Virus Test Center (VTC) der Universität
Hamburg regelmäßig Tests von AV-Produkten, die im
Rahmen eines Hauptstudiums-Curriculums zur Rechnersicherheit
primär zu Ausbildungszielen durchgeführt werden.Ein Allheilmittel oder undurchdringlicher Abwehrschirm ist Anti-Viren-(AV)-Software zwar nicht, aber genau wie ein Sicherheitsgurt kann sie im Notfall – besonders bei "Bagatellunfällen" – einen wertvollen Beitrag zur Schadensverhütung oder -minderung leisten. Um einen anderen Vergleich zu bemühen sollte sie normalerweise unaufällig und ohne zu stören im Hintergrund bleiben, wie der griffbereite Feuerlöscher in der Zimmerecke. Genau wie dieser erfordert AV-Software aber dennoch regelmäßige Wartung, damit sie im Gefahrenfall auch einsatzbereit ist.
Oftmals erfährt der Virenschutz, möglicherweise wegen seiner mangelnden strategischen Bedeutung, nur geringe Beachtung bei Auswahl, Einsatzplanung und Betrieb. Das kann sich durch störende Seiteneffekte, erheblichen Administrationsaufwand oder schlichte Untauglichkeit rächen. In Anbetracht der Flut von Viren, Mailwürmern und Trojanern mit teilweise gravierenden Sabotageeffekten sollte man solches Handeln sorgsam überdenken und von der Auswahl der Software über ihre Einrichtung bis hin zum Normal- und Notfallbetrieb planmäßig vorgehen.
An erster Stelle steht bei der Auswahl von Virenschutzprogrammen das Sicherheitskonzept des Unternehmens. In dieses Konzept sollte sich die Software einfügen, nach Möglichkeit in Abstimmung mit anderen Sicherheitsmaßnahmen wie der Firewall, der Verschlüsselung oder regelbasierenden Systemen wie Content Filtering. Dazu muss man zunächst die eigene Gefährdung und den Schutzbedarf unter Einbeziehung der Anforderungen der nahen Zukunft feststellen und nach Möglichkeit ein firmeneigenes abgestimmtes Sicherheitspaket entwickeln. Firmen mit freizügigem Internetzugang sollten beispielsweise zusätzliche Schutzmaßnahmen wie Personal Firewalls auf den PCs erwägen. Die Abwehr destruktiver Applets und Skripte auf Webseiten kann jedoch auch Bestandteil einer Anti-Virensoftware sein.
Eine fatale Scheinsicherheit entsteht, wenn in bester Absicht letztlich doch nur Produkte von Marktführern wahllos zusammengekauft werden und man damit der Unternehmensleitung suggeriert, alles Notwendige für die Sicherheit sei getan. Ebenso fatal kann sich ein unheilvolles Vertrauen auf den installierten Schutzschild bei nicht hinreichend geschulten Mitarbeitern auswirken, wenn diese sorglos – es ist ja ein Schutz vorhanden – E-Mail-Attachments öffnen oder Programme aus News-Foren oder von fragwürdigen Webseiten starten.
----------Anfang Textkasten----------
Die meisten AV-Programme haben bei der Erkennung von Trojanischen Pferden und insbesondere von Hintertürprogrammen (Backdoor Trojans) noch gewaltige Lücken. AV-Anbieter erklären das bisweilen mit "AOL-Passwort-Sniffern, die im Firmenumfeld keine Bedeutung haben" oder führen an, dass sich der eine oder andere Hintertürserver wie NetBus auch als Netzwerk-Management-Shareware verkauft, die man nicht pauschal verbannen könne, ohne Regressansprüche befürchten zu müssen – vielleicht können sie auch nur nicht Schritt halten mit der rasanten Verbreitung solcher Programme. Wie auch immer die Begründung lautet: Gerade gegen die gefährlichen Hintertür-Server bieten die meisten aktuellen AV-Programme keinen ausreichenden Schutz; dabei können diese Backdoor Trojans je nach Internetberechtigung von Mitarbeitern auch durch Firewalls hindurch das gesamte Firmen-Intranet kompromittieren.
