Egal ob es als Server oder als Client eingesetzt wird: auch bei Linux kommt der Systemverwalter nicht umhin, sich Gedanken über die Sicherheit machen, hier ist es eher noch wichtiger als bei Windows.
Die Ziele der Angreifer haben sich im Lauf der letzten Jahre grundlegend gewandelt. Waren es früher Jugendliche, die sich durch das Schreiben von möglichst aggressivem Schad-Code einen Namen machen wollten, treten in der Gegenwart immer häufiger Kriminelle in Aktion, die sehr zielgerichtet agieren. Zudem ist ein Wandel weg vom Einzeltäter hin zu gut organisierten Gruppen zu beobachten. Diese kann man sogar mit Unternehmen vergleichen: gut strukturiert nach Aufgabengebieten und mit entsprechenden Managern.
Nicht nur die Organisationsform auch die Ziele ändern sich: Früher hieß es "Möglichst viel Schaden anrichten" - jetzt geht es darum, "möglichst viel Ertrag (Geld) zu erwirtschaften". Neben Spam- und Phishing-Mails (zur Werbung und Informationsbeschaffung) stellen besonders Bot-Netze für Unternehmen eine große Gefahr dar.
Die von Bot-Nets ausgehende Gefahr, ist extrem hoch: die von ihnen ausgeführten DDoS-Attacken (Distributed Denial of Service) oder versendeten Spam-Nachrichten stellen eine enorme Bedrohung für Anbieter von Internet-Diensten jeglicher Art dar. Dabei stützen sich die Betreiber von Bot-Nets darauf, dass diese mit den Tausenden von Rechnern eine Gesamtbandbreite erreichen, der die meisten herkömmlichen Internetzugänge nicht gewachsen sind. Somit kann ein ausreichend großes Bot-Net durch Senden von immensen Datenmengen die Anbindungen der attackierten Serviceanbieter komplett verstopfen. Schutzmaßnahmen wie Paketfilter greifen nur bedingt, da die Netze meist aus Rechnern verschiedenster Regionen (und somit breitem IP-Adressraum) bestehen.
Mit ihrem Bot-Netz können die Betreiber Angriffe etwa auf Webserver eines Unternehmens durchführen, um Kommunikationswege komplett dicht zu machen. Sei es nun, um ein Konkurrenzunternehmen eines Auftraggebers lahmzulegen, oder selbst das Opfer zu erpressen. Aber auch eher klassische Schadcodes wie Trojaner, Root-Kits und Würmer (meist gekoppelt) werden für automatisierte Angriffe zur Informationsbeschaffung (Industriespionage) und Sabotage genutzt. Diese richten nicht nur Sachschäden an, sondern können sogar existenzbedrohend sein, wenn das betroffene Unternehmen zum Beispiel im Forschungsbereich tätig ist.
Hacker fahren abgestimmte Angriffe
Um diese Angriffe möglichst optimal durchführen zu können, wird vor dem Angriff meist eine genaue Analyse des anzugreifenden Systems durchgeführt, um die Malware darauf anzupassen. So zählt für Virenschreiber hier nicht mehr der Verbreitungsgrad eines Betriebssystems im Allgemeinen, sondern die eingesetzten Systeme - egal ob Windows, Linux oder andere.
Was Administratoren - und auch immer mehr die Geschäftsleitung - in diesem Zusammenhang beachten müssen, ist die Gefahr von innen. Erfolgreich durchgeführte Angriffe in diesem professionelleren Bereich lassen sich oftmals auf die bewusste und auch unbewusste Hilfe durch die eigenen Mitarbeiter zurückführen. Bewusste Hilfe durch die gezielte Platzierung eines Maulwurfs im Unternehmen, unbewusste Hilfe durch schlecht geschulte Mitarbeiter in sicherheitskritischen Bereichen. Aber auch keine oder mangelhafte Security-Policies und keine Restriktionen für Benutzer seitens der Software oder des Systems öffnen Tür und Tor für Angriffe.
