Klemens Baumgärtel ist Mitarbeiter der Alldata Unternehmensberatung GmbH, einem Unternehmen im Alldata-Verbund. Er leitet den Bereich PWS/Netze in Düsseldorf. Schwachstellen in Computersystemen haben schon immer eine Anziehung auf Freaks und subversive Programmierer ausgeübt. Da ein PC herstellerseitig fast keinen Systemschutz bietet, führte die weite Verbreitung dieses Rechnertyps zwangsläufig auch zur Verbreitung von Viren. Neue Techniken zum Systemschutz sind notwendig geworden.

Trotz des großen Medienspektakels um Michelangelo sind viele PC-Anwender Viren gegenüber bemerkenswert unbekümmert. Erst nach dem ersten Befall werden in der Regel präventive Schutzmaßnahmen eingeleitet. Dabei werden die durch Viren drohenden Gefahren auch heute noch erheblich unterschätzt. Neben der Software (Anwendungen und Daten) sind auch Netzwerkfunktionen und Teile der Systemhardware betroffen (Bildschirme, Festplatten etc.). Die Schäden erreichen hierbei leicht Größenordnungen von 10 000 Mark und mehr.

Verteilte Anwendungen bieten Angriffsfläche

Es gibt immer intelligentere Viren, ständig kommen neue dazu, und nicht zuletzt durch die raffinierten Mutationen bereits bekannter Viren stellt sich für den professionellen PC-Anwender in unternehmensweiten Netzwerken die Frage, ob die herkömmlichen, historisch gewachsenen Präventivmaßnahmen aus technischer, organisatorischer und humaner Sicht möglichen Angriffen werden standhalten können (zur zunehmenden Häufigkeit von Viren vgl. die Abbildung).

Betriebssysteme und Anwendungen bieten mit wachsender Installation von Mehrplatz-Systemen und der stetigen Dezentralisierung von Rechenzentrums-Leistungen in verteilten Anwendungen eine sehr viel breitere und kaum beherrschbare Angriffsfläche. Etablierte Verfahren der Kommunikations- und der Systemsicherheit aus dem Bereich des zentralen Großrechners, wie zum Beispiel Authentisierung, Rechteverwaltung und -prüfung, Verschlüsselung oder Sicherstellung der Integrität, lassen sich nicht einfach in die zukunftsorientierten und stetig wachsenden Client-Server-Umgebungen transferieren. Zugunsten der individuellen Performance werden dem Anwender heute durch die Installation von PC-basierenden Netzwerken Systemvollmachten eingeräumt, die ursprünglich nur zentral im Bereich des Rechenzentrums verfügbar waren. Gerade diese individuellere, flexiblere und freiere Verfügbarkeit der Systemressourcen (Datenbestände, Ein- und Ausgabegeräte) wird zum großen Teil durch die Einspeisung und Entnahme von Daten an den Frontend-Rechnern ermöglicht.

Neben der sehr hohen Komplexität heutiger PC-Systeme - häufig hat der User, wenn überhaupt, nur Grundkenntnisse über Betriebssystem und Netztechnologie - und dem Funktionsmißstand der Betriebssysteme bezüglich Sicherheit (insbesondere bei DOS) stellt gerade das Infizieren von PC-Systemen durch Einspeisung mit Viren verseuchter Datenträger einen der gefährlichsten Angriffe auf die Systemintegrität dar.

Immer wieder wird auf die unternehmensweite Verbreitung von Viren über Public Domain oder Spieledisketten hingewiesen. Diese Infektionsquelle ist nachgewiesen. Entsprechende Richtlinien zum Einsatz von Shareware, Public Domain und Fremdprodukten müssen unternehmens-, abteilungs- oder gerätespezifisch umgesetzt werden.

In den letzten zwei Jahren hat sich jedoch gezeigt, daß die Verbreitung von Viren selbst in unternehmensweit existierenden Netzwerken vermehrt durch den Austausch von Daten via Datenträger (Diskette) erfolgt. Hierbei wird nur in den seltensten Fällen eine Spielediskette weitergereicht, viel häufiger werden Viren durch die Weitergabe von Datenträgern mit Workgroupdaten verbreitet. Einem einmalig in ein Unternehmen eingeschleusten Virus wird so in kürzester Zeit via Netzwerk eine sichere Vervielfachungsmöglichkeit eingeräumt.

Viele der Front-ends wurden mit Viren-scansoftware ausgestattet. Ihr Einsatz erfolgt in fast allen Fällen in Verantwortung des Front-end-Anwenders. Das Virensuchprogramm muß dauernd auf dem neuesten Stand gehalten werden. Weiterhin kann bei Virenbefall der Schaden nur mit einem vorbereiteten Maßnahmenkatalog begrenzt werden.

Sicherheitsmaßnahmen bedeuten in der Regel eine zusätzliche Belastung für den Mitarbeiter. Wenn er den Sinn einer Maßnahme nicht kennt oder einsieht, wird er diese - bewußt oder unbewußt - vernachlässigen. Das beste Virensuchprogramm bleibt wirkungslos, wenn nicht eine den Sicherungsanforderungen entsprechende Organisationsstruktur dafür sorgt, daß die präventiven Maßnahmen - zum Beispiel Virencheck vor Einspielen eines Datenträgers - auch tatsächlich durchgeführt werden. Der historisch gewachsene Ablauf des individuellen und lokalen Virenschutzes basiert auf dem logischen, disziplinierten und konsequenten Verhalten des Anwenders.

Spätestens aus der Sicht einer Gruppe miteinander arbeitender PC-Anwender stellt sich die Frage nach einem effizienteren und sichereren Vorgehen.

Eine weitere Schnittstelle für Vireninfektionen stellt das Servicepersonal dar. In größeren Unternehmen ist das in der Regel der Benutzerservice. Er bedient sich auch heute noch oft der Diskettensätze des Herstellers zur Installation, Modifikation und Wartung. Darüber, hinaus verwendet er häufig Tools, die ebenfalls per Diskette zum Einsatzort mitgeführt werden.

Ständige Überprüfung der Diskettensätze auf aktuellen Virenbefall ist hierbei von den organisatorischen Maßnahmen und der Disziplin der betroffenen Mitarbeiter des Benutzerservices abhängig.

Gerade ein PC-Benutzerservice kann es sich nicht leisten, in den Verdacht zu kommen, einen Virus in ein Unternehmen eingespeist zu haben. Der Benutzerservice hat eine 99,9prozentige Sicherheit zu gewährleisten. Hierzu sind organisatorische, technische und schadenbegrenzende Maßnamen zu etablieren. Zu den organisatorischen Präventivmaßnahmen zählen neben der Vermeidung eines Virenbefalls durch Originalsoftware, Quarantäne-PC, Schreibschutz etc. sämtliche Vorbeugungsmaßnamen für den Fall der Infektion wie Datensicherung, Originalsoftware aus der Quarantäne und ähnliches. Die technischen Präventivmaßnahmen bestehen im Einsatz residenter Überwachungssoftware.

Früherkennung eines Virus und eine entsprechende Eliminierung sind Teile der Schdensbegrenzungsmaßnahmen. Zum Nachweis der Virenfreiheit benötigt der Benutzerservice darüber hinaus eine lückenlose Beweissicherung, am besten mit Hilfe eines Maßnahmenprotokolls.

Im Gegensatz zu der beschriebenen lokalen individuellen Lösung ist der Vorteil eines zentralistischen Ansatzes, daß er nicht nur auf das Verhalten des Anwenders abzielt. Für eine Gruppe miteinander arbeitender PC-Anwender stellt dies eine optimale Basis für eine zentrale Gestaltung des Virenschutzes dar. Eine zentralistische Lösung kann entsprechend der Größe der miteinander arbeitenden PC-Systeme in Stufen eingeführt werden:

Virenschutz beim Workgroup-Computing

- Installation eines Virensuchprogrammes: An die Funktionalität und Qualität der Virensuchprogramme werden zukünftig höhere Anforderungen gestellt, da der klassische Virenscanner in seinen Basisfunktionen nur zum Auffinden von Standardviren reicht. Eine sichere Erkennung und Entfernung polymorpher Virenstrukturen ist nur noch mit Hilfe neuer, konsequent logischer Verfahren möglich. Die Virensuche wird grundsätzlich erst bei Anmeldung im Netzwerk durchgeführt. Das Ergebnis der Virensuche wird protokolliert, die einzelnen Protokolle werden in einem Protokollarchiv erfaßt.

- Dateneinspeisung: Neben verschließbaren Diskettenlaufwerken und Diskless-PCs wird insbesondere eine Datenschutz-Kombination aus Soft- und Hardwarekomponenten (zum Beispiel auch zur Datenverschlüsselung) zukünftig eine wichtige Rolle im Virenschutz spielen. Der Zugang zu einem System erfolgt dann über eine Rechteverwaltung, die zwischen Benutzer, Gastbenutzer und Systemadministrator unterscheidet.

- Datensicherung: Zu den organisatorischen Präventivmaßnahmen gehört die automatisierte Datensicherung. Die Sicherung erfolgt vom PC zum Server.

Von dort werden die Daten mittels Datensicherung auf Band oder optischen Medien in festen Zeitintervallen über mehrere Generationen gesichert.

- Quarantäne-PC: Zum Testen von Software und zur Dateneinspeisung wird ein separater PC mit residenten Virenscannern ausgestattet, zu dem nur der Systemadministrator ein Zugangsrecht hat. Originalsoftware und Disketten mit ausführbaren Dateien werden unter Verschluß genommen.

Virenschutz bei LAN-WAN-Koppelung

Zusätzlich zu den beschriebenen Maßnahmen ist bei einer

unternehmensweiten heterogenen Vernetzung folgendes zu

realisieren:

- Datensicherung: Die Sicherung kann auch auf Platten des Großrechners erfolgen.

- Zentrales Konfigurations-Management: Einführung eines zentralen Konfigurations-Managements mit Softwaredistribution, Fernwartung und Ferndiagnose.

- Quarantänestation: Es wird ein Rechnersystem möglichst ohne DOS-Betriebssystem eingesetzt. Darüber hinaus werden sämtliche Disketten in eine sogenannte Diskettenquarantäne, zum Beispiel einen Tresor, überführt.

Grundsätzlich ermöglicht beim Virenschutz die Produktvielfalt viele Abweichungen in den dargestellten Punkten. Zentralistische Lösungen bieten effektive und konsequente sowie organisatorisch etablierbare Virenschutzmöglichkeiten und werden deshalb in den kommenden Jahren eine immer wichtigere Rolle spielen. Insbesondere sind sie nicht abhängig von einem dezentral arbeitenden PC-Anwender.