Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Vorbeugende Maßnahmen

vor Computerviren

Copyright (C) 02/1995 by Howard Fuhs


Inhalt:

   Einleitung

   Wirtschaftlichkeit und Effizienz

   Welchen Kenntnisstand hat der Anwender der Sicherheitsmaßnahme?

   Wie wichtig sind die Daten für das Unternehmen?

   Richtlinien zur Virenprävention

   Ausbildung der Anwender

   Wie kann ein Virus in ein System eindringen?

   Schließen der Sicherheitslücken

   Kompatibilität der Produkte

   Schreibgeschützte Disketten

   Generische Virensuche

   Sicherstellen der Datei-Integrität

   Scannen nach Viren

   TSR Programme

   Hardware Lösungen

   Testcomputer

   Einzelplatz-Computer

   Computer im Netzwerk

   Notebooks

   Copyright-Hinweise
 


Einleitung

In jedem Beratungsgespräch über Datensicherheit taucht unweigerlich immer wieder die Frage auf, wie man die Datenbestände eines Unternehmens effizient und wirtschaftlich sinnvoll vor Computerviren schützen kann. Leider ist diese Frage pauschal nicht zu beantworten, weil zuviele unternehmensindividuelle Faktoren bei der Lösungsfindung berücksichtigt werden müssen. Es hat keinen Sinn, ein Schutzsystem von der Stange zu kaufen und damit wichtige unternehmensinterne Gegebenheiten unberücksichtigt zu lassen. Nur anpassungsfähige Systeme und Lösungen versprechen hier den größten Erfolg. Eines muß den Verantwortlichen in einem Unternehmen von Anfang an klar sein: Egal wie die vorgeschlagene Lösung aussieht, sie kann keinen 100%igen Schutz vor Computerviren bieten. Es wird immer ein Restrisiko bleiben. Es ist allerdings die Aufgabe der eingesetzten Mittel, dieses Restrisiko so gering und so akzeptabel wie möglich zu halten.

Ich möchte mit diesem Artikel einige Ansätze aufzeigen, welche Faktoren in der Praxis zu berücksichtigen sind, um die Gefahr durch Computerviren in einem Unternehmen zu reduzieren. Gerade bei den vorbeugenden Maßnahmen ist oftmals ein großer Unterschied zwischen der theoretischen Ausarbeitung und der praktischen Durchführung eines Lösungsvorschlags zu bemerken.


Wirtschaftlichkeit und Effizienz

Wie bereits erwähnt sollen die getroffenen Maßnahmen effizient sein und in einem wirtschaftlich vertretbaren Rahmen bleiben. Unter Effizienz wäre theoretisch eine Maßnahme zu verstehen, welche den größtmöglichen Schutz bei möglichst geringer Störung im Arbeitsablauf bietet. Doch in der Praxis muß die Effizienz auf weitere Faktoren ausgeweitet werden. So wäre an erster Stelle die Bedienbarkeit des Produkts zu berücksichtigen. Viele Antiviren-Programme sehen von der Benutzerschnittstelle und Bedieneroberfläche her aus als seien sie von Programmierern für Programmierer entworfen worden. Ein Antiviren-Programm, welches nicht klar und übersichtlich strukturiert und einfach zu bedienen ist, wird in der alltäglichen Praxis kaum Akzeptanz bei dem einfachen Anwender finden. Je niedriger die Akzeptanz eines Produktes ist, desto seltener wird es angewendet. Und eine vorhandene Schutzmaßnahme, die nicht eingesetzt wird ist keine Schutzmaßnahme. Weiterhin sollte berücksichtigt werden, wie einfach (oder kompliziert) das Programm zu installieren ist oder mit welchem Arbeitsaufwand Updates über eine größere Organisation verteilt werden müssen und welchen Wartungsaufwand durch qualifiziertes Personal das Produkt in der alltäglichen Praxis benötigt.