Netzwerke sind sehr komplexe Systeme, die viele Einfallstore für Malicious Codes bieten. Dass Windows das am stärksten von Schadprogrammen heimgesuchte System ist, ist jedem Admin bekannt. Grund genug, entsprechende Schutzsysteme zu installieren. Je nach Struktur des Netzwerks können diese unterschiedlich platziert werden. Rein homogene Netzwerke sind eher die Seltenheit, da meist auch schon in kleineren Netzen Linux im Server-und Gateway-Bereich zu finden ist. Alles, was in diesem Bereich schon gefiltert wird, dringt gar nicht erst zu einem Client vor und minimiert die Gefahr einer Verbreitung im LAN.
Der E-Mail-Verkehr zählt noch immer zu den am stärksten genutzten Verteilungswegen für Viren. Ebenfalls üblich ist die Platzierung von Malware auf Webseiten durch die Einbindung in Downloads oder Scripts. Grenzen sind den Angriffsmöglichkeiten kaum gesetzt, da die benutzten Mail-Clients und Browser durch ihre Sicherheitslücken schon Möglichkeiten zum Einschleusen von Schadprogrammen bieten.
Linux als Windows-Türsteher
Die klassische Trennung der einzelnen Bereiche mit Komponenten lässt sich grundsätzlich auch auf komplexere Umgebungen projizieren: Gateway-Bereich mit Firewall und Proxy-Server, Server-Bereich mit Mail-(Kommunikations-) und Fileserver und Client-Bereich mit den Workstations.
Eine Firewall dient in erster Linie zur Sicherung gegen Hacker-Angriffe von außen und auch zur Restriktion von Diensten, die von intern nach außen genutzt werden dürfen. Eine Firewall kann aber auch schon das erste Schutzsystem gegen Malicious Codes sein. Richtig konfiguriert, können schon hier Würmer abgefangen werden, die sich über »normale« Netzwerkverbindungen verbreiten. Der Netzwerk-Wurm lovesan.a beispielsweise attackiert Systeme über Port 135 TCP und 4444 TCP. Auch wenn Clients intern mit Trojanern, Backdoors oder auch Bots infiziert worden sind, kann die Verbindungsaufnahme nach außen oder vom Angreifer nach innen unterbrochen werden.
Eine Festlegung der benutzbaren Dienste und das Blockieren der entsprechenden restlichen Ports kann also das Infektionsrisiko bereits minimieren. Dabei können sich aber durch getunnelte Verbindungen immer noch unerwünschte Pakete schleichen.
Mit GNU-httptunnel können beispielsweise beliebige Protokolle mit HTTP getunnelt werden. Derartige Mechanismen in Schadsoftware implementiert, können durch einfache Firewalls fast nicht unterdrückt werden. Um sich auch dagegen zur Wehr zu setzen, ist es sinnvoll, intelligentere Zusatzsysteme, etwa ein Intrusion-Detection-System (IDS) oder ein Intrusion-Prevention-System (IPS), zu benutzen ? oder eine Application Level Firewall. In einigen Antiviren-Produkten sind IPS-Funktionen enthalten, um automatisierte Attacken von Malware abzuwehren.
Proxy-Server sind in vielen Netzwerken vertreten und können im Kampf gegen Schadsoftware wichtige Arbeit leisten. Squid hat sich in diesem Bereich etabliert und bietet hierfür die ICAP-Schnittstelle an (Internet Content Adaption Protocol). Über diese können Content-Filter wie Virenscanner angebunden werden, um den über Squid laufenden Traffic im Hintergrund zu scannen, Schädlinge direkt zu erkennen und automatisch auszufiltern.
Der Ablauf sieht wie folgt aus: Squid erhält Webtraffic über HTTP, der gecached und an den ICAP-Client übergeben wird. Über das ICAP-Protokoll werden dann diese Daten an den ICAP-Server weitergegeben, wobei der ICAP-Server ein Virenscanner ist, der die Daten prüft und sie, je nach Konfiguration, über den ICAP-Client an Squid zurückgibt und damit zum Benutzer, der die Daten aufgerufen hat.
Antiviren-Proxy vorschalten
Eine zweite Möglichkeit zum Scannen des Webtraffics ist die Benutzung eines vorgeschalteten Parent-Proxy-Servers mit integriertem Virenscanner. Um die Integrationsarbeit eines Web-Content-Scanners zu vereinfachen, wird heutzutage gerne auf transparente Proxies mit Virenschutz zurückgegriffen. Hierbei kommt ein normaler Proxy (wie Squid) zum Einsatz. Der Vorteil ist, dass auf den Clients kein Proxy-Server hinterlegt werden muss, was wiederum weniger Arbeitsaufwand bedeutet. So wird ein Umgehen des Proxy-Servers erschwert und die der Sicherheitspolicy durchgesetzt.
Transparent ist hierbei die Aussage über die Funktionsweise beziehungsweise die Platzierung im Netzwerk. Gängig sind zwei unterschiedliche Arten:
1. "redirect" (weiterleiten) der gewünschten Protokolle am Gateway zum Proxy-Server.
2. der Proxy wird als "Bridge" vor den Gateway geschaltet.
Je nach Größe des Netzwerkes kann bei der ersten Option der Proxy auf dem Gateway selbst installiert sein. Über IPtables beispielsweise kann der http-traffic an den Proxy weitergeleitet werden, welcher das Content-Scanning übernimmt (Anti-Virus). Hierbei muss der Gateway aber die Option bieten, den Traffic umzuleiten. (Für ein Beispiel siehe TransProxy http://transproxy.sourceforge.net/)
Bei der zweiten Option wird eine Bridge (beispielsweise auf Linux- oder *BSD-Basis) konfiguriert auf welcher der Proxy installiert ist oder nur das redirect zum Proxy übernimmt. Die Bridge wird dann physikalisch vor den Gateway geschaltet, um den Traffic abzugreifen. Der Vorteil bei dieser Lösung ist, dass am Gateway keine Änderungen nötig sind.
Im Server-Bereich oder auch schon im Gateway-Bereich sind Mail-Systeme zu finden. Linux wird, je nach Größe des Unternehmens, als kompletter Mailserver und auch als Relay-Server für dahinter liegende Exchange-oder Lotus-Domino-Server eingesetzt. Die Standard-MTAs wie Postfix und Exim bieten Integrationsmöglichkeiten von Filtersys-
temen wie Virenscannern und Antispam-Tools (siehe Dual-MTA-Methode).
Sendmail bietet als Erweiterung auch die Milter-API als Schnittstelle. Nicht unüblich ist die Benutzung von Amavis zur Integration von Virenscannern und Antispam-Systemen. Dabei werden die Filter direkt von Amavis angesprochen und nur Amavis selbst steht als Filter im MTA, was bei mehreren Filtern durchaus Wartungsarbeiten und die Übersicht über das System vereinfachen kann.
Antivirus-Relay-Server verwenden
Ein vorgelagerter Virenscanner, eingebunden in einen Relay-Server, ist eine zweite Möglichkeit zum Schutz von Mail-Systemen. Diese bietet den Vorteil, dass die Systemlast des Scan-Prozesses nicht das Mail-System beeinflusst ? selbst dann nicht, wenn der E-Mail-Traffic entsprechend groß ist. Zusätzlich dringen hierbei Schadprogramme gar nicht zum Mailserver vor, um dort in die Datenbank zu gelangen. Jedoch werden nur E-Mails gescannt, die über diesen Relay verschickt werden. Beim Einsatz von Datenbanksystemen innerhalb des Mail-Systems ? etwa Lotus Domino ? ist allerdings ein Schutz der darin abgelegten Daten durch einen Virenscanner unerlässlich, da Malware auch von Benutzern intern in der Datenbank abgelegt werden kann.
Manche Hersteller bieten für vor-oder ausgelagerten Virenschutz eigene SMTPGateway-Produkte an, die oftmals einen eigenen, gesicherten MTA enthalten, um die Integration und die Administration zu erleichtern und auch die Performance durch optimierte Bearbeitungsstrukturen innerhalb dieses MTAs zu verbessern.
Vorsicht beim Einsatz von Samba
Linux findet sich, dank Samba, in Windows-Netzwerken auch als Fileserver wieder. Da auf einem derartigen Server grundsätzlich alle Dateien abgelegt werden und jeder Benutzer darauf Zugriff hat, ist besondere Vorsicht geboten. Ein abgelegter Virus kann sich leicht über das komplette Netzwerk ausbreiten, wenn er in entsprechenden Dateien gespeichert ist. Auch ist der gesamte Datenbestand gefährdet, wenn sich ein Virus darin austobt. Elektronisch gespeicherte Informationen sind in der Regel ein wichtiges Gut für Firmen ? egal ob Produktionspläne, Lagerverzeichnisse oder andere Daten. Gerade auch persönliche oder besonders schützenswerte Daten wie Mitarbeiterverzeichnisse, Abrechnungen und Lebensläufe sind auf Dateiservern zu finden.
Neben der Datensicherung sollte zur Datensicherheit also zwingend auch ein Virenscanner eingesetzt werden. Samba bietet standardmäßig keine direkte Integration von Antiviren-Programmen. Dies kann aber über VFS-Module (Virtuelles Dateisystem) umgesetzt werden. Dabei wird der Datenverkehr durch den so eingebundenen Virenscanner umgeleitet. Je nach Hersteller kann dieser On-Access-Scanner beim Schreiben und/oder Lesen die Dateien prüfen.
Nicht vergessen die Clients zu schützen
Nicht weniger wichtig in einem Netzwerk ist der Schutz auf Client-Seite: Auch wenn der Gateway-und Server-Bereich entsprechend gesichert sind, können Clients immer noch durch Schadsoftware angegriffen werden. Lokal besteht meist die Möglichkeit, Medien wie CD-ROMs, DVDs und Disketten zu benutzen, aber auch wenn diese Eingänge deaktiviert sind, können Schädlinge durch USB-Sticks sowie USB-oder Firewire-Festplatten, die von einem zum anderen Rechner wandern, eindringen. In vielen Bereichen ist es auch nicht möglich, die Benutzung dieser Medien zu beschränken, da ein Datenaustausch mit Heimarbeitsplätzen für viele Unternehmen und deren Mitarbeiter wichtig ist.
Oftmals werden auch passwortgeschützte und verschlüsselte infizierte Dateien übersehen, die trotz Virenscannern auf Proxy-, File-und Mailservern bis zu einer Workstation vordringen und dort beim Öffnen ihre Schadroutine ausführen können. Da Passwörter für diese Dateien dem Virenscanner nicht bekannt sind, können sie auch nicht gescannt werden. Verschlüsselte Verbindungen oder Tunnel ins Internet, wie HTTPS-Seiten, können ebenfalls zum Einfallstor für Schädlinge werden, da dieser Traffic von den meisten Lösungen nicht gescannt werden kann.
Sicherheit im Linux-Netzwerk
Unter Linux werden grundsätzlich die gleichen Schutzsysteme eingesetzt wie die für das Windows-Umfeld beschriebenen. Weder Mail-Würmer machen vor Linux Halt noch Anwendungen, die per Internet herunter geladen werden. Nur das Management einiger Anwendungen ist im Linux-Netzwerk noch nicht derartig umfangreich wie unter Windows und bedarf zuweilen noch lokaler, manueller Konfiguration durch den Admin.
Malicious Codes unter Linux sind weithin unbekannt. Viele Benutzer wiegen sich bei alternativen Betriebssystemen in Sicherheit und sind sich einer Gefährdung nicht bewusst. Durch den Aufbau eines Linux-Systems ist es für manche Arten von Schadsoftware schwer, sich darauf zu verbreiten. Gerade Viren haben auf einem Multi-User-System, bei dem ein Standard-Account nur über eingeschränkte Rechte verfügt, nur geringe Möglichkeiten zur Infektion.
Doch durch die ständig steigende Popularität von Linux ist die Gefahr durch End-User, die unter Root arbeiten, sehr stark. Gerade für Umsteiger von Windows, die es gewohnt waren, als Administrator lokal zu arbeiten, ist es schwer, sich dem neuen System anzupassen. Auch schlecht konfigurierte und nicht aktuell gehaltene Systeme begünstigen die Verbreitung von Malware genauso wie Sicherheitslücken. So kann sich ein Virus oder Wurm über infizierbare Daemons mit deren Rechten über das System weiterverbreiten. Aktuelle Linux-Distributionen wie Ubuntu/Kubuntu 6.06 und Fedora Core 5 bieten automatisierte Sicherheitsupdates, zudem ist eine Anmeldung als Superuser Root per Voreinstellung nicht erlaubt.
Bedrohungspotenzial durch Root-Kits
Die Ausrichtung des Systems Linux schlägt sich auch in der Malware-Statistik nieder: Schwerpunkte sind Backdoors und Exploits sowie diverse Netzwerk-Hacker-Tools. Seit einiger Zeit sorgt das Thema Root-Kits für Windows für Gesprächsstoff. Klassisch stammen diese Schädlinge aus dem Unix-Umfeld, was Linux mit einschließt. Root-Kits sind Tool-Sammlungen, mit denen Angreifer Root-Rechte auf einem System erlangen können. Die Kits setzen sich aus Tools zusammen, die den Angreifer und die ausgeführten Prozesse im System verstecken, Backdoor-Funktionen bieten und dazugehörige Installationsscripts bieten.
Root-Kits lassen sich dazu in zwei Arten trennen: Kernel-Mode-Root-Kits und User-Mode-Root-Kits ? der Name gibt die Ausführungsebene an. User-Mode-Root-Kits tauschen hauptsächlich systemwichtige Überwachungstools durch abgeänderte Versionen aus. So werden etwa ps, top oder auch netstat durch Versionen ausgetauscht, die die Aktivitäten bestimmter Prozesse nicht anzeigen. Kernel-Mode-Root-Kits dagegen versuchen, direkt den Kernel anzugreifen oder sich darin einzupflanzen, um ihre Aktivitäten unbemerkt ausführen zu können.
Die gängigste Methode ist das Schreiben von Loadable Kernel Modules (LKM). Diese haben den Vorteil, dass sie zum Kernel laufen, ohne dass dieser neu kompiliert werden muss. Darüber versuchen einige Programme etwa die Syscall-Table durch Loadable Kernel Modules (LKM) so abzuändern, dass anstatt des originalen Codes der Code des An greifers ausgeführt wird. Andere Methoden tauschen das Kernel-Image durch ein komplett abgeändertes Kernel-Image aus oder fügen schädliche Patches zum Kernel hinzu. Im Dezember vorletzten Jahres wurde auf dem 22. Chaos Communication Congress des Chaos Computer Club die Möglichkeit eines Root-Kits für den 2.6er-Kernel durch ein Proof-of-Concept vorgestellt und diskutiert.
Inaktive Root-Kits können Virenscanner anhand von Signaturen abfangen, bei aktiven Root-Kits im Kernel-Mode hilft oftmals nur der Offline-Scan des Systems. Eine relativ hohe Sicherheit bringen Integritäts-Checker von einer Live-CD. Im Server-Bereich gestaltet sich dies jedoch etwas schwieriger, da ein Produktivsystem wie ein Webserver, FTP-Server oder Datenbanksystem nicht heruntergefahren werden kann, um einen Off-line-Scan durchzuführen.
Neben diesen Gefahren sind auch einige Würmer im Linux-Umfeld bekannt, etwa der Netz-Wurm »Ramen«. Dieser nutzte Sicherheitslücken in daemons statd, lpd und wu-ftp aus, um sich zu verbreiten. Daneben sind Slammer und sein FreeBSD-Zwilling Scalper bekannt, die eine Schwachstelle im HTTP-Dienst ausnutzten, um Systeme zu befallen. ELF-Viren (Executable and Linking Format, ein Binary-Format unter Linux) können sich nur mit den Rechten des ausführenden Users bewegen, trotzdem sind einige Varianten wie Bliss.a bekannt. Einige Programmier-HOWTOs zu diesem Thema haben die Anzahl dieser Virenart bereits erhöht. Im Netzwerk können diese Viren zu einer Plage für den Admin werden, wenn die benutzereigenen Dateien gelöscht, zerstört oder infiziert werden und dann per Backup wiederhergestellt werden müssen.
Bei mehreren befallenen Usern kann dies viel Arbeitszeit des Admins und somit viel Geld kosten. Vor dem Thema Root-Kits waren bereits Bots und Bot-Netze in der Presse. Dabei werden auf PCs so genannte Bots oder auch Zombies installiert, die vom Angreifer über IRC oder ähnliche Dienste global verwaltet und gesteuert werden. Eingesetzt werden die damit aufgebauten Bot-Nets, mit einer Größe von bis zu mehreren tausend Rechnern, für gezielte Attacken (DDoS) oder Spam-Versand über in die Bots integrierte SMTP-Engines.
Auch Mighty, ein Netzwerk-Wurm, brachte derartige Funktionen mit. Er basierte auf dem IRC-Bot »Age of Kaiten« und benutzte den Exploitcode des Slapper-Wurms. Zu seiner Verbreitungszeit hatte er 1600 Systeme befallen. Dass Linux nicht nur auf Desktops und Servern, sondern auch auf Embedded-Systemen zum Einsatz kommt, haben mittlerweile auch Researcher entdeckt und einen Proof-of-Concept-Virus "Virus.Linux.Podloso.a" für das iPod-Linuxsystem entwickelt.
Aber nicht nur der iPod ist betroffen - auch für andere Unix und Unix-artige Systeme, darunter Mac OS X und auch Solaris, haben sich schon einige Malicious Codes gezeigt. Im Vergleich zu Windows-Malware, welche allerhand Technologien erhält, um sich zu verstecken und Virenscanner zu täuschen, sind unter Linux noch nicht allzu viele derartiger Techniken bekannt. Laufzeitpacker beispielsweise sind unter Linux nur zweigängig: UPX und ELFuck, welche aber nur selten benutzt werden.
Ein Schutzschild für Tux
Um ein Linux-System zu schützen, sollte gerade im Unternehmensbereich ein Virenscanner eingesetzt werden. Ein Antivirus-Programm für Linux ist meistens etwas anders aufgebaut als ähnliche Lösungen für Windows. Ein normaler On-Demand-Scanner für den manuellen oder zeitgesteuerten Scan des Filesystems ist grundsätzlich immer enthalten. Ein On-Access?Scanner, der permanent alle Aktionen auf dem System prüft, ist aufgrund der Struktur nicht leicht in Linux zu integrieren.
Oft wird dazu ein zusätzliches Modul an den Kernel kompiliert, das in Kombination mit einer Scan-Engine die Wächterfunktion übernimmt. Ein klassisches Antivirus-Programm besteht aus einer Signatur-basierten Engine, die eine vom Hersteller regelmäßig aktualisierte Signaturen-Datenbank benötigt. Dazu kommt eine heuristische Engine, die auf Basis mathematischer Routinen auch bisher unbekannte Schadprogramme erkennt.
Durch ein internes Rating wird festgelegt, ob es sich bei einem unbekannten Programm um Schadcode handelt oder nicht. Die Heuristik ist bei jedem Hersteller unterschiedlich eingestellt. Besonders aggressive heuristische Engines liefern öfter Fehlalarme. Die Konfiguration eines Virenscanners unter Linux wird häufig über ein Web-Interface oder direkt im Config-File durchgeführt, ein X-GUI (Graphical User Interface) ist selten vorhanden.
