Von CW-Redakteur Martin Seiler

Fast genau zwei Jahre ist es her, dass ein winziges Programm Unternehmen rund um den Erdball in Angst und Schrecken versetzte und enorme Schäden verursachte. Bei der Post in Taiwan beispielsweise war die Software dafür verantwortlich, dass in 430 Filialen die IT streikte. Die Mitarbeiter waren gezwungen, zu Bleistift und Papier zu greifen, um Kundenwünsche zu erfüllen. Schuld an dem Desaster, das weltweit Millionen von Rechnern lahm legte und den Analysten von mi2g zufolge Schäden in Höhe von mindestens 14 Milliarden Dollar verursachte, war der Wurm "Sasser" - die Schöpfung eines 18-jährigen Schülers aus Niedersachsen.

Viele Bedrohnungen für die IT

Dabei sind Viren - oder Malware, um den allgemeineren Begriff zu gebrauchen - nicht die einzige Gefahr für die IT von Unternehmen. Gezielte Hacker-Angriffe, Computersabotage, Manipulationen von Daten und nicht zuletzt Diebstähle von Hard- und Software verursachen ebenfalls hohe Kosten. Laut "Computer Crime Survey 2005", einer Studie der amerikanischen Bundespolizei Federal Bureau of Investigation (FBI), sind Viren, Würmer und Trojaner jedoch klar die Hauptursache für Störungen der IT. Mit deutlichem Vorsprung stehen die elektronischen Schädlinge auch an erster Stelle einer weiteren Statistik, die die durch bestimmte Angriffe verursachten Schäden beziffert.

Viren sind Gefahr Nummer eins

So waren bei den mehr als 2000 durch das FBI befragten Unternehmen Infektionen mit Viren, Würmern und Trojanern mit einer Gesamtsumme von fast zwölf Millionen Dollar der Grund für weitaus höhere Verluste, als sie durch jede andere IT-Gefahr entstanden. Im Mittel belief sich der durch einen Schädlingsbefall in Unternehmen hervorgerufene wirtschaftliche Schaden auf knapp 34000 Dollar.

Warum sind diese Zahlen interessant? Weil ausgerechnet Virenschutzlösungen die am weitesten verbreitete Maßnahme zum Schutz der Unternehmens-IT darstellen. In der FBI-Studie gaben 98,2 Prozent der befragten Firmen an, entsprechende Produkte im Einsatz zu haben. Sind also Virenscanner nutzlos? "Nein", sagt Michael Silvan, Senior Consultant bei Secaron.

Der Berater sieht keinen Widerspruch darin, dass trotz der hohen Verbreitung von Antiviren-(AV-)Tools die meisten finanziellen Schäden eben durch die elektronischen Schädlinge entstehen. "Ein Virenscanner kann keine hundertprozentige Sicherheit bieten", erklärt Silvan. Der Grund hierfür liegt in der Natur der Produkte: Die Lösungen arbeiten mit Pattern, suchen also nach bekannten Viren. Prinzipiell operieren Virenscanner daher reaktiv, weswegen sie nur sehr eingeschränkt auf neue, unbekannte Bedrohungen reagieren können. Erst nach einer Aktualisierung der entsprechenden Signaturdateien sei ein zuverlässiger Schutz möglich.

Angesichts der Tatsache, dass gemäß Symantecs "Internet Security Threat Report" pro Tag etwa zehn neue Software-Schwachstellen auftauchen und rund 60 neue Viren, Würmer und Trojaner entdeckt werden, ist die Gefahr einer Infektion und einer daraus folgenden Beeinträchtigung der IT ziemlich groß. Olaf Lindner, Senior Director Symantec Security Services, beschreibt die Situation von Herstellern und Anwendern so: "60-mal pro Tag müssen Hersteller einen Impfstoff entwickeln, um eine Epidemie zu verhindern. Bis dieser zur Verfügung steht, sind Unternehmen der Gefahr ausgesetzt."

Zwangsläufig gibt es also immer einen Zeitraum, während dessen Anwender auch mit aktuellem und aktivem AV-Produkt neuen Bedrohungen schutzlos ausgeliefert sind. Die Anbieter wetteifern untereinander und versuchen, die Konkurrenz beim Erstellen von Signaturen für neue Bedrohungen abzuhängen. Obwohl es aus Sicht von Se- caron-Mann Silvan immer wieder vorkommt, dass einzelne Anbieter etwas schneller sind als die anderen, beurteilt er die Reaktionszeiten der Hersteller in Bezug auf das Entwickeln von Updates als "allgemein zufrieden stellend".

"Es ist kein Geheimnis, dass das Geschäft der Hersteller von Virenschutzlösungen zum großen Teil aus Hinterherlaufen besteht", gesteht Gernot Hacker, stellvertretender Geschäftsführer beim deutschen Antivirenspezialisten Avira. Diesen Nachteil versuche man, durch "Ausdauer und Sprintstärke" auszugleichen. Im letzten Jahr sei es etwa gelungen, im Schnitt innerhalb von zwei bis vier Stunden nach dem Eintreffen eines neuen Viren-Samples eine entsprechende Signatur zu erstellen.

Signaturen kein Allheilmittel

Um auch unbekannte Schädlinge erkennen und abblocken zu können, setzen die Hersteller zudem auf heuristische Methoden. Wie Berater Silvan erklärt, "erlaubt dies in beschränktem Rahmen, schädlichen Code zu blocken, der in seinem Aussehen oder Verhalten bekannten Viren ähnelt". Allerdings sind die Möglichkeiten der Heuristik begrenzt, was auch die Hersteller einräumen. Raimund Genes, Chief Technologist für Anti-Malware bei Trend Micro, warnt vor dem Problem von Fehlalarmen: "Das Risiko, dass harmlose Dateien fälschlicherweise für Viren gehalten und gelöscht werden, ist ziemlich hoch." Das bestätigt Andreas Lamm, Geschäftsführer von Kaspersky Lab Deutschland, demzufolge die Fehlalarmquote umso höher steigt, je schärfer die Heuristik definiert ist.

Wenn die Heuristik versagt

Welche Folgen dies haben kann, erläutert der Manager am Beispiel eines deutschen Unternehmens, das Software für eingebettete Systeme entwickelt. In einigen Fällen mussten die Programmierer dort extrem ökonomisch vorgehen und mit wenig Speicherplatz auskommen. Daher ließen sie alle nicht wirklich wichtigen Informationen, beispielsweise die Versionsnummer oder den Namen des Entwicklers, einfach weg. Die Heuristik der Kaspersky-Lösung sah aber unter anderem das als ein Indiz für möglichen Schadcode und blockte die Software folglich ab. "Gott sei Dank wurde das schnell bemerkt. Das Problem ließ sich beheben, indem wir die Programme über eine White List als unbedenklich markierten", erinnert sich Lamm.

Welchen Schaden zu scharfe Heuristiken anrichten können, zeigte sich unlängst auch am Beispiel von McAfee: Nach einem Update stufte der Viren-Scanner des Anbieters bei manuellen Virenuntersuchungen plötzlich "Excel"-Dokumente als Schädlinge ein. Je nach Konfiguration wurden die Dateien gelöscht oder in Quarantäne verschoben.

Signaturtests sind Pflicht

Vorfälle wie diese zeigen, dass es mit dem reinen Einspielen von Signatur-Updates nicht getan ist. Anwender müssen die Aktualisierungen unbedingt testen, bevor sie im Unternehmen installiert werden. Wie Avira-Manager Hacker erzählt, "testet jedes größere Unternehmen zunächst einmal die Qualität der Signaturen und kontrolliert, dass keine Konflikte mit installierten Anwendungen auftreten". Getreu dem Motto: Vertrauen ist gut, Kontrolle ist besser. Eine solche Qualitätssicherung ist vor allem dann wichtig, wenn im Unternehmen selbst entwickelte Anwendungen im Einsatz sind. Hier ist die Gefahr, dass ein Virenscanner diese ihm zwangsläufig unbekannten Programme als potenziell schädlich einstuft, besonders hoch.

Daneben können auch beim Verteilen der Aktualisierungen im Unternehmen Schwierigkeiten auftreten. Avira-Manager Hacker schätzt, dass in den meisten Firmen etwa zehn Prozent aller Rechner nicht ausreichend vor neuen Viren geschützt sind. Eine ganze Reihe von Gründen kann hierfür verantwortlich sein: So ist es möglich, dass manche Desktops zum Zeitpunkt der Aktualisierung nicht angeschaltet waren, Mitarbeiter mit ihrem Laptop außer Haus waren, ein Update-Server gestreikt hat oder das Netz nicht verfügbar war. "Viele Unternehmen haben durchaus ein Problem damit, Signaturen im Netz zu verteilen", weiß der Manager.

Trügerische Sicherheit

Genes von Trend Micro kritisiert generell eine "mangelnde Sorgfalt" der Unternehmen bei der Wartung ihrer Virenschutzlösungen. Besonders kleine und mittelständische Firmen pflegen seiner Meinung nach die Produkte nicht ausreichend. Das führe zu einem trügerischen Sicherheitsgefühl: Nachdem Firmen AV-Lösungen angeschafft haben, verlassen sie sich ausschließlich darauf. Das kann im Extremfall so aussehen, dass sie "nicht nur keine neuen Signaturen, sondern auch keine Produkt-Updates einspielen", moniert der Fachmann.

Er berichtet, dass immer wieder Lizenzen für den Virenschutz auslaufen, ohne dass die Unternehmen das bemerken. Während einer gewissen Kulanzzeit liefert Trend Micro zwar weiterhin Signatur-Updates für den Virenschutz, doch irgendwann sei auch damit Schluss.