In der Praxis muß heutzutage auch der wirtschaftliche Rahmen bei der Produktbeschaffung und der entsprechenden Durchführung von Maßnahmen berücksichtigt werden. So müssen einfache, unwichtige Daten nicht den besonderen (und meist teuren) Schutzmechanismen unterworfen werden wie personenbezogene Daten, wichtige Forschungsdaten oder lebenswichtige finanzielle Unternehmensdaten. Bei der Einführung eines Schutzsystems vor Computerviren kann mit einer vernünftigen Staffelung eine erhebliche Einsparung an Geldmitteln erreicht werden, ohne das Schutzsystem in seiner Gesamtheit abzuschwächen. Bei der Staffelung der Schutzmechanismen sollten in der Praxis folgende Gesichtspunkte berücksichtigt werden:


1) Welchen Kenntnisstand hat der Anwender der Sicherheitsmaßnahme?

Bei einem einfachen Anwender sollten alle Sicherheitsprozeduren auf dem PC automatisiert werden wie z.B. automatischer Aufruf einer Schutzmaßnahme durch die AUTOEXEC.BAT, durch entsprechende Batch Dateien oder durch eine Routine beim Einloggen in das Netzwerk der Firma. Weiterhin sollten dem Anwender keine Entscheidungen in Form von Abfragen von der Programmseite her abverlangt werden. Das gleiche gilt für Warnmeldungen auf dem Bildschirm. Hier sollte im Ernstfall eine leicht verständliche Meldung erscheinen, die auch den Hinweis auf einen Ansprechpartner enthält bei dem sich der Anwender melden soll. Die Eingriffsmöglichkeiten müssen für den einfachen und systemunkundigen Anwender so gering wie möglich gehalten werden. So werden z.B. in der Praxis gerne Virenscanner installiert, die keine eingebaute Reparaturroutine haben. Im Ernstfall sollten alle weiteren Maßnahmen von Fachleuten getroffen werden, was die Entfernung des Virus vom System betrifft, die Reparatur infizierter Dateien oder die Wiederherstellung zerstörter Daten.

Nur wirklich geschulte und ausgebildete User oder die Systemadministratoren sollten Zugang zu Softwaretools haben, die umfangreiche Eingriffe in das System erlauben. Selbst bei größeren Unternehmen sind das in aller Regel nur wenige Personen, die für die EDV im allgemeinen und für die Datensicherheit im speziellen verantwortlich sind.

Sollten keine entsprechend geschulten Personen in einer Firma vorhanden sein, so ist es auf alle Fälle zu empfehlen, sich rechtzeitig mit einem entsprechenden Fachunternehmen für Datensicherheit in Verbindung zu setzen. Solche Unternehmen bieten in aller Regel Outsourcing-Maßnahmen für Datensicherheit an, die für Unternehmen jeder Größe interessant sein können. Einer solchen Firma sollten dann im Ernstfall alle weiteren Maßnahmen überlassen werden.


2) Wie wichtig sind die Daten für das Unternehmen?

Es ist wichtig, daß eine Erhebung durchgeführt wird, welche Daten für das Unternehmen welchen Stellenwert haben, auf welchen Rechnern diese Daten gespeichert sind und wer den fraglichen Computer bedient. Aus dieser Angaben läßt sich dann ableiten, welchen Schutz die Daten benötigen, welche hardwaremäßigen (Rechner im Netzwerk, Rechner mit Modem, usw.)und welche räumlichen Probleme eventuell zu berücksichtigen sind (leicht zugänglicher Rechner) und über welche Fachkenntnis der jeweilige Computerbenutzer verfügt.

In der Praxis sollte eine Staffelung von Schutzmechanismen wie folgt aussehen:
 

All diesen Schutzmechanismen sollte ein Testrechner zur Kontrolle von Disketten vorgeschaltet sein.


Richtlinien zur Virenprävention

Bevor ein Unternehmen vorbeugende Maßnahmen gegen Computerviren einführt, müssen klare Richtlinien ausgearbeitet und unternehmensweit eingeführt werden. Es hat keinen Sinn, die Computervirenprävention den einzelnen Abteilungen zu überlassen und damit einen Flickenteppich von Lösungen im gesamten Unternehmen einzusetzen, die an den Schnittstellen zu anderen Abteilungen Probleme durch Inkompatibilität verursachen oder von der Funktion her an den Nahtstellen so weit eingeschränkt sind, daß es zu ernsthaften Sicherheitslücken kommen kann. Diese Richtlinien zur Computervirenprävention sind den Computeranwendern im gesamten Unternehmen bekanntzugeben und sollten in regelmäßigen Abständen (z.B. jährlich) auf ihre Tauglichkeit, Effizienz und Wirtschaftlichkeit überprüft werden. Weiterhin ist es sinnvoll, mit der Veröffentlichung der Richtlinien einen Ansprechpartner für Problem- oder Notfälle bekanntzugeben. Je nach Größe des Unternehmens kann es sich hierbei um eine einzelne Person handeln oder auch um eine ganze Abteilung (z.B. User Help Desk).