Neben dem Virenscanner bietet Linux weitere Sicherheitsmöglichkeiten: Neben iptables als Firewall gibt es hostbasierte IDS wie AIDE und Patches zur Härtung des Systems. Diese bieten Schutz vor Exploits und Zugriffskontrolle. Gerade im Server-Bereich sollten entsprechende Sicherheitstechnologien eingesetzt werden, damit diese Systeme nicht korrumpiert werden können.
Fazit und Ausblick
Das klassische Netzwerk wird immer mehr durch neue Technologien erweitert, und Administratoren werden vor neue Herausforderungen gestellt. Einer dieser Trends ist die ansteigende Zahl von mobilen Geräten. In Unternehmen werden immer mehr PDAs und Smartphones benutzt, die neben Notebooks zu einem Trojanischen Pferd werden können. Derartige Geräte bieten noch keine oder nur wenige Möglichkeiten zum Management durch eine zentrale Stelle. Die Kontrolle wird somit sehr schwer.
Der Symbian-Wurm Cabir markierte Mitte 2004 den Anfang einer neuen Art von Malicious Code, der sich auf mobile Geräte spezialisiert hat. Inzwischen sind etwa 150 Schadcodes für das Symbian-Betriebssystem bekannt. Gezielte Attacken auf Unternehmen sind über derart schutzlose Systeme relativ einfach möglich. Auf diese neuen Gefahren sollten auch die internen Sicherheits-Policies der Unternehmen hinweisen, um auch von innen geschützt zu sein.
Grundlegende Schutzmaßnahmen
Wenn man unterschiedliche Tests und Analysen von Antiviren-Systemen liest, wird man größere Unterschiede in der Erkennungsrate und der Reaktionszeit feststellen. Die Reaktionszeit ist der Zeitraum, den ein Hersteller zwischen dem Auftreten eines Schädlings bis zum Liefern einer Signatur benötigt. Die Erkennungsrate stellt allgemein fest, wie viel Prozent einer bestimmten Anzahl an Malicious Codes erkannt wird. Dabei wird eine Sammlung von In-the-wild?Viren (also Malware, die aktiv Systeme infiziert) und Zoo-Viren (also Viren, die als reine Proof-of-Concepts geschrieben sind) zusammengestellt und dann gescannt.
Es kann durchaus vorkommen, dass bei einem Virus ein Hersteller der erste ist und die anderen erst später Signaturen dafür liefern, für einen anderen Virus kann ein anderer Hersteller der erste mit einer Signatur sein. Deshalb wird ? gerade in größeren Netzwerken ? standardmäßig ein mehrschichtiges Filtersystem unterschiedlicher Virenscanner eingesetzt. In jedem Segment befindet sich ein anderer Hersteller, um sicher zu stellen, dass ein Schadprogramm, das von einem Hersteller noch nicht erkannt wird, nicht in andere Netzwerk-Segmente vordringen kann.
In Mail-Systemen lassen sich ebenfalls immer öfter mehrere Virenscanner finden ? für Client- Systeme ist dies aufgrund der Systemlast und Kollisionen untereinander allerdings nicht empfehlenswert. Wichtig ist auch, bei Beginn der Integration von Virenscannern eine Update-Struktur festzulegen. Wenn die Workstations als erste aktualisiert werden, Gateway und Fileserver aber erst später, könnte in dieser Zeitspanne durch den Gateway ein Schädling kommen, der zwar auf den Clients erkannt wird, aber zum Fileserver vordringen kann.
Im Allgemeinen gelten folgende Regeln für mehr Sicherheit:
-
nicht als Administrator oder Root auf einem System arbeiten;
-
keine Programme aus zweifelhaften Quellen ausführen oder annehmen;
-
einen Virenscanner einsetzen und regelmäßig aktualisieren;
-
das Betriebssystem und die Applikationen regelmäßig aktualisieren;
-
das Betriebssystem sicher konfigurieren und nicht benötigte Dienste abschalten;
-
Firewalls einsetzen und gegebenenfalls Intrusion-Detection- und Intrusion-Prevention- Systeme einrichten. (PCWelt/mb)