Auswahlkriterien für den Virenschutz
Grundsatzentscheidungen
Der Virenschutz gehört zum Standardrepertoire der IT-Sicherheit. Dennoch gilt es gerade in diesem Bereich, grundlegende Entscheidungen nach dem Einsatzzweck zu treffen, damit das richtige System im Netz seinen Dienst verrichtet.
Moderne Antivirussysteme sind primär auf die Arbeit an den Schnittstellen zum Internet
abgestimmt. Obwohl die Aufgabe der Virenabwehrsysteme klar definiert erscheint, existieren Systeme
mit grundsätzlich unterschiedlichem Design und weit von einander abweichenden Konzepten.
Generell verrichten Virenschutzsysteme heute zwar immer noch ähnliche Dienste wie seit jeher,
müssen aber auf eine neue Klasse von Angreifern abgestimmt sein: Die Zahl der Malicious Codes, die
durch kriminelle Organisationen für den Aufbau ferngesteuerter "BotNetze" verwendet werden, von
denen aus sie dann vorbestellte Denial-of-Service-Angriffe starten, nimmt ebenso zu wie die
Häufigkeit von Viren, die gezielt gegen ganz bestimmte Organisationen gerichtet sind.
Draußen vor der Tür oder am Eingang postiert
Parallel zu entsprechenden Anti-Spam-Lösungen wächst das Angebot an Antiviruslösungen, die vor
allem den Mail-Traffic als externer Service schon vor dem Eintreffen am eigenen Internet-Gateway
scannen. Manchmal kommen dabei sogar in speziellen Architekturen mehrere Scan-Engines zum Einsatz
(siehe auch "Eine Scan-Engine oder ein Scanner-Team"). Solche Lösungen können einen eigenen
Gateway-Scanner durchaus komplett ersetzen. Bei der Auswahl sollten nicht nur die Betriebskosten
beider Varianten berücksichtigt werden, sondern auch die jeweiligen Sicherheits-Level, Services wie
der individuelle und damit datenschutzgerechte Zugriff auf Quarantäne-Ordner, Service Level
Agreements und die erzielbare Entlastung der eigenen Infrastruktur.
Nur am Eingang oder überall
Aus Gründen des einfacheren Managements setzen viele Anwender seit geraumer Zeit eher auf eine
zentrale Gateway-Lösung für die Virenabwehr und nicht mehr auf Scanner auf jedem einzelnen PC.
Jetzt geht der Trend wieder zum Scannen an Server und Client zurück, da aufgrund des mobileren
PC-Einsatzes und der Verbreitung von USB-Datenträgern zunehmend Schädlinge am Gateway-Wächter
vorbeigeschleust werden. Kombinierte Gateway- und Client-Lösungen mit unterschiedlichen
Scan-Engines und gemeinsamem Management bieten einige Hersteller auch als Komplettlösung an (siehe
auch "Eine Scan-Engine oder ein Scanner-Team"). Als Alternative böte es sich an, USB- und andere
Ports mit speziellen Managementlösungen zu sperren – allerdings muss auch diese Lösung bezahlt
werden, lässt sich auf viele Arbeitsplätze gar nicht anwenden und generiert zusätzlichen
Managementaufwand, da sich kein PC mehr langfristig betreiben lässt, ohne dass hin und wieder
einmal ein Port für externe Datenträger, Dongles oder Sicherheitshardware freigeschaltet werden
muss. Scannen am Gateway und auf dem Client sollte also Standard sein, wobei möglichst zwei
verschiedene Engines gewählt werden sollten. Mit einer zusätzlichen, zentral zu verwaltenden
Desktop-Firewall können die PCs dabei gleichzeitig als Sensoren für ein firmenweites
Intrusion-Detection-System herangezogen werden.
Signaturbasiert oder verhaltensgestützt
Signaturbasierte Scanner arbeiten schnell und zuverlässig, versagen aber bei Viren, für die noch
kein Erkennungsmuster vorliegt. Die Frage nach den Update-Zyklen gehört deshalb in jede Checkliste
für meine Antivirusanschaffung. Um diese Nachteile auszugleichen, statten die Hersteller ihre
Lösungen immer häufiger zusätzlich mit Interrimsroutinen für die Zeit zwischen Virenausbruch und
Signaturübermittlung aus (siehe "Workarounds für die Ausbruchszeit") oder bauen gleich Mechanismen
ein, die Malicious Codes am Verhalten erkennen. Die Bandbreite dieser Techniken reicht von
Heuristiken, die auf verdächtige Codemuster reagieren, über weitere Überwachungsfunktionen im
Scanner, die beispielsweise verdächtige Zugriffe auf Windows-Registry oder MailDatenbanken
abfangen, bis hin zur vollständigen Simulation eines PCs in der Scan-Engine, wobei jeder Code in
einer Mail in der simulierten Umgebung getestet wird. Die zuletzt genannte Variante ist zugleich
die langsamste, die sich zurzeit nur bei sehr hohen Sicherheitsanforderungen für generelle
On-Access-Scans eignen würde.
Intrusion Detection hilft mit
Da einzelne Malicious Codes immer wieder die Schranken von Virenscannern passieren, bietet es
sich an, auch Intrusion-Detection-Systeme in die Virenabwehrstrategie eines Unternehmens zu
integrieren. Sie dienen dann der Verhaltenserkennung von Schädlingen auf der Netzwerkebene. Lassen
sich mehrere Sensoren und eventuell auch die Warnungen von Personal Firewalls auf einzelnen PCs in
die Struktur einbinden, kann ein Intrusion-Detection-System Malware eventuell rechtzeitig in
einzelnen Netzsegmenten erkennen und die Schädlinge dort isolieren, bevor sie weitere Bereiche der
Unternehmensinfrastruktur befallen.
Workarounds für die Ausbruchszeit
Direkt nach dem Ausbruch eines neuen Virus, wenn die Anbieter von Schutzlösungen den neuen
Malicious Code noch analysieren, verfügen signaturgestützte Scanner über keinerlei
Erkennungsmechanismen, mit denen sie den Schädling identifizieren und blockieren oder löschen
könnten. Mit etwas Glück zeigen dann Heuristiken oder die Verhaltensanalyse Wirkung. Es gibt
allerdings einen weiteren Weg, der vor allem bei extrem schädlichen Malicious Codes Erfolg
verspricht. Manche Lösungen stellen bei Bedarf beispielsweise alle E-Mails in temporäre Quarantäne,
deren Anhänge bereits bekannte Eigenschaften des schädlichen Codes aufweisen. Im Extremfall könnten
dies beispielsweise sämtliche Nachrichten mit Attachments sein, die eine bestimmte Dateiendung
aufweisen. Sobald der Scanner dann ein Signatur-Update erhält, mit dem der Virus sicher aufgespürt
werden kann, arbeitet er die Warteschlange der verdächtigen Mails ab. Für den Administrator oder
auch Endanwender wichtig ist, inwieweit dieser Vorgang manuell oder automatisch abläuft oder im
zweiten Fall auch gegen die Automatik beeinflusst werden kann. Dies ist vor allem dann von
Bedeutung, wenn eine Verzögerung beim Zustellen bestimmter Mails im Einzelfall mehr Schaden zu
verursachen droht als ein möglicher Virusausbruch im eigenen Netz.
Eine Scan-Engine oder ein Scanner-Team
Bei besonders hohen Sicherheitsanforderungen ist es fraglich, ob in jedem Fall ein einziger
Virenscanner reicht. Der Grund dafür liegt nicht so sehr in prinzipiellen Qualitätsunterschieden
einzelner Scan-Engines – langjährige Erfahrung zeigt nämlich, dass unter den renommierten Produkten
je nach Versionsstand immer wieder andere zeitweise die Nase vorn haben, und dass nicht jedes
Produkt mit jedem Virentyp gleich gut zurecht kommt. Ein weiteres Problem liegt darin, dass die
Anbieter signaturgestützter Abwehrsysteme oft zuerst für diejenigen Viren Signaturen liefern, die
im geografischen Umfeld ihres Labors auch zuerst aufgetreten sind oder diesen besonders betreffen.
Manchmal können die Hersteller auf Schädlinge fremder Herkunft nicht so schnell zugreifen, manchmal
bevorzugen sie einfach ihren jeweiligen Heimatmarkt. Die "beste" aller Scan-Engines gibt es also
langfristig nicht. Zur Abhilfe sind Gateway-Lösungen auf dem Markt, die mehrere Antivirus-Engines
einbinden und gegebenenfalls je nach Netzsegment- oder Anwendung gezielt einzeln oder
hintereinander einsetzen können. Zu bedenken ist dabei, dass mehrfaches Scannen spürbar Rechenzeit
kostet – hier hilft es zum Beispiel, wenn eine der verwendeten Engines mit einer
Hardwarebeschleunigung arbeitet, die es für signaturgestützte Scanner mittlerweile gibt.
Auf die Frageliste beim Einkauf gehört also die Erkundigung nach der Flexibilität des Systems
beim Einsatz, nach der Zahl und Herkunft der integrierbaren Scan-Engines und nach der
Geschwindigkeit im jeweiligen Betriebsmodus. Auch das Lizenzmodell dürfte von Interesse sein.
Alternativen sind das Abonnement eines externen Virenschutzdienstes, der den Mail- oder
Internet-Traffic von sich aus durch ein Rechenzentrum mit mehreren Scan-Engines leitet (siehe "
Draußen vor der Tür oder am Eingang postiert"), oder die ohnehin empfehlenswerte Arbeit mit
Gateway-Scanner und Client-Schutz von jeweils unterschiedlichen Herstellern. Das zuletzt genannte
Konzept gibt es von einigen Anbietern auch aus einer Hand mit zentralem Management.
Im Clinch mit der Verschlüsselung
Auf jeden Fall lohnend ist zurzeit die Investition in eine Virenschutzlösung, die mit
verschlüsselten E-Mails zurecht kommt, da deren Aufkommen vor dem Hintergrund der aktuellen
Datenschutzgesetzgebung mit Sicherheit steigen wird. Die Verschlüsselung schützt leider auch
Schädlinge genau so wirksam wie alle anderen Anhänge, da ein normaler Virenscanner am Gateway die
gesicherten Nachrichten nicht zu öffnen vermag.
Im Angebot sind Gateways, die Virenscan und Verschlüsselung für die Endanwender zugleich
übernehmen, und Lösungen, die am Gateway alle durchgeleiteten verschlüsselten Nachrichten erst
entschlüsseln, dann analysieren und schließlich wieder verschlüsseln. Beide Verfahren kommen
allerdings nicht in Frage, wenn aufgrund hoher Vertraulichkeitsanforderungen echte
End-to-End-Kryptographie von Anwender zu Anwender gefordert ist. In diesem Fall hilft wiederum der
zusätzliche Einsatz von Virenscannern auf den Endgeräten, da eventuelle Viren dann direkt beim
Entschlüsseln erkannt und bekämpft werden können.
Lesen Sie mehr zum Thema