Der Inhalt dieser Richtlinien sollte festlegen, bei welchen Unternehmen Software gekauft werden darf (Trusted Sources), wie mit Disketten zu verfahren ist die nicht aus diesen Trusted Sources stammen (Katalogdisketten von Unternehmen, Disketten oder CD-ROMs, die einer Zeitschrift beigelegt waren, usw.), wie der innerbetriebliche Datenverkehr über Netzwerk oder Diskette geregelt ist, wie der außerbetriebliche Datenverkehr über Netzwerk oder Diskette geregelt ist (Datenaustausch mit Kunden, Download von Daten aus internationalen Netzwerken wie z.B. CompuServe oder Internet), wer im Ernstfall weitere Maßnahmen unternehmen darf oder wer auf alle Fälle benachrichtigt werden muß, wer den isolierten Computervirus erhalten darf (Virus Test Zentren, Bundesamt für die Sicherheit in der Informationstechnik BSI, polizeiliche Stellen, Hersteller von Anti-Viren Software, usw.). Die hier gegebenen Beispiele sind nur einige Anregungen. In der Praxis umfassen solche Richtlinien mehrere Seiten bis hin zur Buchstärke je nach Art und Größe des Unternehmens und der dort verwalteten Daten.

Zusammen mit diesen Richtlinien sollte ebenfalls ein Notfallplan (Desaster Recovery Plan) ausgearbeitet und in einer Simulation getestet werden. Auch die Vorbereitung auf den Notfall gehört zu den vorbeugenden Maßnahmen.


Ausbildung der Anwender

Auch wenn es in vielen Unternehmen in der Praxis leider anders gehandhabt wird so ist die Ausbildung der Anwender der wichtigste und effektivste Schutz vor Computerviren, da es sich hierbei um eine echte Präventivmaßnahme im Vorfeld der Infektion durch einen Computervirus handelt. Es ist eine der wenigen wirklich vorbeugenden Maßnahmen die man dem Computervirus entgegensetzen kann. Eine solche Ausbildung benötigt in der Praxis nicht mehr als ein bis zwei Stunden, um die wichtigsten Verhaltensmaßregeln dem Bediener nahezubringen. Es ist nicht Sinn und Zweck dieser Schulung, den einfachen Anwender mit Fachwissen vollzustopfen, daß er in der Praxis nicht benötigt. Diese Schulung soll den User nur in groben Zügen über Computerviren aufklären und entsprechend sensibilisieren. In der Praxis hat sich gezeigt, daß entsprechend geschulte Anwender, die in einem Unternehmen getroffenen Sicherheitsmaßnahmen als notwendig akzeptieren und von sich aus diese Schutzmaßnahmen unaufgefordert anwenden.


Wie kann ein Virus in ein System eindringen?

Bevor Schutzmaßnahmen getroffen werden, müssen die Schwachstellen in einem Unternehmen bekannt sein, über die ein Computervirus eindringen kann. Ein Virus nutzt die folgenden Möglichkeiten, um einen Computer zu infizieren:

Disketten - stellen wohl die häufigste Transportart für Viren dar. Es sollte wohl jedem klar sein, daß das Hauptaugenmerk auf die Absicherung der Diskettenlaufwerke gelegt werden muß. Die meisten Viren kommen über Disketten mit unklarer Herkunft (z.B. Raubkopien), doch auch mit Hardware mitgelieferte Treiberdisketten sind in den letzten Jahren immer häufiger mit Viren behaftet. Dies gilt vor allen Dingen für No Name-Produkte aus dem asiatischen Raum. Auch Originalsoftware von namhaften Herstellern ist bereits verseucht ausgeliefert worden. Diese Fälle sind allerdings bisher nur sehr selten aufgetreten und der Hersteller hat alle möglichen Maßnahmen getroffen, um seine Kunden vor der Gefahr zu warnen.

