Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.03.2001 - 

Jahreskonferenz des European Institute for Computer Anti-Virus Research

Virenschutz: Von Commodity keine Spur

MÜNCHEN (sra) - Tipps zur Verbesserung des Virenschutzes in Unternehmen standen im Mittelpunkt der 10. Jahreskonferenz des European Institute for Computer Anti-Virus Research (Eicar). Auf großes Interesse stieß beispielsweise ein Vortrag über die Realisierung eines mehrstufigen Schutzkonzepts beim Flugzeughersteller Boeing.

Da Boeing auch militärische Fluggeräte produziert, sind Angriffe auf die DV-Systeme des Unternehmens keine Seltenheit. An einem normalen Tag schlägt der interne Virenschutz des globalen Konzerns durchschnittlich 1000-mal Alarm. Während der Loveletter-Virus kursierte, schnellte diese Zahl noch um ein Vielfaches in die Höhe. Wenn Viren auftreten, werden die E-Mail-Ein- und Ausgänge isoliert, bis eine Risikoabschätzung vorliegt. Für jede Mailbox findet eine Untersuchung auf Infektionen statt.

Nicht nur Stress

Immerhin kann Jeanette Jarvis, zuständig für den Schutz der Infrastruktur und der Desktops bei Boeing, dieser Belastung auch positive Seiten abgewinnen: Virenbefälle lockern das Geld in den Taschen der Geschäftsführung für entsprechende Projekte. Außerdem führen sie den Benutzern vor Augen, warum es sinnvoll ist, sich zu schützen. Dem IT-Bereich ermöglichen sie eine Verbesserung der vorhandenen Infrastruktur.

Um von Viren verschont zu bleiben, verlässt sich Boeing auf eine mehrstufige Sicherung. Die erste Stufe besteht aus der selbst entwickelten Software "Spamjam", die ursprünglich zur Abwehr von unerwünschtem Mail-Müll gedacht war. Inzwischen dient sie auch dem Schutz vor Viren und Würmern. Die Software filtert Mails aus, die verdächtige Ausdrücke enthalten (etwa einen Anhang, wie er für den Anna-Kournikova-Virus typisch ist). Allerdings hat diese Methode einen Schönheitsfehler: Es werden gelegentlich Meldungen blockiert, die in Wirklichkeit harmlos sind. Einen zweiten Schutzwall hinter Spamjam bilden die "Messaging Backbone Anti-Virus (AV) Server", die den gesamten E-Mail-Verkehr in beiden Richtungen durchleuchten. Dies erhöht zwar das Wissen darüber, welche Viren ertappt werden, aber es gibt noch Probleme mit den Musterdateien, die der Hersteller liefert: Diese müssten vor der Veröffentlichung einer strengeren Qualitätskontrolle unterzogen werden.

Weitere AV-Produkte befinden sich auf den Exchange- und NT-File-Resource-Servern sowie den Desktops. Auf den rund 2000 NT-File-Resource-Servern des globalen Konzerns laufen verschiedene AV-Produkte.

Auf dem Wunschzettel für die Zukunft steht daher eine einzige AV für jede Plattform ganz oben, gefolgt von möglichst häufigen automatischen Updates der Virendefinitionen und einem zentralen Server-Management für alle AV-Produkte. Ebenso würde eine einheitliche Nomenklatur für Viren über verschiedene Virenschutzprogramme hinweg helfen.

Das Beispiel von Boeing zeigt, dass sich selbst ein durchdachtes Virenschutzkonzept immer noch weiterentwickeln und verbessern lässt. Zudem unterscheiden sich die Hersteller stark voneinander. In der Praxis gibt nicht die Virenerkennungsrate allein den Ausschlag. Auch die Musterdateien weichen in ihrer Qualität voneinander ab, der Umgang mit multiplen Infektionen sowie der Support durch den Anbieter im Krisenfall ist verschieden, die Websites für den Download von AV-Software nicht gleich übersichtlich.

Ein Problem, das leicht übersehen wird, betrifft die Zuverlässigkeit von AV-Produkten. Manche Virenscanner enthalten Softwarefehler oder behindern sich gegenseitig. Es können auch Schwierigkeiten mit dem User Interface auftreten oder von mangelnder Aufmerksamkeit für Details herrühren. Randy Abrams, Release Antivirus Specialist bei Microsoft, testet Antivirensoftware auf solche Fehler. Dazu benutzt er Eicar-Testdateien sowie eine Diskette mit einem Bootsektorvirus. Beispielsweise kommt es vor, dass ein AV-Produkt nicht alle Verzeichnisse scannt. Dabei handelt es sich laut Abrams um einen Softwarefehler.

Trend

Als mögliche Trends im Bereich Virenschutz identifizierten Sprecher der Eicar-Konferenz die Ergänzung von Antivirensoftware durch Behavior Blocker und Intrusion-Detection-Systeme (IDS) sowie eine steigende Bedeutung von Linux-, Visual-Basic-Script-(VBS-) und mobile Viren. Behavior Blocker sind Werkzeuge, die die Einhaltung von Sicherheits-Policies überwachen und erzwingen, zum Beispiel bei Software-Downloads aus dem Internet. Sie offerieren einen gewissen Schutz vor unbekannten Virentypen, erlauben jedoch keine konkrete Bestimmung. Ähnliches gilt für die Virenerkennung über IDS.

Zu Virentypen, auf die Anwender künftig ihr Augenmerk richten sollten, gehören etwa Linux-Viren. Die Verbreitung von Linux hat mittlerweile eine kritische Masse erreicht - im Internet basieren mehr als ein Viertel der Server auf dem Betriebssystem. Damit steigt auch die Gefahr, zum Ziel von Angriffen zu werden. Auch der Loveletter-Virus lässt sich den Angaben zufolge leicht auf Unix-Systeme portieren. Des Weiteren sind Linux-Office-Suites nicht vor Word-Makroviren gefeit. Zum Beispiel hat "Star Office" ein ähnliches Benutzerinterface wie Microsoft Office und kann Word-Dokumente importieren.

Ungemach droht außerdem möglicherweise von Viren für mobile Endgeräte wie Handys oder Handhelds oder von VBS-Viren. Die bisherigen Angriffe auf Mobiltelefone gingen nicht auf echte Viren zurück. Stattgefunden haben bereits Denial-of-Service-Attacken mit Hilfe von SMS-Nachrichten und falsch formatierten Websites. Der so genannte Nokia-WAP-Handy-Virus setzt zwar das Telefon außer Gefecht, nutzt aber im Grunde einen Fehler des Handys aus.

VBS-Viren gibt es nicht erst seit gestern. Sie sind einfach zu lesen, zu schreiben und zu verändern. Daher dürfte ihre Verbreitung noch zunehmen. Versehentliche und absichtliche Veränderungen stellen bei diesem Virentyp eine besondere Herausforderung dar. Dass auf den Desktop und mobilen Rechnern eine Vielfalt von Betriebssystemen existiert, erschwert einen einheitlichen Schutz zusätzlich. Daher bewegen sich viele AV-Hersteller von der exakten Erkennung von Viren weg, hin zu neuen Methoden, die auch Variationen erkennen sollen.

Eavep-Initiative

In Anbetracht der zunehmenden Bedrohung durch Computerviren und anderen bösartigen Code sowie eingeschränkter technischer Schutzmechanismen und unzulänglicher Gesetze hat Eicar das Eicar Anti Virus Enhancement Program (Eavep) ins Leben gerufen. Dieses Forschungsprogramm besteht aus einer Umfrage zur Datenerhebung sowie einer Datenanalyse. Die Umfrage soll die wirklichen Bedürfnisse der Anwender im privaten und Unternehmensbereich klären. Erhobene Daten werden ausgewertet, um Rückschlüsse und Empfehlungen für Verbesserungen im Bereich der Virenbekämpfung zu erarbeiten. Organisationen wie die Association of Anti Virus Asia (Avar), die Japanese IT Promotion Agency (IPA), die US International Computer Security Association (Icsa) und die Wildlist Organisation (WLO) sowie Forscher verschiedener Universitäten und Hersteller von AV-Produkten unterstützen die Initiative. Weitere Informationen finden Sie unter http://www.eicar.org.