen und administrativen Kosten zu Buche.



Der Einsatz von Antivirus-Software macht im Unternehmensnetzwerk ohne umfassende Planung, laufende Administration und regelmässige Nachführung der Virendefinitionen keinen Sinn. Zunächst muss überlegt werden, welche neuralgischen Punkte geschützt werden sollen und wo der Virenschutz punkto Systemressourcen und Kosten-Overkill wäre: Sollen alle Workstations mit Virenschutz ausgestattet werden, oder genügt das Abfangen schädlicher Dateien am Mail-Server? Müssen File-, Web- und Proxy-Server gesichert werden? Wie wirkt sich die Installation der Schutzsoftware auf die Server-Performance aus?




Ganz wesentlich für den Erfolg ist die Nachführung der Virendefinitionen: Obschon die Antivirusprogramme mit sogenannten heuristischen Methoden nicht nur fixe Virensignaturen erkennen, sondern schädlichen Code aufgrund seines Verhaltens eliminieren können, müssen die Virendaten regelmässig auf den neuesten Stand gebracht werden. Im LAN geschieht dies bei allen anständigen Produkten weitgehend automatisch, mobile User müssen sich jeweils mit dem Unternehmensnetzwerk verbinden und den Update einleiten.



Die wichtigste organisatorische Massnahme sind für alle Mitarbeiter gültige Policies, die zur Aktualisierung der Virensignaturen sowie zum situationsgerechten Umgang mit E-Mails und empfangenen Dateien verpflichten. Darüber hinaus steht der Virenschutz nicht für sich allein da: Sowohl die Software als auch die Policies sind Teil einer allgemeinen Sicherheitsstrategie, die auch Firewalls, Datenverschlüsselung, Zugriffssverwaltung, Intrusion Detection, Traffic-Analyse und viele weitere Aspekte umfasst.




Topaktuelles Problem: Scripting

Gerade im CRM-Zeitalter arbeiten viele Firmen mit automatisierten Workflows, die genau diejenigen Softwaretechniken dringend benötigen, mit deren Hilfe sich auch Viren und vor allem die selbstverbreitenden Würmer vermehren: Makros und Scripting. Auch die meisten Websites kommen, dem Publikumsverlangen nach "aktiven" Inhalten gemäss, nicht mehr ohne scriptgesteuerte Interaktivität aus. Dies ist besonders gefährlich, da ein allenfalls in den Code eingebettetes maliziöses Script bereits beim Betrachten einer Webseite oder eines HTML-formatierten E-Mails ausgeführt wird, ohne dass explizit ein Attachment geöffnet werden muss.



Das Problem für die Virenschutzprogramme: "Gute" und "schlechte" Scripts und Makros lassen sich praktisch nicht differenzieren, der einzige Unterschied zwischen einem nützlichen und einem heimtückischen Script ist dessen Absicht, und die kann selbst der ausgeklügeltste Virenscanner nur schwer erkennen.




Die Definition, was schädlich ist und demnach ausgeschlossen werden muss, steht im Spannungsfeld zwischen völligem Script-Verbot - mit dem oft empfohlenen "Deaktivieren des Windows Scripting Host" werden auch alle nützlichen Automatismen verunmöglicht - und totaler Offenheit, mit der die Systeme schutzlos dem schädlichen Code ausgeliefert sind.



Die Ablehnung von Scripts, die "gefährliche" Funktionen wie den Zugriff auf das Dateisystem, das Outlook-Adressbuch oder die Registry benutzen, ist in der Praxis undurchführbar - sie werden von gutartigen Scripts ebenso benötigt wie von Malware; der Virenschutz würde laufend Fehlalarme produzieren.



Ebenso praxisfremd ist die Implementation eines Signatursystems: Die nützlichen Scripts würden mit einer verschlüsselten Signatur gekennzeichnet; nur noch signierte Scripts wären erlaubt. Jedes neue Script und jede Änderung an einem bestehenden Script müssten dann allerdings einer zentralen Instanz zur Genehmigung vorgelegt werden - ein Verfahren, das kaum Akzeptanz finden dürfte.