Streamer-Bänder - sind meist für die Reinfektion von Compuern verantwortlich, wenn nach einer beseitigten Infektion die Programme und Daten von Bändern wieder auf das System eingespielt werden. Um dies zu verhindern, sollte folgende Prozedur für das Anlegen von Backup-Bändern durchgeführt werden:
Nachdem die Software auf einem Computer installiert ist, sollte sichergestellt werden, daß das Computersystem virenfrei ist. Jetzt kann man ein Backup von der installierten Software anlegen. Bei allen weiteren Backups, die im Laufe der Zeit angelegt werden, sollten ausschließlich Daten gespeichert werden und keine ausführbaren Dateien. Sollte dies (aus welchen Gründen auch immer) nicht möglich sein, so müssen nach einer beseitigten Virusinfektion auch alle Streamerbänder auf gespeicherte Viren hin untersucht werden.

Local Area Network/Wide Area Network - hier kann die Infektion vom Fileserver aus auf alle angeschlossenen Computer weitergegeben werden. Wenn die entsprechenden Rechte bei einem Anwender vorhanden sind, kann eine solche Infektion auch von einem lokalen Rechner auf den Fileserver übertragen werden.

Internationale Netzwerke - aus denen man Programme mit einem Modem holt. Hierzu gehören auch die privaten Mailboxen. Auch wenn sehr viele Betreiber solcher Netze und Mailboxen alles versuchen, um ihre Programmbestände gegen Viren abzusichern, so sollte diese Möglichkeit der Softwarebeschaffung auf keinen Fall als Trusted Source angesehen werden.

PC/PC Link - über ein entsprechendes serielles oder paralelles Verbindungskabel. Hier gilt das gleiche wie bei einem Netzwerkbetrieb.

Tastatur - ist zwar eine eher unwahrscheinliche Methode, sollte aber trotzdem als Möglichkeit Erwähnung finden.
 


Schließen der Sicherheitslücken

Nachdem nun alle vorbereitenden Maßnahmen beschrieben wurden, müssen nun die entsprechenden Hard- und Software-Lösungen besprochen werden. Es hat sich in der Praxis gezeigt, daß immer mehrere Lösungen gleichzeitig eingesetzt werden müssen, um optimalen Schutz vor Computerviren gewährleisten zu können. Dies liegt darin begründet, daß jeder Schutzmaßnahme eine entsprechenden Produktphilosophie vom Hersteller oder Programmierer zugrunde liegt, welche gewisse Vorteile, aber auch Nachteile hat. Aus diesem Grund sollten niemals alle Schutzkomponenten von einem Hersteller bezogen werden. Außerdem weisen viele eingesetzte Techniken zum Erreichen des Schutzes automatisch auch Nachteile in der Praxis auf, die ein entsprechend programmierter Computervirus eventuell ausnutzen kann.


Kompatibilität der Produkte

Bevor ein Schutzsystem, welches sich aus Produkten von verschiedenen Herstellern zusammensetzt in einem Unternehmen eingeführt wird, müssen die einzelnen Komponenten auf ihre Kompatibilität untereinander geprüft werden. Vor allen Dingen bei wenig durchdachten Produkten können sich die Probleme in der Praxis häufen. So kann es passieren, daß ein schlecht programmierter Virenscanner nach dem Beenden seiner Aufgabe die eigenen Virenscanstrings unverschlüsselt im Hauptspeicher des Computers zurückläßt. Wird nun ein zweiter Scanner von einem anderen Hersteller gestartet, so ist es sehr wahrscheinlich, daß es zu einer Virenwarnung kommt, obwohl keine Vireninfektion vorliegt. Ebenso können sich zwei gleichzeitig eingesetzte Produkte gegenseitig stören oder gar wirkungslos machen. Probleme können auch TSR-Programme machen, die heute mit jedem mehr oder weniger guten Virenscanner mitgelifert werden. So ist es in weiten Teilen sogar unmöglich oder zumindest nicht empfehlenswert, zwei TSR Programme zur Virenabwehr gleichzeitig einzusetzen, da es zu erhöhten Fehlmeldungen kommen kann oder im schlimmsten Fall zum Systemabsturz.


Schreibgeschützte Disketten

Für alles, was Originaldisketten von Softwareherstellern betrifft, sollte folgende Regel gelten:
Zuerst die Originaldisketten mit dem Schreibschutz versehen, anschließend auf einem virenfreien Computer von den Originaldisketten eine Sicherungskopie anfertigen. Die Originaldisketten an einem sicheren Ort aufbewahren und von der ebenfalls schreibgeschützten Sicherungskopie nun die Software auf dem Computer installieren. Einige Softwareprodukte lassen sich nur installieren, wenn die Diskette 1 ohne Schreibschutz versehen ist. Diese Diskette sollte nach erfolgreicher Softwareinstallation gescannt und dann nachträglich mit dem Schreibschutz versehen werden. Der Schreibschutz einer Diskette kann von keinem Virus umgangen werden, da es sich um eine Hardware-Maßnahme handelt.


Generische Virensuche

Hierbei handelt es sich um verschiedene Lösungsansätze, um Computerviren zu finden ohne die Verwendung eines Virenscanners. Der Virenscanner kann in aller Regel nur bereits bekannte Computerviren finden und benötigt für den sicheren Einsatz über einen längeren Zeitraum regelmäßige Updates. Bei dem generischen Lösungsansatz wird nicht nach Computerviren direkt gesucht, sondern nach verdächtigen Veränderungen in den Prüfsummen von Programmen und nach verdächtigem oder virentypischen Code in ausführbaren Dateien, verdächtigen Aktionen im Hauptspeicher nach dem Booten des Computers, usw. Zweifellos kann diese Technik einen der zukünftigen Wege in der Virenbekämpfung darstellen. Obwohl diese Technik noch weiter ausgebaut und weiterentwickelt werden muß, sind doch schon einige Programme auf dem Markt, die in der Praxis mit Erfolg einsetzbar sind und eine entsprechende Sicherheit bieten. Der Vorteil dieser Technik stellt die Tatsache dar, daß ein solches Programm keine regelmäßigen Updates mehr benötigt, um irgendwelche Virendatenbanken auf den neuesten Stand zu bringen. Updates sind nur noch nötig, wenn das Produkt an sich irgendwelche technischen Verbesserungen erfährt. Dies kann vor allem in größeren Unternehmen, die durch zeitliche Aufwendung bedingten Kosten für Updates erheblich reduzieren. Weiterhin kann ein solches Programm bei entsprechender Programmierung auch unbekannte Viren aufspüren, wenn im Moment auch nur sehr eingeschränkt und bei weitem nicht verläßlich genug. Problematisch ist bei dieser Technologie die Tatsache, daß ein Programm entweder sehr „scharf" eingestellt werden kann und dabei dann zwar eine Entdeckungsrate von annähernd 100% vorweist dafür, aber für die alltägliche Praxis zuviele Fehlalarme ausgibt. Umgekehrt kann ein Produkt so eingestellt werden, daß es praktisch keine Fehlalarme ausgibt, dafür dann aber auch eine nicht so hohe Entdeckungsrate vorweist. Trotzdem bleibt es eine vielversprechende und ausbaufähige Technologie, die in der Lage ist, Kosten zu reduzieren und Zeit zu sparen.


Sicherstellen der Datei-Integrität

Bei der Vorbeugung vor Computerviren darf ein gutes Prüfsummenprogramm auf keinen Fall fehlen. Normalerweise soll ein Prüfsummenprogramm die Datei-Integrität gewährleisten und wird deshalb im Rahmen von Datenschutzmaßnahmen eingesetzt. Ein gutes Prüfsummenprogramm kann aber auch Veränderungen im Bootsektor der Festplatte feststellen oder die Veränderung von EXE-und COM-Dateien, die auf eine Vireninfizierung hindeuten. Es muß weiterhin Companion-Viren entdecken können und sollte nach einer Vireninfektion bei der Dateiwiederherstellung behilflich sein. Prüfsummenprogramme sind in der Lage auch unbekannte Viren zu entdecken, da sie nicht gezielt nach Viren suchen, sondern nach Veränderungen in Dateien. Probleme können Stealth-Viren bereiten, die bei einem Zugriff auf eine Datei sich vorher aus dieser Datei entfernen. Das Prüfsummenprogramm bekommt dann immer die nicht infizierte Datei zum Prüfen vorgesetzt und kann dadurch keine Veränderung feststellen.
 


Scannen nach Viren

Das Scannen nach Computerviren ist die zur Zeit weit verbreitetste Methode, um Viren auf die Spur zu kommen. Hier kann eigentlich nicht mehr von einer vorbeugenden Maßnahme die Rede sein, da Scanner den Virus logischerweise erst entdecken können, wenn er eine einzelne Datei oder ein Computersystem bereits verseucht hat.

Da kein Antiviren-Scanner in der Praxis (entgegen der Werbung einzelner Hersteller) eine Entdeckungsrate von 100% vorweisen kann, ist es sehr zu empfehlen, mindestens zwei verschiedene Scanner gegen Computerviren einzusetzen. Es muß auch darauf geachtet werden, aus welchem Land der Scanner kommt. So finden Produkte aus Amerika nicht notwendigerweise alle Viren, die in Europa oder Deutschland häufig in der Praxis anzutreffen sind. Umgekehrt können europäische Produkte Probleme bei der Entdeckung von Viren haben, die in anderen Teilen der Welt weit verbreitet sind. Für weltweit operierende Unternhemen ist deshalb zu empfehlen, entsprechende Produkte aus verschiedenen Teilen der Welt einzusetzen, je nach dem, von wo eine Diskette mit Daten in das Unternehmen kommt. Es sollte bei den technischen Daten der Scanner darauf geachtet werden, daß mindestens ein eingesetztes Produkt sowohl gepackte EXE-Dateien als auch ZIP- und ARJ-Archivdateien scannen kann.

Sollte auch nur der Verdacht einer Vireninfektion bestehen, muß der Computer von einer schreibgeschützten und virenfreien Systemdiskette gebootet werden und anschließend noch einmal mit allen zur Verfügung stehenden Schutzmaßnahmen untersucht oder gescannt werden. Das Booten von Diskette stellt sicher, daß sich kein Computervirus aktiv im Hauptspeicher des Computers befindet. In der Theorie ist das Booten von Diskette vor jedem Scanvorgang vorgeschrieben, in der Praxis läßt sich dies jedoch nicht immer bewerkstelligen (z.B. Fileserver).

Ein guter Scanner solte beim Aufruf den Speicher auf das Vorhandensein eines Virus prüfen und anschließend seine eigene Datenintegrität überprüfen, um festzustellen, ob er eventuell selbst infiziert wurde.


TSR Programme

Eine in der Praxis oftmals unterschätzte Schutzmaßnahme sind speicherresidente Programme, die das Eindringen von Computerviren verhindern sollen. Das Problem dieser TSR-Programme ist die Tatsache, daß es möglich wäre, einen Virus zu programmieren, der diese Schutzeinrichtung umgeht und damit wirkungslos macht. Es gibt bei TSR-Schutzprogrammen verschiedene Techniken, die angewendet werden. Als erstes wäre hier der speicherresidente Virenscanner zu nennen, der ebenfalls nicht unmittelbar zu den vorbeugenden Maßnahmen gehört, da der Virus erst im System sein muß, um entdeckt zu werden. Weiterhin sind zur Zeit genügend Computerviren im Umlauf, die speziell solche specherresidenten Virenscanner ausschalten oder umgehen können.

Andere Lösungen sind das Überwachen der Vorgänge im Hauptspeicher zusammen mit einer Interrupt-Kontrolle. Hier können verdächtige Vorgänge wie z.B. der direkte Schreibzugriff auf eine Festplatte dem Anwender angezeigt werden. Ordnungsgemäße Programme, die solche Techniken anwenden, können als befugte Programme in dem TSR-Programm gespeichert werden. Es wird dann bei dem Aufruf eines solchen Programms dem User kein Warnhinweis angezeigt. Damit wird die Häufigkeit der Fehlalarme stark reduziert. Es sollte darauf geachtet werden, daß ein TSR-Schutzprogramm den Warmstart (CTRL ALT DEL) abfängt und sich vorher vergewissert, daß keine Diskette in Laufwerk A: eingelegt ist. Damit wird das versehentliche Booten mit einer Diskette im Laufwerk verhindert und die Wahrscheinlichkeit einer Infektion durch Bootsektor-Viren reduziert.

Der generelle Nachteil von TSR-Schutzprogrammen ist die Tatsache, daß sie von Viren umgangen oder abgeschaltet werden können und einen gewissen Platz im Hauptspeicher des Computers belegen.


Hardware Lösungen

Es sind verschiedene Hardware-Lösungen in Form von Steckkarten auf dem Markt, die einen Schutz vor Computerviren versprechen. Genau genommen stellen Hardware-Lösungen den einzig sicheren Schutz vor Computerviren dar, da ein Computervirus (Software) keinen Hardwareschutz umgehen kann. Leider sind Hardware-Lösungen in der alltäglichen Praxis mit einigen Problemen behaftet, die bis heute eine weite Verbreitung verhindert haben. In erster Linie handelt es sich dabei um finanzielle und organisatorische Probleme. Gerade in großen Unternehmen wird Antiviren-Software als Site-License gekauft und die Hersteller geben bei entsprechenden Abnahmemengen relativ großzügige Rabatte. Bei einer Hardwarelösung kann aus wirtschaftlichen Gründen ein gewisser Preis nicht unterschritten werden, da Materialkosten und Fertigungskosten entstehen. Damit ist eine Site-License für ein Softwareprodukt wesentlich billiger als die entsprechende Hardware-Lösung. Von der organisatorischen Seite hat zwar die Hardware-Lösung den Vorteil, daß sie nach der erfolgreichen Installation in aller Regel keine Updates mehr benötigt, allerdings kann eine unternehmensweite Installation solcher Karten Monate in Anspruch nehmen. Zur Installation muß jeder Computer geöffnet werden, die Karte muß mechanisch installiert werden und danach auf das betreffende Computersystem und die zu schützenden Daten angepasst werden. Vorrausgesetzt, daß keine Inkompatibilitäten oder sonstige Probleme entstehen, ist dies ein Vorgang, der je nach zu schützenden Datenbeständen zwischen 30 Minuten und mehr als 1 Stunde dauern kann. Hier sind also deutliche Grenzen der Hardware-Lösung erkennbar. Weiterhin verlangt diese Variante im alltäglichen Betrieb vom Anwender mitunter Entscheidungen, die nur gut geschulte Mitarbeiter treffen sollten.

Empfehlenswert sind solche Hardware-Lösungen vor allem in Bereichen, wo Computer ständig wechselndem Publikumsverkehr ausgesetzt sind. Dies ist vor allem in Schulungseinrichtungen und Universitäten der Fall. In diesen Bereichen ist die Anzahl der zugänglichen Computer überschaubar, auf wenige Räume beschränkt und jeder Computer ist mit dem gleichen Software-Standard ausgerüstet, was eine vorkonfigurierte Installation des Hardware-Schutzes ermöglicht. Hier konnten Hardware-Lösungen bisher preiswert und mit großem Erfolg wirkungsvollen Schutz versprechen.

Eine wesentlich billigere und einfacher zu handhabende Hardwarelösung sind Schlösser für Diskettenlaufwerke. Da ja bekannterweise der überwiegende Großteil von Vireninfektionen über Disketten in ein Unternhemen eingeschleppt werden, kann mit solchen Laufwerksschlössern die unbefugte Benutzung von Laufwerken und damit das unbefugte Einspielen oder Kopieren von Software verhindert werden. Gerade bei Computern, die an ein Netzwerk angeschlossen sind wird ein Großteil der Diskettenlaufwerke nicht mehr unmittelbar benötigt, da Software-Updates und Daten über das Netzwerk verteilt werden können.


Testcomputer

Gerade in größeren Unternehmen, in denen reger Diskettenverkehr mit Kunden herrscht ist ein Testcomputer sehr empfehlenswert. Dieser Computer dient dann ausschließlich als Sicherheitsschleuse für alle Disketten, die in das Unternehmen gelangen. Eine solche Lösung kann auf Abteilungsebene oder auf Gebäudeebene geregelt werden. Um hier eventuelle Kosten gering zu halten, können für solche Zwecke ausgemusterte Computer mit 8086 oder 80286 CPU verwendet werden. Auf diesem Computer sollten mindestens zwei Antiviren-Programme installiert sein, welche dann die Disketten auf Vireninfektionen hin überprüfen. Mittlerweile muß man leider auch  mit infizierten CD-ROMs rechnen. Es sind vor allen Dingen CD-ROMs, die voll mit Shareware Programmen ausgeliefert werden. Solche CD-ROMs sollten in Unternehmen nicht zum Einsatz kommen.


Einzelplatz-Computer

Auch Einzelplatz-Computer müssen ausreichend vor Computerviren geschützt werden. Bei Einzelplatz-Computern wird eine Infektion fast ausschließlich über Diskette erfolgen. Deshalb sollte hier außer den üblichen Schutzmaßnahmen das Hauptaugenmerk auf der Absicherung der Diskettenlaufwerke liegen. Eine solche Absicherung kann durch TSR-Schutzprogramme gewährleistet werden, die vor einem Zugriff auf eine neu eingelegte Diskette einen automatischen oder vom Anwender erzwungenen Diskettenscan durchführen. Ohne einen solchen Scan wird der Zugriff auf das Diskettenlaufwerk nicht freigegeben. Da bei Einzelplatz-Computern das Diskettenlaufwerk die einzige Möglichkeit ist, um Software-Updates einzuspielen oder Daten auszutauschen, (anders als bei Netzwerkrechnern) ist hier der Einsatz von Laufwerkschlössern problematisch bis sinnlos, da es in der Praxis zu erheblichen Behinderungen führen kann.


Computer im Netzwerk

Für Computer die an ein Netzwerk angeschlossen, sind sollte die Regel gelten, daß der Anwender erst dann den Netzwerkzugriff erhält, wenn die installierten Schutzsysteme den Computer als virenfrei gemeldet haben. Die eingesetzten Schutzsysteme können sich dabei dezentral auf dem Computer des Users befinden oder zentral auf dem Netzwerk-Server.

Im Falle einer entdeckten Virusinfektion darf der Computer keinen Zugang zum Netzwerk erhalten und es sollte eine automatische Nachricht an den verantwortlichen Systemadministrator gesandt werden, um weitere Maßnahmen einzuleiten.

Eine weitere sehr wirkungsvolle Schutzmaßnahme ist das restriktive Einschränken von Schreibrechten auf Netzwerken. Der Anwender sollte generell nur Schreibrechte für Daten und nicht für ausführbare Dateien erhalten. Weiterhin sollte generell keinem Bediener erlaubt sein, ausführbare Dateien über das Netzwerk zu kopieren. Diese Rechte sollten ausschließlich beim Systemadministrator des Netzwerkes liegen.


Notebooks

Da Notebooks transportable Computer sind, unterliegen sie nicht unmittelbar auch der Kontrolle durch Fachpersonal wie z.B. Systemadministratoren. Hinzu kommt die hohe Beliebtheit von Notebooks und die damit verbundene weite Verbreitung in Unternehmen. Notebooks gehören bei den vorbeugenden Maßnahmen vor Computerviren in die Kategorie der besonders zu schützenden Computer, ungeachtet welche Daten sich auf dem Notebook befinden. So sollten auf einem Notebook zwei unterschiedliche Virenscanner, ein Prüfsummenprogramm und eventuell sogar ein generisches Antiviren-Programm befinden. All diese Programme und Schutzmaßnahmen sollten vom Benutzer unabhängig ausgeführt werden. Weiterhin sollte ein Notebook zwangsweise mit allen zur Verfügung stehenden Antiviren-Programmen gescannt werden, bevor er sich über eine Docking-Station im Netzwerk anmeldet. Es ist ebenfalls sehr zu empfehlen, Benutzer von Notebooks einer entsprechenden Sicherheitsschulung zu unterziehen. Notebooks können für ein Unternehmen nicht nur eine Quelle für Computervireninfizierungen bedeuten, sondern im Rahmen der Datensicherheit mitunter ein nicht kalkulierbares Sicherheitsrisiko bei Verlust des Computers darstellen.

Im Rahmen der Datensicherheit sollten bei Notebooks erzwungene regelmäßige Backup-Kopien angefertigt werden (z.B. beim Einloggen in das Firmennetzwerk). Weiterhin sollte die Paßwortfunktion des Notebooks eingeschaltet sein und wichtige Daten sollten verschlüsselt auf der Festplatte gespeichert werden.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 02/1995 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher