Computerviren

und ihre Vermeidung

Kapitel 11

Copyright (C) 04/1993 by Howard Fuhs

11 Strategien und Methoden gegen Computerviren

Gerade in Unternehmen ist der Schutz vor Computerviren sehr wichtig. Bei der zunehmenden Zahl von Computern in einem Unternehmen kann der Ausfall von einigen Computern bereits große finanzielle Verluste hervorrufen. Gehen dann auch noch wichtige Daten verloren, kann dies ein Unternehmen in den Ruin führen.

Bei einer Studie, die 1992 in größeren Unternehmen durchgeführt wurde, konnte festgestellt werden, daß einige Unternehmen einen 68%igen Ausfall ihrer PC´s nur 3 Tage überstehen können. Danach ist das Unternehmen finanziell ruiniert. Weiterhin wurde festgestellt, daß keines der untersuchten Unternehmen für den Ernstfall gewappnet war. Es existierten weder einheitliche Verhaltensmaßregeln für den Ernstfall noch eine vernünftige Strategie, um den Ernstfall zu verhindern. Ich hatte zeitweise den Eindruck, in so mancher Firma wird russisches Roulett mit der EDV gespielt.

Viele Unternehmen wissen noch nicht einmal um die Gefahren und Probleme im Zusammenhang mit Computern. Aber woher sollen die Unternehmen auch solche Informationen beziehen. Der Computer ist heute eine Massenware, die man an fast jeder Ecke kaufen kann. Verkaufen kann fast jeder, gut beraten kann fast keiner. Eine gute Beratung ist zeit- und kostenintensiv und setzt ein erhebliches Fachwissen voraus. Außerdem ist die Problematik und das damit verbundene Fachwissen noch sehr wenig verbreitet.

11.1 Aufbau eines Kontrollsystems gegen Computerviren

Ein solches Kontrollsystem soll zum einen einen optimalen Schutz bieten, zum anderen aber auch ein vernünftiges Arbeiten an den Computern ermöglichen. Dieses Kontrollsystem sollte wie folgt aufgebaut sein:

11.1.1 Vorbeugen

Hierbei soll eine Virusinfektion im Vorfeld bereits verhindert werden. Zu den vorbeugenden Maßnahmen gehört die Ausbildung der Mitarbeiter, der Einsatz von entsprechender Software zum Schutz vor Computerviren und eine Überwachung des Datenverkehrs. So sollte jede neue und/oder unbekannte Diskette vor der Benutzung auf einen Computervirus hin untersucht werden. Dies gilt auch für leere, vorformatierte Disketten, die man von anderen Personen oder Firmen bekommt. Auch das Erstellen von Sicherungskopien gehört zu den vorbeugenden Maßnahmen.

11.1.2 Entdecken

Falls der Worst Case (Ernstfall) dann eingetreten ist, geht es zuerst um die Entdeckung der Virusinfektion und dann um das Aufspüren des eigentlichen Computervirus.

11.1.3 Eindämmen

Nachdem die Virusinfektion festgestellt wurde, muß die weitere Verbreitung des Computervirus verhindert werden. Dies geschieht durch eine sofortige Benachrichtigung aller betroffenen Personen innerhalb und außerhalb des Unternehmens.

11.1.4 Entfernen

Hier muß der Computervirus erfolgreich aus einem Computersystem entfernt werden.

11.1.5 Wiederherstellen

Das Wiederherstellen aller infizierten Dateien kann je nach Schwere der Virusinfektion sehr problematisch sein. Bei einer guten Vorsorge können alle zerstörten Dateien von den Sicherungskopien ersetzt werden. Dabei sind manchmal geringe Datenverluste in Kauf zu nehmen, welche die letzten Arbeitsstunden im Unter- nehmen betreffen. Im schlimmsten Fall sind alle Daten nicht mehr wiederherzustellen.

11.2 Wie wird ein Computervirus in ein Unternehmen eingeschleppt?

Technisch gesehen gibt es nur zwei Möglichkeiten, Computer in einem Unternehmen mit einem Computervirus zu infizieren. Entweder wird der Virus durch eine Netzwerkverbindung eingeschleppt oder er wird durch eine Diskette übertragen.

Gerade bei einer Infektion durch Disketten sind es meistens zwei Personenkreise, die in Frage kommen. Alle Angestellten der Firma mit Zugang zu einem Computer, oder alle fremden Personen, die nicht dem Unternehmen angehören, dort aber in irgendeiner Art und Weise an Rechnersystemen zu tun hatten (z.B. Servicepersonal für Computer).

Bei den Angestellten des Unternehmens sind es meistens infizierte Computerspieledisketten aus unzuverlässigen Quellen, die mitgebracht werden und den Computervirus auf den Computern des Unternehmens verbreiten. Die Motivation ist meistens das Vorführen des neuesten Computerspiels bei den Arbeitskollegen. Diesen Personen ist meist gar nicht bewußt, daß ihr Computerspiel mit einem Computervirus infiziert ist. Man kann heute davon ausgehen, daß über 90% aller Infizierungen unwissentlich geschehen. Der Prozentsatz des bewußten Infizierens eines Rechnersystems zu Sabotagezwecken ist relativ gering. Wird das Computerspiel auf einem Unternehmenscomputer gestartet, ist der Computer infiziert. Auch nachdem das Computerspiel wieder von dem Rechnersystem entfernt wurde, bleibt der Computer nach wie vor infiziert. Der nächste Anwender, der auf diesem Computer arbeitet, wird automatisch für die weitere Verbreitung des Computervirus auf dem Rechner sorgen, ohne es zu wissen. Nachdem der Anwender seine Arbeit an dem Rechner beendet hat, packt er alle erstellten Dateien auf eine Diskette. Am nächsten Tag wird dieser Anwender mit seiner Diskette voll mit Daten und Programmen auf einem anderen Rechner des Unternehmens arbeiten. Oder er muß die Diskette in einer anderen Abteilung einem anderen Mitarbeiter zur Verfügung stellen. Damit wird der zweite Rechner in dem Unternehmen infiziert. Und so entsteht ein Schneeballsystem von Infizierungen, die nur schwer unter Kontrolle zu bringen sind, da jede Kopie des Computervirus sich selbst wieder um ein Vielfaches vermehren kann. Je mehr sich der Computervirus vermehrt, desto schneller verbreitet er sich in diesem Unternehmen.

Genauso problematisch ist es, wenn der erstinfizierte Computer an ein Computernetz innerhalb des Unternehmens angeschlossen ist. Hier entfällt der Computervirustransport über eine Diskette. Bei einem Netzwerk wird der Transport durch das Hin- und Herkopieren von Daten und Programmen unter den einzelnen Anwendern übernommen.

Ähnlich funktioniert es auch mit den fremden Personen, die in diesem Unternehmen, aus welchem Grund auch immer, Zugang zu einem Computer hatten. Nur ist hier meistens die mitgebrachte Diagnosesoftware dafür verantwortlich.

Es gibt aber noch eine andere, relativ seltene Möglichkeit der Vireninfektion. Die Möglichkeit, daß dem Unternehmen infizierte Programmdisketten vom Hersteller des Programms geliefert werden. Wie gesagt, diese Möglichkeit ist relativ selten, aber es ist dennoch des öfteren passiert. So waren z.B. die Disketten eines weltweit bekannten Netzwerksoftware Herstellers befallen. Leider nicht ganz so selten sind die bekanntgewordenen Vorfälle durch mitgelieferte Treiberdisketten von No Name Geräten aus Fernost sowie die mitgelieferten Disketten von großen, billigen Computerladenketten. Es wurden auch Fälle bekannt, daß neugekaufte Computer bereits einen Computervirus auf der bootfähigen Festplatte hatten. Das passierte dann beim Händler oder in der Werkstatt, welche die Festplatte formatiert hat und anschließend das Betriebssystem auf der Festplatte installiert hat.

11.3 Zurückverfolgen der Infektion

Ab einer gewissen Virenverbreitung innerhalb der Unternehmensrechner ist es nicht mehr möglich, den Ausgangsrechner der Virusinfektion zu lokalisieren oder den Mitarbeiter zu benennen, der für die Virusinfektion verantwortlich ist. Es sollte aber auf alle Fälle versucht werden, den Ausgangspunkt der Vireninfektion zu lokalisieren. Gerade bei dieser Arbeit werden viele Sicherheitslücken entdeckt.

11.4 Wie ernst ist das Problem?

Traditionelle Sicherheitsmaßnahmen sollen die sicherheitsrelevanten Vorfälle in der EDV eines Unternehmens auf ein vertretbares Maß begrenzen. So ist z.B. ein einziges verlorengegangenes Datenfile pro Jahr eine vertretbare Größe für ein Unternehmen. Und hier liegt das Problem, das von Computerviren verursacht wird. Da sich ein einzelner Computervirus unbemerkt in den Rechnersystemen eines Unternehmens verbreiten kann, kann die Zerstörung von Daten einen weitaus größeren Umfang annehmen, als durch einen einzelnen Anwender verursacht werden kann.

Das Verhindern von Computervireninfektionen sollte zwar mit zu den Hauptaufgaben im Bereich der Computersicherheit gehören, jedoch kann man eine Computervirusinfektion nie ganz verhindern. Es gibt keinen 100%igen Schutz vor Computerviren. Eine Firma oder eine Anti-Viren-Software, die 100%igen Schutz vor Computerviren verspricht, lügt, und sollte als unseriös betrachtet werden! Nirgends auf der Welt bekommt man vor irgend etwas 100%igen Schutz. Auch nicht beim Autofahren oder beim Fliegen. Und das Flugzeug ist das sicherste Verkehrsmittel unserer Zeit.

11.5 Wie wichtig ist das rechtzeitige Erkennen einer Infektion?

Ein Computervirus verbreitet sich im allgemeinen mit exponentieller Geschwindigkeit auf einem Computersystem.

Wenn ein Computervirus am Montag ein Rechnersystem infiziert hat, so kann er am Dienstag bereits vier Rechnersysteme infizieren, sechzehn Rechnersysteme am Mittwoch und mehr als fünfhundert am Freitag. Auch wenn die Praxis etwas anders (langsamer / schneller) aussieht und diese Zahlen nur ein Beispiel für die Verbreitungsgeschwindigkeit sein sollen, erkennt man an diesen Zahlen die Wichtigkeit der Frühentdeckung eines Computervirus.

Je früher man einen Computervirus entdeckt, desto weniger Arbeit hat man beim Entfernen des Virus, desto geringer ist die Gefahr einer Reinfizierung und desto geringer kann der angerichtete Schaden ausfallen. Und das sind eigentlich Argumente, denen jeder Chef aufgeschlossen gegenüberstehen wird. Denn jede Virusinfektion der Computer eines Unternehmens kostet Zeit und damit auch automatisch Geld.

11.6 Wie wichtig ist das schnelle Reagieren auf eine Infektion?

Wenn eine Virusinfektion auf einem Rechnersystem entdeckt wird, bedeutet jeder Moment, in dem darüber nachgedacht wird, was nun zu unternehmen ist, daß der Virus sich munter weiterverbreitet. Deshalb ist es wichtig, daß man einen Plan zur Bekämpfung von Computerviren bereits entworfen hat, bevor es zu einer Infektion kommt. Dieser Plan sollte z.B. folgendes enthalten:

Eine für diesen Fall fest vorgesehene Gruppe von Personen als Krisenteam.

Vorgehensweisen zur Entdeckung infizierte Rechnersysteme. Man muß relativ schnell feststellen können, welchen Umfang die Virusinfektion innerhalb des Unternehmens bereits angenommen hat. Diese Systeme müssen als infiziert gekennzeichnet werden.

Vorgehensweisen, zur Isolation infizierte Systeme, z.B. das Abkoppeln des Rechners von dem Computernetzwerk. Diese Isolation des Rechners muß aufrecht erhalten werden, bis der Computer absolut virenfrei ist.

Vorgehensweisen, zur Information eventuell betroffene Anwender über den entdeckten Virus. Dazu gehören auch Informationen, wie man eine Weiterverbreitung verhindern kann.

Informationen und Vorgehensweisen, wie der Computervirus von den infizierten Rechnersystemen entfernt werden kann.

11.7 Erneute Infektion eines Rechnersystems

Nachdem man den Computervirus von allen infizierten Rechnersystemen und den Backup Kopien entfernt hat, muß man die Computer noch eine Zeit lang sorgfältig beobachten, ob ein Rechnersystem nicht erneut von einem Computervirus infiziert wird. Es besteht die Gefahr, daß man bei dem Entfernen der Computerviren einen Virus übersehen hat. So kann ein Virus noch auf der Festplatte vorhanden sein, ebenso auch auf den Sicherungskopien.

Er kann aber auch über die gleiche Quelle außerhalb des Unternehmens wieder eingeschleppt werden. Man sollte deshalb auch immer versuchen, die Herkunft des Computervirus zu ermitteln. Zur Überwachung der Computersysteme empfehlen sich speicherresidente Virenwächter, Anti-Viren-Programme sowie auch Checksummen-Prüfprogramme.

11.8 Systemadministration und Computerviren

Als Systemadministrator ist man in einem Unternehmen in der Regel für die Funktion und den reibungslosen Arbeitsablauf in der EDV verantwortlich. Diese Verantwortlichkeit umschließt auch den Bereich der Computersicherheit und der Datensicherheit.

Die Bedrohung der Datensicherheit durch Computerviren ist aber noch relativ neu. Viele Systemadministratoren sind zwar zum Thema Computer- und Datensicherheit geschult worden, doch wird in vielen Unternehmen die Bedrohung durch Computerviren nicht sonderlich ernst genommen. Aber gerade die Prävention von Infektionen durch Computerviren liegt auch im Tätigkeits- und Verantwortungsbereich eines Systemadministrators.

Deshalb sollte man auf keinen Fall warten, bis das Kind in den Brunnen gefallen ist. Denn die Kosten für die Wiederherstellung von verlorenen Daten beträgt ein Mehrfaches von dem, was eine gute Ausbildung der Systemadministratoren und der Anwender kostet. Gerade auch die Sensibilisierung und die richtige Ausbildung der einfachen Computeranwender in einem Unternehmen kann erheblich zur Prävention von Computerviren beitragen.

Viele Systemadministratoren in einem Unternehmen verlassen sich aus Unwissenheit auf bereits installierte Sicherheitssysteme. Diese traditionellen Sicherheitssysteme sind zwar nützlich, vielleicht sogar hilfreich, aber sie sind meistens nicht direkt für die Bedrohung, die von Computerviren ausgeht, ausgelegt. Deshalb müssen neue, der Bedrohungssituation angepaßte Sicherheitssysteme in den Computersystemen installiert werden, die mit der Bedrohung durch Computerviren effektiv und sicher umgehen können.

Das Computersicherheitsmanagement eines Unternehmens wird dabei in Zukunft eine große und wichtige Schlüsselrolle in der Reduzierung des Risikos übernehmen. Aber auch die ganze Unternehmenspolitik wird dabei eine nicht unwichtige Rolle spielen. Jeder muß sich darüber im klaren sein, daß die Datensicherheit bei ihm selbst anfängt.

11.8.1 Empfehlungen für die Verantwortlichen

Achten Sie darauf, daß in regelmäßigen, nicht zu großen Abständen Backup Kopien von allen wichtigen Daten gemacht werden. In der Regel werden Datenfiles nicht von Computerviren befallen. Sollte auf einer Backup Diskette aber doch ein Computervirus vorhanden sein, so kann man ihn mit dem nötigen Wissen entfernen. Infizierte Backups sind zu retten. Zerstörte Daten auf Rechnersystemen meistens nicht.

Überprüfen Sie in regelmäßigen Abständen die Sicherheitseinrichtungen auf ihre Funktion oder eventuelle Schwachstellen. Ein Sicherheitssystem, das heute das Sicherste auf dem Markt ist, kann morgen bereits veraltet und überwindbar sein.

Installieren Sie Programme auf den Rechnersystemen, die eine Virusinfektion rechtzeitig und schnell erkennen. Sorgen Sie für regelmäßige Updates der Software.

Schränken Sie den Zugang der Anwender zu externen Speichermedien wie Diskettenlaufwerken ein.

Überwachen und schützen Sie Netzwerkverbindungen, die mit anderen Firmen oder Organisationen bestehen.

Schränken Sie die Electronic Mail Kommunikation innerhalb eines Netzwerkes auf nicht ausführbare Dateien ein.

Richten Sie eine eigene Kommunikationsebene ein, die nur zum Versenden von ausführbaren Dateien vorgesehen ist. Beschränken Sie den Zugriff auf diese Kommunikationsebene auf so wenig Mitarbeiter wie möglich. Diese Kommunikationsebene läßt sich dann relativ einfach auf Computerviren hin überwachen.

Achten Sie auf eine gute Computersicherheitsausbildung bei den Anwendern. Solche Sicherheitsschulungen sollten regelmäßig durchgeführt werden und immer auf dem neuesten Stand der Erkenntnisse sein.

Ein neuer Mitarbeiter sollte erst zu sicherheitsrelevanten Themen geschult werden, bevor er die Zugangsberechtigung zu einem Computer erhält.

11.9 Unternehmensstrategie gegen Computerviren

Bilden Sie eine Gruppe von Fachleuten, die mit der Bedrohung durch Computerviren umgehen können. Diese Gruppe sollte:

für die Schulung der Mitarbeiter verantwortlich sein,

genaue Informationen zum Thema Computerviren und Computersicherheit bereithalten,

Hinweisen aus dem Unternehmen auf einen vermutlichen Computervirus nachgehen

und auftretenden Computervirusinfektionen schnell und gewissenhaft entgegenwirken.

Stellen Sie sicher, daß jeder Mitarbeiter des Unternehmens weiß, wie diese Gruppe zu erreichen ist, wenn er eine Infektion des Rechners vermutet. Entwickeln Sie einen Plan, wie im Falle einer Computervireninfizierung vorzugehen ist, bevor der Ernstfall eintritt. Testen und üben Sie den Plan in regelmäßigen Abständen.

Aber benutzen Sie dafür keine echten Computerviren!

11.10 Die Ausbildung der Computeranwender

Eine gute Unternehmensstrategie basiert immer auf dem Wissen, der Aufgeklärtheit und der Mitarbeit der Computeranwender in einem Unternehmen. Das gilt nicht nur für Computerviren, sondern auch für den Paßwortschutz und andere Sicherheitsfragen, die das Unternehmen und ihre EDV betreffen. Wenn die Mitarbeiter nicht genügend über die Gefahr informiert werden, kann man von ihnen auch keine konstruktive Zusammenarbeit erwarten.

Der Anwender sollte z.B. wissen, wen er zu verständigen hat, wenn er verdächtige Aktivitäten in seinem Computer beobachtet oder glaubt, ein anderweitiges Sicherheitsproblem entdeckt zu haben.

Er sollte auch wissen, was er noch tun darf oder was er zu unterlassen hat, wenn er eine Infektion durch einen Computervirus vermutet.

Der Anwender sollte ermutigt werden, sicherheitsrelevante Themen von sich aus aufzugreifen oder weiterzumelden. Man muß dem Anwender auch nahebringen, daß Sicherheitsmaßnahmen auch für den Schutz seiner eigenen Daten absolut notwendig sind, also auch seinen eigenen Schutz betreffen. Zu keiner Zeit darf der Anwender glauben, es handele sich um unbegründete und überzogene Sicherheitsmaßnahmen oder gar um Panikmache.

Es sollte nicht versucht werden, Computervireninfektionen mit Strafmaßnahmen zu verhindern. Strafmaßnahmen können dazu führen, daß der Anwender sich nicht traut eine Infektion zu melden. Dadurch geht wertvolle Zeit (mitunter Tage) verloren.

Es sollte immer ein Ansprechpartner für den Anwender vorhanden sein, der im Notfall weiß, was zu tun ist. In vielen Unternehmen sind solche Teams aufgestellt worden, um schnell und flexibel reagieren zu können. Es sind sogenannte First Level Support Teams, die über genügend Informationen verfügen, um bei eventuell auftretenden Problemen zu erkennen, ob es sich um einen Computervirus handelt, oder ob es sich um ein allgemeines Soft- oder Hardwareproblem handelt. Nicht zu vergessen die Fehlbedienungen durch den Anwender.

Dieser First Level Support sollte aber nicht nur als Unterstützungs- und Informationspartner dem Anwender zur Verfügung stehen, sondern auch dem eigentlichen Sicherheitsmanagement und dem Systemadministrator als beratendes Gremium zur Seite stehen.

Dieses Team wird in der Praxis zuerst erfahren, ob, und wenn ja, welche Sicherheitslücke vorhanden ist. Es sollte auch fachlich qualifiziert genug sein, um die nächst höhere Management Ebene beraten zu können.

Es empfiehlt sich weiterhin, die eigentliche Virensuche und Virenentfernung von infizierten Computersystemen nicht dem First Level Support Team zu überlassen. Hierfür sollte man ein entsprechendes Team einsetzen, das sich auf diesem Gebiet besonders auskennt und mehr Zeit hat, sich auf diesem Gebiet weiterzubilden. Es können aber auch Mitglieder des First Level Support Teams Mitglied in dem Anti-Viren Team sein. Das bedeutet aber in der Praxis, daß auf dem Anti-Viren Team nicht der allgemeine Arbeitsstreß liegen darf. Ein Anti-Viren Team, das vor lauter allgemeiner Arbeit nicht zum Weiterbilden kommt, ist innerhalb weniger Monate wertlos und im Ernstfall sogar eine Gefahr. In der Praxis reichen pro Woche ca. 4 Stunden zur Informationsbeschaffung und zur Informationsauswertung. Alle Informationen, die diesem Team zur Verfügung stehen, sollten an einem zentralen Ort gelagert oder gespeichert werden. Im Ernstfall bestimmt nur das Anti-Viren Team in Verbindung mit dem Systemadministrator das weitere Vorgehen gegen den Computervirus. Die Befehlsebenen sollten klar überschaubar und relativ klein sein, um eine schnelle und effektive Reaktion auf die Infizierung zu gewährleisten.

Eine gute Staffelung des Supportwesens sieht folgendermaßen aus:

Level 0)

Der Endanwender. Bei Fragen und Problemen wendet er sich an das First Level Support Team.

Level 1)

Das First Level Support Team. Es hilft dem Endanwender bei seinen Problemen und Fragen. Im Falle eines Computervirus informiert es sofort das Anti-Virus Team. Es steht dem Anti-Virus Team im Ernstfall als Hilfe zur Verfügung.

Level 2)

Das Anti Virus Team. Es analysiert sofort, welche Ausmaße die Infizierung angenommen hat und wie gefährlich sie ist. Es benachrichtigt sofort den verantwortlichen Systemadministrator und spricht das weitere Vorgehen mit ihm ab.

Level 3)

Der Systemadministrator. Ihm untersteht der gesamte EDV Bereich des Unternehmens. Er informiert das Management des Unternehmens über die Vorfälle, die eingeleiteten Maßnahmen und über die Fortschritte.

Für alle Personen, die in diesen 4 Stufen arbeiten, gilt als oberstes Gebot die regelmäßige Weiterbildung.

Der Endanwender sollte alle 6 Monate über die neuesten sicherheitsrelevanten Entwicklungen informiert werden.

Das First Level Support Team sollte alle 4 bis 6 Wochen über das Neueste an der Computervirenfront informiert werden. Dies sollte durch ein Zusammentreffen von First Level Support Team und Anti Viren Team geschehen.

Das Anti Viren Team sollte sich wöchentlich informieren. Der Systemadministrator sollte von dem Anti Viren Team in wöchentlichem Abstand über die neuesten Vorgänge und Virenwarnungen informiert werden.

Natürlich ist die Staffelung der Teams von der Größe und der Struktur des Unternehmens abhängig. Es macht wenig Sinn, so etwas in einer Firma mit 3 PC´s und 10 Angestellten einzuführen. Aber auch in solchen Firmen sollte wenigstens einer der Mitarbeiter soweit über das Thema Computerviren informiert sein, daß er eine Infizierung entdecken und eventuell auch beseitigen kann.

11.11 Hilfe bei Computervirus Infektionen

Jeder EDV Verantwortliche in einem Unternehmen sollte über Ansprechpartner außerhalb des Unternehmens verfügen, die ihm im Ernstfall weiterhelfen können. Das können andere Firmen sein, aber auch Viren Test Zentren in Universitäten. Um eine effektive Hilfe zu erhalten, sollte man folgende Informationen bereithalten und immer mit angeben:

Welcher Rechnertyp wird benutzt (CPU und Taktgeschwindigkeit)?

Welche Diskettenlaufwerke sind im Rechner vorhanden?

Welches Diskettenformat hat Laufwerk A:?

Wieviele Festplatten sind im Computer vorhanden?

Welches Aufzeichnungsverfahren oder welche Schnittstellen verwenden die Festplatten (MFM, RLL, IDE, SCSI, ESDI usw.)?

Welche Kapazität haben die Festplatten?

Werden Onlinekomprimierer wie Stacker oder SStor verwendet?

Ist der Computer an ein Netzwerk angeschlossen?

Wenn ja, an welches Netzwerk (Hard- und Software)?

Wieviel Arbeitsspeicher ist im Computer vorhanden?

Wie ist dieser Speicher konfiguriert (extended / expanded)?

Welche Device Treiber werden genutzt?

Welches Betriebssystem wird benutzt (Versionsnummer)?

Existiert eine virenfreie, schreibgeschützte Bootdiskette?

Welche sonstigen speicherresidenten Programme werden aufgerufen?

Durch was oder durch welches Verhalten wurde man auf den Computervirus aufmerksam?

Wie heißt der Computervirus (falls bekannt)?

Mit welchem Anti-Viren-Programm wurde der Computervirus entdeckt?

Welche Anti-Viren-Programme haben den Computervirus nicht entdeckt?

Wieviele Dateien wurden als infiziert gemeldet?

Welche Art von Datei wurde als infiziert gemeldet (Endung der Datei)?

Welche Anti-Virus-Software läuft noch auf diesem Computer?

Wurde dieser Computervirus von einem oder mehreren Anti-Viren Programmen entdeckt?

Wann wurden die letzten Backup Kopien angefertigt?

Man sollte ebenfalls einen Ausdruck der CONFIG.SYS, der AUTOEXEC.BAT und des CMOS-Setups bereithalten. Einen Ausdruck des CMOS-Setups kann man z.B. mit dem Programm CheckIt anfertigen.

11.12 Sicherungskopien

Auch wenn es keine Bedrohung durch Computerviren geben sollte, so sind Sicherungskopien (auch Backup genannt) keine schlechte Idee. Besonders wenn die Sicherungskopien regelmäßig gemacht werden. Deshalb sind die Sicherungskopien auch ein wichtiger Bestandteil des Sicherheitsmanagements. Wenn ein Programm- oder Datenfile verloren geht, können die Sicherungskopien einige Tage oder Wochen an Arbeit einsparen. Die potentielle Gefahr durch Computerviren erhöht nur noch die Notwendigkeit von Sicherungskopien. Auch bei der Installierung von Software auf dem Computer sollte man nie die Originaldisketten benutzen. Immer erst eine Sicherungskopie der Originaldisketten anfertigen und das Programm dann von den Sicherungskopien aus installieren. Wenn man von Originaldisketten eine Sicherungskopie anfertigt, sollte man immer daran denken, vorher die Originaldisketten mit dem Schreibschutz zu versehen.

Je nach täglichem Datenaufkommen, sollte man immer mindestens drei Generationen von Sicherungskopien aufbewahren oder soviele Sicherungskopien wie nötig anfertigen (z.B. täglich) und mindestens einen Monat lang aufbewahren. Sicherungskopien von wichtigen Datensätzen sollten bis zu einem Jahr aufbewahrt werden.

Sicherungskopien sind aber auch ein Platz, an dem sich Computerviren verstecken können. Man sollte deshalb auch die Sicherungskopien auf Computerviren untersuchen, nachdem man einen Computervirus von einem infizierten Rechnersystem entfernt hat. Wenn man die Sicherungskopien nicht auf das Vorhandensein von Computerviren untersucht, läuft man Gefahr, beim Installieren der Sicherungskopien auf dem Rechnersystem wieder einen Computervirus auf dem Rechnersystem zu verbreiten. Solange eine Sicherungskopie nicht als absolut sauber und virenfrei gilt, darf mit dieser Sicherungskopie nicht gearbeitet werden. Berühmtester Ausspruch zum Thema Sicherungskopien: " ... aber ich dachte, Du machst die Backup-Kopien !"

11.12.1 Aufbewahrungsort von Sicherungskopien

Sicherungskopien sollten immer zentral im Unternehmen aufbewahrt werden, um unnötige Sucherei zu vermeiden und einen optimalen Schutz der Sicherungskopien zu gewährleisten. Es empfiehlt sich, Sicherungskopien in einem feuerfesten Tresor aufzubewahren. Dies wird oftmals sogar von Versicherungen in den Versicherungsbedingungen gefordert.

11.13 Verhalten gegenüber Kunden

Sollte ein Unternehmen von einer Computervirusinfektion betroffen sein und es sollte sich bei der weiteren Untersuchung herausstellen, daß die Infizierung auch an einen Kunden des Unternehmens weitergegeben wurde, sollte man den Kunden umgehend informieren. Man sollte in diesem Fall offen und ehrlich seinem Kunden gegenüber sein. Es ist sicher nicht gut für die gemeinsame Zusammenarbeit und das Vertrauen, wenn der Kunde in der Lage ist, die Vireninfektion auf seinen Rechnern zu dem Unternehmen zurückzuverfolgen und ihm gegenüber keine Warnung ausgesprochen wurde. Hier wird jeder Kunde für den Hinweis und die Ehrlichkeit dankbar sein. Diese Offenheit ist kein Beinbruch. Das ist schon großen namhaften Softwareherstellern passiert, die dann über 5000 Kunden angeschrieben haben, um vor dem mit der Software mitgelieferten Computervirus zu warnen. Sie befinden sich damit also in wahrhaft großer Gesellschaft. Auch wenn es kein Ruhmesblatt für das Unternehmen darstellt.

Den weitaus größeren Negativruf bekommt man, wenn man von der Infektion weiß, es seinen Kunden gegenüber aber verschweigt. Auch hierfür gibt es Beispiele von großen und namhaften Unternehmen. Und es ist sehr viel schwieriger, diesen erworbenen Negativruf wieder loszuwerden. Das kann mitunter Jahre dauern. Man sollte immer daran denken: Ein guter Ruf reicht weit, ein schlechter Ruf reicht noch viel weiter.

vorheriges Kapitel | Inhaltsverzeichnis | nächstes Kapitel

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.