Die einzige gangbare Lösung bringt viel Aufwand mit sich und beweist erneut, dass ein umfassender Virenschutz nicht auf Software allein basieren kann, sondern stets organisatorische Massnahmen impliziert: ein Mechanismus, der nützliche, firmenintern implementierte Scripts zulässt und externe Scripts sperrt - eine Art Scripting-Firewall, die von Firma zu Firma unterschiedlich implementiert werden muss. Dies ist nicht nur aufgrund unterschiedlicher Bedürfnisse notwendig, sondern bringt einen zusätzlichen Vorteil: Je mehr Varianten in verschiedenen Unternehmen bestehen, desto schwieriger wird die Programmierung von Viren mit flächendeckender Wirkung.




Grundfunktionen identisch

Alle Antivirusprodukte haben dieselbe Aufgabe und gleichen sich hinsichtlich Funktionen stark: Sie prüfen Hauptspeicher und Festplatten der Systeme, auf denen sie installiert sind, auf anerkanntermassen oder potentiell schädlichen Code, wozu alle vorgestellten Hersteller eine eigene Scan-Engine entwickelt haben. Die Probleme werden je nach Anwenderwunsch auf verschiedene Art behoben: Die von einem Virus betroffene Datei wird entweder sofort gelöscht, in einen Quarantänebereich verschoben, in dem der Virencode nicht ausgeführt werden kann, oder es wird versucht, die Datei durch Entfernen des virulenten Code zu reparieren, so dass der Rest zur Weiterbenutzung erhalten bleibt. Eine weitere Variante ist die Trennung des betroffenen Knotens vom Netz, bis eine Reparatur erfolgt ist. Die Software protokolliert alle Aktionen im Detail und hindert die Benutzer daran, die Schutzeinstellungen willkürlich zu ändern.



Unsere Übersicht verzeichnet acht Antiviruslösungen für den unternehmensweiten Einsatz. Neben Varianten für Desktop-Workstations und File/Print-Server - bei einigen Anbietern getrennt, bei anderen in einem Produkt vereint - bieten manche Hersteller spezielle, getrennt zu erwerbende Pakete zum Schutz von Messaging-Servern (Exchange, Notes, SMTP), Firewalls (auf Windows- oder Linux-Basis) und Mobilgeräten an. Nicht im Detail aufgeführt, aber im folgenden kurz erwähnt, sind die Produkte für Privatanwender, die von den meisten Herstellern ebenfalls zu haben sind.




Sämtliche Lösungen erlauben den Bezug von Vireninformations-Updates übers Internet. Dazu eine Bemerkung: Sinn macht dieser Mechanismus nur, wenn die Verteilung der Signaturen über eine direkte, wenn möglich verschlüsselte und via digitale Unterschrift authentizierte Verbindung erfolgt. Ein simpler FTP-Download oder gar der Versand von Definitionsdateien via E-Mail sind kaum als sicher zu bezeichnen, wie diverse Fälle zeigen, in denen ein neues Virus als angebliches Virenbeseitigungs-Utility verbreitet wurde.



Das Signatur-Update wird unterschiedlich oft aktualisiert. Gängig ist ein Intervall von sieben Tagen; manche Hersteller bieten aber auch tägliche Updates an. Darüber hinaus betreiben die Softwareanbieter Virenforschungslaboratorien und Response-Zentren, die bei akut auftretenden neuen Viren sofort ein Gegenmittel entwickeln und den Kunden anbieten. Das Ziel, das trotz aller Anstrengungen oft nicht erreicht wird: Das Gegenmittel soll schneller verteilt sein, als der Virus sich verbreitet.



Der Support ist überhaupt ein wichtiges Entscheidungskriterium. Alle Hersteller offerieren in der Abonnementsperiode kostenlosen Support; nicht alle betreiben ein 24-Stunden-Supportcenter oder reagieren gleich schnell auf Anfragen.



Wichtig für den Unternehmenseinsatz: die zentrale Verwaltung des Virenschutzes inklusive Software- und Definitionsverteilung im LAN. Alle Produkte bieten dazu Hand, entweder mit integrierten Administrationskonsolen im Grundprodukt oder mit einem separaten Utility.




eTrust InoculateIT 6.0

Computer Associates hat das bekannte InoculateIT-Produkt in die Security-Produktesuite eTrust Defense Solution Set integriert. Die Familie umfasst je ein Produkt für Workstations und Server unter Windows, NetWare und Linux sowie Optionen für Notes/Domino- und Exchange-Server. Die Produkte sind als Workgroup- oder Advanced-Edition mit unterschiedlichem Pricing erhältlich. Laut Computer Associates wurde InoculateIT von den ICSA Labs zertifiziert, die in freier Wildbahn anzutreffenden Viren zu hundert Prozent zu erkennen.



Auf der Strecke geblieben ist mit dem Übergang in die eTrust-Familie die bisher kostenlos erhältliche Personal Edition von InoculateIT. Als Security-Plattform für Einzelbenutzer bietet CA nun die Website my-etrust.com an, auf der zum Beispiel das Virenschutzprodukt eTrust EZ Antivirus zu 19.95 US-Dollar erhältlich ist.





F-Secure Anti-Virus 5.30

Der finnische Security-Hersteller offeriert seine Virenschutzprodukte in separaten Editionen für Windows-Workstations, Fileserver (Version 5.x für Windows, Version 4.x auch für NetWare und Linux), Windows- oder Linux-Firewalls, diverse Messaging-Server (SMTP, Exchange, Lotus), die Mobile-Plattformen Palm, Pocket PC und Symbian sowie das Content-Security-System Mimesweeper.



Damit deckt F-Secure die breiteste Systemvielfalt aller Hersteller ab. Für die Virenerkennung sind bis zu drei Scanning-Engines im Einsatz - wie das CA-Produkt ist auch F-Secure Anti-Virus vom Virus Bulletin "100% zertifiziert". F-Secure liefert tägliche Updates der Virensignaturen.




Die Version 5.30 bringt als Neuerungen einen Command-Line-Scanner, mit dem sich die Antivirus-Abläufe automatisieren lassen, und einen Statusindikator, der im Fehlerfall nicht nur eine Warnung ausgibt, sondern die Benutzer auch daran hindert, den Virenschutz auszuschalten. F-Secure Anti-Virus bietet zudem Policy-basierte Verwaltung der Sicherheitseinstellungen und einen Policy-Manager zur Fernabfrage und -behandlung von Alters und Events.




Global Virus Insurance

Auch Panda Software setzt auf eine modulare Antivirus-Suite. Die "Global Virus Insurance" setzt sich aus mehreren separat einsetzbaren Produkten zusammen: Neben einer Version für Desktops und Server (Windows, NetWare) existieren Pakete zum Schutz von MS-Proxy-Server, Lotus Notes/Domino, Exchange sowie CVP-basierten Firewalls. Separat ist bei Panda die zentrale Management-Konsole: Der Panda Administrator lässt Installation, Update und Steuerung aller angeschlossenen Server und Workstations im LAN und WAN über diverse Kommunikationsprotokolle zu. Für den Privatanwender hat Panda die Produkte Antivirus Platinum (spezialisiert auf Internet und E-Mail) und Titanium ("Install-and-forget"-Modus mit automatischem Update) im Programm.





Norman Virus Control 5

Das Kernstück der Antiviren-Suite von Norman Date Defense Systems bildet die eigene Scan-Engine in Zusammenarbeit mit ZANDA, dem für laufende Kontrolle des Virenschutzes zuständigen "Zero Administration Network Distribution Agent". Dieser installiert die benötigten Programmteile via Push/Pull-Verfahren und verteilt durch den Administrator vorgenommene Änderungen automatisch und für den Benutzer unbemerkt.



Wie für die meisten Antivirusprodukte typisch, enthält die Norman-Suite sowohl einen On-Access-Scanner, der bei jedem File-Zugriff aktiv wird, als auch einen On-Demand-Scanner, mit dem der Anwender proaktiv eine Systemüberprüfung starten kann. Virus Control ist verfügbar in getrennten Produkten für alle Windows-Varianten, NetWare, Notes/Domino, Exchange, Mailsweeper und Mailmarshal.





Norton AntiVirus Corporate Edition 7.5

Symantec hat eine riesige Palette von Virenschutz-Software. Neben der "Corporate Edition für Desktops und Server", die Desktops und verschiedene Servertypen abdeckt, gibt es die auf KMU zugeschnittene Ausgabe "für kleinere Unternehmen" mit integiertem Support für Firewalls und Mailserver. Ein herausstechendes gemeinsames Merkmal ist das "Digitale Immunsystem" von Symantec, das den Virenschutz-Zyklus vom Ausbruch eines neuen Virus bis zur Installation von Schutz- und Reparaturmechanismen zwischen den Anwendern und dem Symantec-Virenforschungszentrum SARC koordiniert und automatisiert. Infizierte Dateien werden dabei zunächst auf einem Quarantäneserver beim Anwender isoliert und analysiert und beim Vorkommen eines neuen Virus über eine Reihe von Gateways zu Symantec weitergereicht.



Im Consumerbereich bietet Symantec das Produkt Norton AntiVirus 2002 an, das auch in den Utility-Suiten Norton Utilities, Norton Systemworks und Norton Internet Security enthalten ist, sowie ein Tool fürs Mac OS.





OfficeScan Corporate Edition; ServerProtect

Trend Micro gliedert sein Antivirus-Portfolio in mehrere Teile: OfficeScan überwacht Desktops; ServerProtect ist für den Server-Virenschutz zuständig. Dazu kommen Pakete für Firewalls (Interscan VirusWall), Web-Services (Interscan Webmanager) sowie für Java- und ActiveX-basierte Malware (Interscan AppletTrap). Die ScanMail-Familie schützt Notes-, Exchange- und OpenMail-Server; für die zentrale Administration hat Trend Micro das Paket VCS im Programm.





Sophos Anti-Virus

Der deutsche Hersteller Sophos macht "unübertroffenen Support" geltend: Unterstützung ist an 365 Tagen im Jahr rund um die Uhr verfügbar. Dafür werden die Updates nur monatlich auf CD verschickt; unmittelbar downloadbare Notfall-Updates gibt es natürlich dessen ungeachtet auch bei Sophos. Das Produkt ist in Ausgaben für Windows (Desktops und Server), NetWare, Unix (Solaris, Linux, SCO, Digital Alpha, AIX, FreeBSD, HP-UX), MacOS und DOS/Windows 3.1 verfügbar. Ausserdem unterstützt Sophos OS/2 und OpenVMS sowie Notes/Domino und Internet-Mail.





McAfee VirusScan Security Suite 6.0

Der bekannte Hersteller bietet neben den Consumer-Produkt VirusScan (Windows) und Virex (MacOS) auch diverse Antivirus-Suiten für den Unternehmenseinsatz an: Die hier vorgestellte Security Suite umfasst VirusScan für Desktops und NetShield für Windows- und NetWare-Server. Die "Active VirusScan Security Suite" enthält zusätzlich das Management-Tool ePolicy Orchestrator; die Pakete "Total Virus Defense" (ohne Orchestrator) und "Active Virus Defense" (mit Orchestrator) vereinen Virenschutzprogramme für sämtliche Plattformen inklusive Exchange, Notes, Proxy, SMTP und Firewall in einem Paket.



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER