Virenschutz in Unternehmensnetzen

Raimund Genes

Das Jahr 2000 brachte den bisherigen Höhepunkt an schädlichen Attacken aus dem Internet auf Unternehmensnetzwerke mit einem nie dagewesenen Ausmaß an Schaden durch ILOVEYOU, Anna_Kournikova und Co. Obwohl die Datenbestände vieler Unternehmen im vergangenen Jahr einer immer wiederkehrenden und steigenden Gefahr ausgesetzt waren, haben viele Firmen die Zeichen der Zeit noch nicht erkannt und mit entsprechenden Vorkehrmaßnahmen effektive Schutzmechanismen für das Netzwerk aufgebaut.

Am Anfang der Einführung von Schutzmaßnahmen sollte im Unternehmen eine Bedrohungsanalyse und Bestandsaufnahme erfolgen. Die Frage, warum der ILOVEYOU-Virus Schaden in Milliardenhöhe verursachen konnte, eignet sich als beeindruckendes Fallbeispiel. Einem jugendlichen Virenprogrammierer aus Manila gelang im Mai des letzten Jahres - ungewollt - eine deutliche Demonstration der Unzulänglichkeit damals existierender Konzepte zum Virenschutz.

Anhand der Produktlinie von Trend Micro lässt sich aufzeigen, wie ein mehrstufiges Virenschutzkonzept aufgebaut sein soll, um solche elektronischen Bedrohungen abzuwehren.

Der Haupteingangspunkt von Computerviren ist heutzutage der Internet Gateway. Mindestens 90 Prozent aller Computerviren, Würmer und Trojaner dringen so in das Firmennetzwerk ein. Deshalb ist es wichtig, die ein- und ausgehenden E-Mails auf schadhaften Code zu filtern. Neben den E-Mails können auch HTTP/FTP Datentransfer auf Viren untersucht werden. Das Durchsuchen von E-Mails soll sich nicht nur auf das Attachment beziehen, auch der E-Mail Body kann beispielsweise auf Active Scripting in HTML E-Mails durchsucht werden. Das Verfahren ist bewährt und es ist möglich, auf solchen Systemen einen hohen Datendurchsatz zu erzielen.

So gibt es Installationen der InterScan VirusWall, die am Tag 1,5 Millionen E-Mails mit 150 Gbyte Attachmentvolumen unter Windows NT durchsuchen. Unter Solaris sind noch wesentlich höhere Durchsätze erzielbar. Im folgenden Schaubild wird die Integration von InterScan VirusWall in das Unternehmensnetz schematisch dargestellt. Dazu wird die Mail zuerst von InterScan angenommen, auf schadhaften Code durchsucht und dann an den eigentlichen Mailserver weitergeleitet.

Schematische Darstellung der Virensuche mit InterScan

Durch die Absicherung des Internet-Gateways wehrt man die Bedrohungen aus dem Internet ab. Darüber hinaus sollte aber auch auf dem eigentlichen Mail-Server ein Virenschutz implementiert werden, denn nichts ist für den Administrator unangenehmer als die Tatsache, dass sich gefährliche E-Mails in diesen "gekapselten Datenbanken" befinden und einige Anwender diese trotz Warnungen ausführen werden. Man muss hierbei bedenken, dass ein Virenschutz niemals alle neuen Viren sofort erkennen kann. Neue Viren schlüpfen durch die InterScan VirusWall und liegen dann auf dem Exchange- oder Notes-Server. Hier wird oft erst nach Auftreten eines Virenbefalls eine Lösung installiert, was durch den dabei entstehenden Zeitdruck manchmal zur Zerstörung der Datenbanken führt. Deshalb sollte dieses Schutzsystem beim Aufbau des Virenschutzes gleich mitberücksichtigt werden. Interessant ist auch das Herausfiltern von unerwünschten Dateitypen. Dadurch konnte der "ILOVEYOU-Wurm" sofort erfolgreich blockiert werden, indem einfach keine "*.vbs" Dateianhänge mehr akzeptiert wurden.

Blockierung von VBS und SHS Dateianhängen mit ScanMail for Exchange

Nach dem Absichern des Internet-Gateways und der Mail-Server sind die File-Server zu betrachten. Hier können sich netzwerkgängige Bösewichte wie "ExploreZip" ausbreiten, die offene Shares nutzen, um sich im Netzwerk zu verbreiten und damit eine ernstzunehmende Bedrohung darstellen. Die Installation eines Virenschutzes, der in Echtzeit die Fileserver überwacht, ist deshalb auf allen File-Servern unabdingbar.

Da in einem Unternehmen normalerweise mehr File-Server als Gateway- oder Mail-Server vorhanden sind, ist hier besonderer Wert auf ein zentrales Management zu legen. Dies bietet ServerProtect durch eine dementsprechende Verwaltungskonsole, mit der bis zu 1000 File-Server auf Basis von Microsoft NT oder Novell Netware verwaltet werden können.

Verwaltung von Windows NT und Novell Netware File-Server mit Serverprotect

Auch die Arbeitsplatzrechner müssen weiterhin abgesichert werden. Durch die Zunahme von Enduser- zu Enduser-Verschlüsselung, die mit den vorher genannten Schutzsystemen nicht entschlüsselt werden kann, wird es immer notwendiger einen stets aktuellen Schutz auf den Arbeitsplatzrechnern aktiv zu haben. Probleme gibt es hier beim Ausbringen des Echtzeitschutzes und der Aktualisierung. Viele Anwender unterlaufen das Schutzkonzept, indem der Virenschutz deaktiviert oder nicht aktualisiert wird. Deshalb muss die Ausbringung und Überwachung von einer zentralen Managementkonsole erfolgen. Ebenso wichtig sind Statistiken, die aufzeigen, bei welchen Benutzern es zu Virenvorfällen kommt und mit welchen Viren das Unternehmen konfrontiert wird.

Statistik-Funktion von OfficeScan Corporate Edition

Hat man nun diese verschiedenen Schutzkomponenten installiert, bleibt das Problem der Auswertung von Virenfunden bestehen, da sich der Virenschutz über mehrere Komponenten erstreckt. Hierzu bietet sich dann das Produkt TVCS an, da damit alle Produkte zu einer logischen Einheit zusammengefasst werden können und ein ständiger Überblick gewährleistet wird. Zentrale Log-Auswertungen lassen Gefahren und Häufungen frühzeitig erkennen und organisatorische Maßnahmen können ergriffen werden.

Nach der Einführung eines mehrstufigen Schutzkonzeptes lässt sich über Monate betrachtet feststellen, dass sich die Zahl der Virenfunde verringert, da sich Viren innerhalb dieses geschützten Netzwerkes nicht mehr so effektiv verbreiten können. Zwar bleibt ein Restrisiko bei neuen Viren bestehen, allerdings sorgt die automatische Aktualisierung auch hier für hohe Sicherheit, da das Schutzsystem regelmäßig auf den neuesten Stand gebracht wird. Empfehlenswert ist hier die tägliche oder stündliche automatische Überprüfung der Aktualität.

TVCS Überblick

Nach der Implementierung der Schutzsysteme muss eine Überprüfung stattfinden. Dafür bedient man sich dann der Eicar-Testfiles, die eigentlich von allen Antivirenherstellern erkannt werden. Es handelt sich dabei nicht um Viren, also kann hiermit gefahrlos getestet werden, was zum Beispiel beim Verschicken dieser Dateien über E-Mail passiert. Die Eicar-Datei in verschiedenen, auch gepackten Formaten finden Sie unter: http://www.trendmicro.de/virinfo/eicar.html

Weiterhin sollte die Erstellung eines Notfallplanes vorgenommen werden und ein für das Unternehmen und den Hersteller verbindliches Prozedere erarbeitet werden, um im Ernstfall die Gefahr schnell und effizient bannen zu können. Das Handlungsmuster sollte im Notfall eines Virenausbruchs folgende Punkte beinhalten:

• "Ruhe bewahren" - das ist zunächst das Wichtigste bei konkretem Virenalarm. Denn oft sind es allein Panik und unüberlegtes Handeln, die den meisten Schaden verursachen.
• Sobald ein verdächtiges E-Mail (meist in englischer Sprache mit unpersönlicher Anrede) in die In-Box eingeht, oder ihr EDV-System sonst Anlass zur Virensorge gibt, dann sollte der zuständige IT-Administrator informiert werden. Er wird Maßnahmen zum Stoppen der Ausbreitung mit dem Hersteller seiner Antivirensoftware erarbeiten.
• Dann ist es an Ihrem Hersteller von Antiviren-Lösungen, möglichst schnell das passende Gegenmittel bereit zu stellen. In einem seiner weltweiten Testlabors wird der Antivirensoftware-Hersteller binnen 15 Minuten das Schutzprogramm entwerfen. Dafür ist es nötig, dass Sie dem Hersteller den Schädling senden, damit er ihn auf seine Struktur untersuchen kann. Darauf hin entwickelt er das Update der Antiviren-Software. Die Mitarbeiter in den Forschungslabors sind rund um die Uhr im Einsatz, um ihren Kunden im Ernstfall mit einem Update zur Seite zu stehen.
• Steht das Gegenmittel bereit, dann handeln Sie genau nach den Anleitungen Ihres Antiviren-Experten: Er wird sie anweisen, die verdächtigen E-Mails zu löschen und mit Ihnen den betroffenen Rechner säubern. In Kürze dürfte Ihnen Ihre EDV wieder vollständig zur Verfügung stehen.
• Unter Umständen hat der Virus einige Dateien beschädigt, während er sich auf Ihrem Rechner ausgetobt hat. Dann wird es nötig sein, diese Dateien neu zu speichern (eine wirksame Backup-Strategie ist also unabdingbar) oder Programme neu zu installieren.
• Voraussetzung für ein wirksames Schutzsystem ist natürlich die ständige Aktualisierung der Antivirensoftware über Updates aus dem Internet.

Der Autor dieses Artikels ist Raimund Genes, Vice President Sales & Marketing Trend Micro Europe und Geschäftsführer Trend Micro Deutschland. http://www.trendmicro.de