Damit es nicht so weit kommt, müssen Unternehmen sich regelmäßig um ihre AV-Lösungen kümmern. "Solange der zuständige Administrator Bescheid weiß und erklären kann, warum bestimmte Rechner nicht auf dem aktuellsten Stand sind, ist das nicht weiter tragisch", findet Hacker. Im Rahmen einer Risikobewertung könne man sich dann immer noch Gedanken machen, ob es den Aufwand lohnt, für einen entsprechenden Schutz sämtlicher Systeme zu sorgen. Dafür benötigen die Unternehmen jedoch geeignete Tools, die ihnen das Verwalten und Überwachen ihrer Antivirensysteme erleichtern.

Hier sind die Hersteller in der Pflicht: Genes räumt ein, dass die Administration von AV-Proukten "einigen Aufwand" bedeutet: Man müsse sich zum Teil "schon sehr gut auskennen, um eine entsprechende Lösung zu verwalten". Die Anbieter sollten mehr tun, um ihre Produkte einfacher zu gestalten. In den Lösungen für mittelständische Unternehmen habe man bereits Maßnahmen in diese Richtung ergriffen: Hier zeigen Ampelsymbole dem Administrator den Zustand seiner Systeme an.

Am Gateway anfangen

Um das Risiko finanzieller Schäden infolge einer Vireninfektion möglichst gering zu halten, tun Unternehmen gut daran, ein mehrstufiges Antivirenkonzept umzusetzen. Diese Vorgehensweise empfiehlt auch Secaron, wie Sicherheitsberater Silvan berichtet. Dem Experten zufolge ist dabei beim Gateway anzufangen, das die Unternehmensgrenze absichert. Er rät, "idealerweise mehrere Scan-Engines zu nutzen, denn nicht alle Hersteller reagieren gleich schnell und erkennen Viren mit der gleichen Zuverlässigkeit".

Das reiche jedoch nicht aus, was unter anderem an dem zunehmenden Einsatz von E-Mail-Verschlüsselung liege, gegen die ein Viren-Scanner am Gateway machtlos ist. "Aus diesem Grund muss unbedingt zusätzlich eine AV-Komponente auf den Clients vorhanden sein", rät Silvan. Das sei auch notwendig, um die PCs vor dem Einschleusen von Viren über CDs oder USB-Sticks zu schützen.

Wenn möglich, sollten Virenscanner daneben auch auf den E-Mail- und File-Servern vorhanden sein, also den Punkten, die für die Verbreitung elektronischer Schädlinge geeignet sind. Lindner von Symantec weist auf weitere Einzelbereiche hin: Je nach Unternehmen sollte der Einsatz spezieller Scan-Engines in Gebieten wie Datenbanken oder Storage Area Networks (SANs) in Betracht gezogen werden.

Zusätzlich empfehlen sich flankierende technische Maßnahmen wie der Einsatz eines Intrusion-Detection-Systems (IDS). Damit ist es möglich, Viren und Würmer anhand ihres Verhaltens zu erkennen und zu blocken. "Derartige Lösungen sind jedoch alles andere als einfach und erfordern einigen Aufwand", warnt Silvan vor zu viel Optimismus. Er hält es daher für weitaus wichtiger, einen vernünftigen Patch-Management-Prozess einzuführen, der Unternehmen dabei hilft, Schwachstellen schnell zu erkennen und zu beseitigen. Der Berater verweist auf den SQL-Slammer-Wurm: Hätten Unternehmen die von diesem ausgenutzte und schon länger bekannte Schwachstelle rechtzeitig geschlossen, hätte sich der Schädling nie so weit verbreiten können.

Zu guter Letzt gilt es, auch nichttechnische Aspekte zu beach- ten. Dazu zählen etwa das klare Definieren von Prozessen und das eindeutige Zuordnen von Verantwortlichkeiten, aber auch die Information und die Sensi- bilisierung der Mitarbeiter. "Leider sind die Angestellten häu- fig die größte Schwachstelle", stellt Silvan fest. Für ihn gehört daher zu einem Virenschutz- konzept unbedingt dazu, dass den Mitarbeitern gesagt wird, wo konkrete Gefahren lauern und dass sie "nicht auf alles drauf- klicken dürfen". Hilfreich seien entsprechende Sicherheitsrichtlinien, die jedoch auch konsequent durchgesetzt werden müssten. Dazu gehöre natürlich auch, Verstöße zu ahnden.

Absolute Sicherheit unmöglich

Einige Unternehmen scheinen begriffen zu haben, worauf es beim Virenschutz ankommt. Wie Symantec-Mann Lindner berichtet, weist der Hersteller in Gesprächen mit Anwendern darauf hin, dass sie keinen hundertprozentigen Schutz erwarten können. Großen Firmen müsse man das jedoch nicht extra klar machen, denn sie "sind realistisch und können die Lage gut einschätzen".