----------Ende Textkasten----------
Man kann es gar nicht oft genug wiederholen: Neben der Planung der eigenen Sicherheitspolitik muss in der Folgezeit auch eine fortwährende Koordinierung, Kontrolle und Überprüfung des Konzeptes, seiner Akzeptanz und Effizienz stattfinden.
Viren und Trojaner können an vielen Stellen angreifen: beispielsweise aus dem Internet, per E-Mail, über Word-Dokumente, die per Diskette ins Unternehmen kommen, aber auch durch Originalsoftware und "Heft-CDs" von Magazinen. Ebenso vielfältig sind die Ansatzpunkte für Gegenmaßnahmen:
Während in früheren Jahren der Schutz von PCs und Fileservern ausreichend war, sollte man spätestens seit dem massiven Auftreten von Mailwürmern wie Melissa und Loveletter auch das Messaging in das Virenschutzkonzept einbeziehen. In Anbetracht der vielfältigen Bedrohungen und Fehlermöglichkeiten ist ein mehrschichtiges Sicherheitsmodell empfehlenswert. Dabei sollten sich die Sicherheitsschichten wie "Zwiebelschalen" um die Assets des Unternehmens legen und gewährleisten, das bei Ausfall einer Komponente die nächste Schicht die Bedrohung abwehrt oder zumindest den Schaden begrenzt. Dies ist meist nur mit Produkten verschiedener Hersteller auf verschiedenen Plattformen realisierbar.
Bestandteil der Sicherheitspolitik sollte zudem ein aktives Sicherheits- und Notfallmanagement sein, das im Krisenfall die im Voraus geplanten richtigen Maßnahmen einleitet und nicht erst anfängt nachzudenken, wenn der Stress am Größten ist.
Oft genug bleibt es lediglich bei der Auswertung von Testberichten aus Fachzeitschriften und kurzen Produktevaluierungen von wenigen Tagen oder gar Stunden auf eigens eingerichteten Rechnern. Viele Probleme zeigen sich jedoch erst nach geraumer Betriebsdauer (z. B. Logfile-Größen, Instabilität oder Inkompatibilität mit selten laufenden Tasks). Eine sorgfältige Vorauswahl kann das Feld möglicher Lösungen deutlich eingrenzen, wodurch später mehr Zeit pro Produkt für ausgiebige Tests bleibt. Hierzu empfiehlt sich folgender Ablauf:
Erstellen Sie vor den weiteren Auswahlschritten eine Anforderungsliste mit MUSS-, SOLL- und KANN-Eigenschaften, die natürlich im Laufe des Auswahlprozesses aktualisiert werden darf. Diese Aktualisierung sollte jedoch keinesfalls vom Vertriebsbeauftragten eines Anbieters ausgehen. Zu den Anforderungen zählen neben den zu schützenden Betriebssystemplattformen auch die Gestaltung der zentralen Administration und die Funktionalitäten gegen die verschiedenen Bedrohungen (Integration in Mailserver, Firewalls usw.).
Legen Sie nach Möglichkeit frühzeitig fest, ob Sie sich nur auf die Produktpalette eines Herstellers verlassen wollen oder ob Sie die Expertise von zwei oder mehr Herstellern kombinieren möchten.
Viele Unternehmen betreiben mit großem Erfolg ein Multi-Vendor/Multi-Layer-Schutzkonzept, das Software verschiedener Hersteller zu hintereinander angeordneten Verteidigungswällen kombiniert. Ein derartiges Modell eignet sich etwa ab 200 zu schützenden Arbeitsplätzen oder bei erhöhten Sicherheitsanforderungen.
Bei einer Multi-Layer/Multi-Vendor-Absicherung haben sich auf PCs oft Produkte kleinerer Anbieter bewährt. Häufig verkaufen europäische Distributoren oder Hersteller sehr gute PC-AV-Software zu moderaten Preisen. Festzustellen ist aber leider immer wieder, dass neue Betriebssysteme und komplexe Umgebungen den Support und die Entwicklung kleinerer Unternehmen überfordern. Daher ist es meist eine gute Wahl zumindest für die Server- und Mailsysteme ein namhaftes Weltprodukt einzusetzen. Deren Anbieter werden allem Anschein nach von den Herstellern (beispielsweise Novell) besser unterstützt und haben zudem eine größere Entwicklermannschaft, um auf Neuerungen zu reagieren.
Vergleichstests in allgemeinen Computerzeitschriften zielen meist auf Leserkreise, die andere Interessen haben als Anwender in Unternehmen. Daher fehlen normalerweise Kriterien wie Administration und Verfügbarkeit für verschiedene Client- und Serverbetriebssysteme. Nachteilig wirkt sich oft auch die subjektive Bearbeitung durch die Redaktionen der Zeitschriften aus.
Wer sich umfassende Vergleiche ansehen möchte, die sich in
neutraler "Rohform" befinden, der kann im Internet auf
unabhängige Tests zurückgreifen; allerdings zum Preis der
eigenen Aufbereitung beziehungsweise Auswertung. Bereits seit
einigen Jahren veröffentlicht das Virus Test Center (VTC) der Universität
Hamburg regelmäßig Tests von AV-Produkten, die im
Rahmen eines Hauptstudiums-Curriculums zur Rechnersicherheit
primär zu Ausbildungszielen durchgeführt werden.
Seit Anfang 2000 veranstaltet zudem die Universität
Magdeburg in Kooperation mit der GEGA IT-Solutions ebenfalls AV-Tests. Die
Finanzierung erfolgt dabei durch Teilnahmegebühren der
Softwareindustrie. Für Firmen besonders interessant sind die
dort durchgeführten Client/Server-Tests und die damit
verbundenen Marktübersichten. Auch für die Übersichtstabelle zu diesem
Beitrag hat die KES-Redaktion die Ergebnisse von AV-Test.de
genutzt. Da die vollständigen Tabellen in Papierform leicht
40–50 DIN A4-Seiten füllen und daher kaum noch zu
überblicken sind, druckt die KES nur einen "Kompass" mit
Bewertungen und einen kleinen Auszug aus den
Funktionsübersichten ab. Auf der KES-Website ermöglicht
jedoch eine speziell aufbereitete Version eigenständige
Online-Analysen – dort werden auch die so wichtigen Details
zur zentralen Administration ergänzt, sobald die Erhebung
durch GEGA abgeschlossen ist.
Boot-, Datei-, Makro- und Skriptviren erkennen alle Produkte im
Zoo-Test zu über 90 %. Große Unterschiede und
Mankos gibt es aber bei der Erkennung von polymorphen Viren und vor
allem von Malware.
Nachdem man sich einen Überblick über die geeigneten Produkte verschafft hat, sollten ursprüngliche Anforderungen und Produkteigenschaften abgeglichen werden. Zudem sollte man das eventuell modifizierte Sicherheitskonzept auf Schwachstellen hin analysieren: Erfasst es im Zusammenspiel mit den Kandidaten alle Bedrohungen wie Viren, Trojaner, Würmer, destruktive Applets oder Denial of Service Attacks (DoS)?
Testinstallationen im eigenen Betriebsumfeld sind unerlässlich, um die tatsächliche Eignung vor Ort nachzuweisen. AV-Software greift meist tief in das System ein. Daher empfiehlt es sich, von dem Testsystem vor dem Aufspielen ein sorgfältiges Backup anzulegen, um bei Problemen den vorherigen Status einfach wiederherstellen zu können. Mehrere AV-Lösungen auf demselben System können sich zudem leicht in die Quere kommen, weswegen kein paralleler Testlauf auf einem PC möglich ist. Nach der ersten Evaluierung sollte nach Möglichkeit ein Betriebstest in einem überschaubaren realen Betriebsumfeld, zum Beispiel in einer Zweigstelle, erfolgen.
Testläufe zur Virenerkennung sollten dabei keinesfalls mit
"scharfen" Samples erfolgen: Zum risikofreien Ausprobieren gibt es
den EICAR-"Testvirus", der sich weder
verbreitet noch Schaden anrichtet. Es handelt sich dabei lediglich
um ein 69 Byte langes Minimal-COM-Programm, das beim Start
einen kurzen Identifikationstext ausgibt. Jede gute AV-Software
führt diesen harmlosen Code jedoch als Virus und sollte mit
allen konfigurierten Maßnahmen darauf reagieren.
Updates der Virendefinitionen sind wesentlicher Bestandteil der Produktmerkmale. Sie sollten ohne weiteres frei im Internet verfügbar sein und mindestens zweimal pro Woche aktualisiert werden. Der Analyse- und Updateservice für eingereichte neue Viren sollte auch am Wochenende arbeiten. Gute Anbieter liefern ohne Zusatzkosten in weniger als vier Stunden virenspezifische Updates – und dies auch am Wochenende, an Feiertagen und über Nacht. Oftmals erfordert ein solcher Service, insbesondere bei US-Herstellern, aber auch kostspielige Zusatzverträge.
Häufige Upgrades der eigentlichen Programme sind nicht unbedingt als Vorteil, sondern eher als zu vermeidender Aufwand anzusehen. Nur wenn Updates und Upgrades einfach, schnell und unkompliziert durchzuführen sind, dann ist das Produkt gut durchdacht. Bei vielen verteilten Clients sollte unbedingt eine zentrale Update-Steuerung vorliegen. Wenn jede Installation einzeln Megabyte-schwere Updates aus dem Internet holt, kann das eine nennenswerte und zudem sinnlose Netzwerklast verursachen; zudem ist dabei kaum eine Kontrolle der Update-Policy möglich. Der Administration der Produkte kommt in Zeiten immer kürzerer Updatezyklen und schnellerer Reaktionszeiten erhöhte Bedeutung zu. Die Unterstützung der Softwareverteilung und des Systemmanagements durch SMS oder Tivoli kann ein großer Vorteil sein.
In kaum einem anderen Bereich gibt es so "einfallsreiche" Nutzungsbedingungen wie bei der Anti-Viren-Software. Vor dem Kauf oft unbeachtet geblieben können solche Lizenbedingungen bei der nachträglichen Lektüre des Schutzhüllenvertrages nicht selten zu unerfreulichen Überraschungen führen. Der wesentliche Unterschied zu Standardsoftware in anderen Bereichen besteht darin, dass der Hersteller tägliche Aktualisierungen seiner Software für die neuen Viren durchführen muss. Daher zahlt der Kunde eigentlich mehr für die permanente Aktualisierung als für den Programmcode. Hinzu kommt, dass die Anbieter die Virendefinitionsdateien meist zum freien Download im Internet bereitstellen müssen und die eigenen Interessen daher nur über die Vertragsbedingungen wahren können. Leider kommt es, insbesondere bei der Übernahme ausländischer Lizenzbedingungen, oft zu obskuren Einsatzbedingungen, deren Rechtsverbindlichkeit in Deutschland manchmal anzuzweifeln ist.
Die Preismodelle sind sehr unterschiedlich. Nur wenn man ein dediziertes Angebot von mehreren Anbietern für das eigene Unternehmen anfordert, kann man objektiv vergleichen. Dabei dürfte es kein Geheimnis sein, dass sich größere Unternehmenskunden kaum an den Listenpreisen orientieren müssen. Achten Sie insbesondere bei Support und Update auf die Vergleichbarkeit der Angebote.
Manche Produkte darf man zwar "ewig" verwenden, aber nach Ablauf der Vertragsdauer nicht mehr aktualisieren, was sie faktisch nutzlos macht. Bei anderen differieren die Retail- und die Corporate-Lizenzbedingungen und bei Subskription-Lizenzen müssen Kunden die Software nach Ablauf der Nutzungsdauer deinstallieren, wenn keine Relizensierung erfolgt. Vorsicht ist geboten bei Angeboten von Distributoren und Händlern: In vielen Fällen geben diese, meist in Unkenntnis der Besonderheiten, falsche Auskünfte zu den Nutzungsbedingungen. Prüfen Sie vor dem Kauf die Originalverträge und fragen Sie in Zweifelsfällen direkt beim Hersteller nach. Oft ist es zudem möglich, günstige Zusatzbedingungen zu vereinbaren, etwa eine kostenlose Nutzung der Anti-Viren-Software durch Mitarbeiter auf privaten PCs. Das sollte – wie immer bei Verträgen – unbedingt schriftlich fixiert werden.
In zunehmendem Maße fordern die Anbieter für den qualifizierten Anwendungs- und Virennotfallsupport zusätzliche Gebühren. Prüfen Sie die Supportzusagen Ihres Händlers oder Softwareherstellers genau. Unter dem Strich kann ein scheinbar teurer deutscher Anbieter mit einem exzellenten Support ohne Zusatzkosten preiswerter sein als ein amerikanischer Hersteller, der günstig verkauft, aber teure Support-Modelle forciert und ansonsten seine Kunden hängen lässt. Englischsprachige Support-Datenbanken im Internet bieten außerdem oft keine Lösung für deutschsprachige Programmversionen.
Achten Sie auf kundenfreundliche Updatezusicherungen und finden Sie heraus, welchen Service der Anbieter für welchen (Zusatz-)Preis erbringt. Berücksichtigen Sie die eigene Ersparnis, wenn Sie automatische Updates auf gesichertem Wege direkt auf Ihre Systeme verteilen können.
Meist werden die Betriebskosten (u. a. eigener Aufwand für Installation, Support und Schulung) unter den firmenspezifischen Randbedingungen unberücksichtigt gelassen. Kalkulieren Sie bitte welchen administrativen Aufwand die Produkte voraussichtlich für den Betrieb erfordern. Auch Produkte mit automatisierten Internetupdates erfordern einen nicht zu vernachlässigenden Überwachungsaufwand.
Weitere Aspekte bei der Auswahl sollten durchaus auch positive oder negative Erfahrungen mit bisherigen Produkten des Herstellers sein, gegebenenfalls lohnt es sich, Erfahrungen von befreundeten Unternehmen einzuholen. Strategische Überlegungen für den Einsatz weiterer Produkte des AV-Software-Herstellers können zudem Synergieeffekte oder Kostenvorteile bewirken.
Auch wenn AV-Software preiswert sein mag und ein späterer Wechsel zunächst einfach erscheint, so gibt es doch nennenswerte Folgekosten bei einer Migration wie Aufwand für die Neuschulung von Supportmitarbeitern, Anpassung von Dokumentationen, Notfallplänen usw.
Bei einer methodischen Entscheidungsfindung für Anti-Virenprodukte profitiert man zudem nicht nur vom Ergebnis, sondern auch von der damit verbundenen Überprüfung und gegebenenfalls Verbesserung der Sicherheitsstrategie. Daher kann man jedem Unternehmen nur empfehlen, einen strukturierten Auswahlprozess und eine gut geplante Entscheidungsfindung in aller Ruhe durchzuführen.
Klaus-Dieter Möller ist Security Consultant
bei der Triaton
GmbH, Frankfurt. Ferner ist er Chairman der EICAR Arbeitsgruppe
"Anti Virus Practise" ( European Institute for Computer Anti-Virus
Research).
----------Anfang Textkasten----------
Umfangreiche Tabellen, die sich über zig DIN A4-Seiten
erstrecken, lassen sich kaum noch überblicken. humanIT, ein Spin-off Unternehmen des GMD
– Forschungszentrum Informationstechnik, hat ein Tool
entwickelt, das die Selektion passender Einträge aus
großen Tabellen drastisch vereinfacht. InfoZoom gibt es
sowohl als Stand-alone-Programm mit umfangreichen
Datenbankschnittstellen als auch in Form eines Java-Applets, das
die Nutzung "fertiger" InfoZoom-Dokumente im Web-Browser
ermöglicht. Mithilfe dieses Applets stellt KES mit der
Online-Version dieses Artikels eine erheblich umfassendere
AV-Test-Tabelle zur Verfügung, die eine individuelle Analyse
ermöglicht.
Die InfoZoom-Software sortiert dabei zunächst in einem Übersichtsmodus alle Zeilen unabhängig voneinander nach ihren Werten. Der Zusammenhang der Spalten geht hierbei zunächst verloren, andererseits lassen sich aber alle Wertebereiche der Zeilen unmittelbar erfassen: Man sieht beispielsweise auf einen Blick, ob es AV-Programme gibt, die bestimmte Kategorien von Viren 100%ig erkennen oder wieviel Zeit die Programme für den Scan eines Referenz-Systems benötigen. Außerdem erhält der Benutzer einen Überblick über die Werteverteilung, da die Zusammenfassung gleicher Werte in proportionaler Breite zur Häufigkeit ihres Auftretens erfolgt.
InfoZoom sortiert in der Übersichtsdarstellung die Inhalte
aller Zeilen unabhängig von der Spaltenzugehörigkeit. Ein
Klick auf einen Wert oder Wertebereich beschränkt die
Darstellung auf passende Objekte.
Im Übersichtsmodus kann der Nutzer nun die für ihn besonders wichtigen Eigenschaften einfach per Mausklick selektieren und damit die Tabelle auf Produkte beschränken, die für ihn in Frage kommen. InfoZoom entfernt alle "uninteressanten" Spalten aus der Tabelle und berechnet für den Rest eine neue Übersicht. Dabei sind sowohl positive Anforderungen ("Zoom in") als auch negative Kriterien ("Ausschließen") möglich, etwa der Ausschluss aller Produkte oberhalb eines Preislimits.
Selektionskriterien sind rot markiert. Auch negative Selektionen
sind durch den Ausschluss von Wertebereichen möglich; die
zugehörigen Zeilen markiert InfoZoom anschließend
blau.
Nach Erreichen einer bestimmten Spaltenzahl oder auf Wunsch wechselt InfoZoom in die "komprimierte" Darstellung, welche die verbleibenden Tabelleneinträge in gewohnter Weise anzeigt. Hier sind weiterhin Selektionen möglich, außerdem kann der Benutzer die Tabelle anhand beliebiger Zeilen sortieren lassen.
Die komprimierte Darstellung zeigt eine gewohnte Tabelle, die
sich nach beliebigen Zeileninhalten sortieren lässt (hier nach
Erkennung "sonstiger Malware"). Selektionen sind weiterhin
möglich.
Im Beispiel hat der Nutzer durch Vorgabe von drei Kriterien (100%
ITW-Makrovirenerkennung, Scandauer nicht über 3 Minuten,
RAR-Unterstützung) 15 Produkte auf vier Kandidaten
eingegrenzt.
InfoZoom eignet sich außer für klassische Tabellen
auch zur Auswertung von Protokolldateien. Auf der SYSTEMS hat
humanIT InfoZoom 4 PATROL angekündigt, mit dem Administratoren
die Event-Meldungen von PATROL-Agenten der
System-Management-Lösung PATROL von BMC
Software auswerten können.
----------Ende Textkasten----------
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 74
