Virenscanner stehen in Unternehmen regelmäßig auf dem Prüfstand. Ihr Sinn und Zweck wird vor allem dann in Frage gestellt, wenn sie die Arbeit beeinträchtigen. Ein verhinderter Virenschaden bleibt beim Nutzer nicht so lange im Gedächtnis. Er merkt sich aber, wenn Antivirensoftware Web-Seiten sperrt, den PC verlangsamt, E-Mails wegen Spam- oder Virenverdacht nicht zustellen lässt oder Programme zum Absturz bringt. Besonders in wirtschaftlich schlechten Zeiten wird versucht, andere Wege zu gehen und diese lästige Software aus dem Unternehmen zu verbannen oder zumindest den Anbieter zu wechseln.
Wer sich ein anderes Antivirensystem zulegen möchte, ist schlecht beraten, nur auf den Preis zu schauen. Folgende Aspekte sollten bei einer (Neu-)Auswahl zum Tragen kommen:
Schützenswerte Geräte (Server, PCs und mobile Endgeräte)
Um die geeignete Antivirenlösung zu finden, sollten zuerst die Geräte zusammengestellt werden, die es zu schützen gilt. Neben Servern und den klassischen PCs kommen in Unternehmen vermehrt mobile Endgeräte zum Einsatz: Notebooks, Handys, PDAs, Blackberries und iPhones. Nicht jeder Antivirensoftware-Anbieter kann alle Gerätetypen schützen. Gerade für die Sicherung mobiler Endgeräte ist das Angebot noch überschaubar. In manchen Fällen empfiehlt es sich sogar, für den Schutz von Servern, mobilen sowie klassischen Endgeräten einen jeweils anderen Anbieter zu wählen. Unterschiedliche "Scan-Engines" erlauben einen mehrstufigen Schutz: Sollte ein Virus bestimmte Virenscanner angreifen und lahmlegen, sind nicht alle Endgeräte gleichermaßen betroffen. Manche Angreifer versuchen, einen Virenscanner auf einen gefälschten Update-Server umzuleiten, damit er keine aktuellen Virenmuster ("Patterns") herunterladen kann. Andere Szenarien zielen darauf ab, die Scan-Funktionen auszuschalten.
Zu schützende Betriebssysteme, Applikationen oder Funktionen
Ein weiteres Kriterium für die Auswahl des Virenscanners sind die Plattformen und Applikationen, die im Unternehmen eingesetzt werden. Microsoft-Betriebssysteme sind anfälliger gegen Virenbefall und müssen besonders geschützt werden. Aber auch Mac OS und Unix beziehungsweise Linux sind nicht vor Viren sicher. Generell steigt die Bedrohung mit der Verbreitung. Daher rücken nun Betriebssysteme der Handys in den Fokus der Virenprogrammierer. Handys mit Symbian-Betriebssystem sind ebenso betroffen wie Smartphones, die mit Windows CE/Windows Mobile arbeiten.
Auch bei den Applikationen kommt es darauf an, welche das Unternehmen überhaupt sichern muss. Besonderen Schutz braucht das Mail-System, weil über die elektronische Post Viren eingeschleppt werden. Auch hier gilt: Je verbreiteter das E-Mail-Programm, desto anfälliger ist es gegen Viren.
Eine große Rolle spielen hier auch die Features, die Benutzern das Leben erleichtern sollen. Vorschaufenster im Mail-Client öffnen empfangene E-Mails automatisch und erleichtern es Viren, sich zu verbreiten.
In diesem Zusammenhang ist auch die Autorun-Funktion bei USB-Sticks zu sehen, die es Viren ermöglicht, schnell und unbemerkt ins Netzwerk zu gelangen. Aktuell geschehen ist dies mit dem Virus "Conficker" ("DownAdUp"), der Teile der Bundeswehr lahmlegte.
Wichtig für die Auswahl des Virenscanners sind deshalb:
-
die zu schützenden Betriebssysteme (auch die auf mobilen Geräten);
-
das zu schützende Mail-System;
-
abzusichernde Datenbanken, ERP-Systeme, Terminal-Server, Applikationen, die über das Internet erreichbar sein müssen;
-
der Umgang mit externen Schnittstellen (USB, Firewire, Bluetooth)
-
und nicht zuletzt der Web-Datenverkehr.
Schon das normale Surfen auf seriösen Web-Seiten birgt Gefahren, da viele Websites mit Viren infiziert sind. Scripts, die auf HTML-Seiten ablaufen, um Werbung oder kleine Applikationen für die Benutzer öffnen, sind ideale Träger für Viren. Auch hinter kostenlosen Downloads lauern Gefahren, denen nicht jeder Virenscanner gewachsen ist.
Nutzungsprofil der Anwender
Welcher Virenscanner im Unternehmen zum Einsatz kommt, hängt auch von den Aufgaben und dem Verhalten der Anwender im Unternehmen ab:
-
Müssen große Dateien empfangen und/oder per E-Mail versendet werden, oder werden Daten über FTP ausgetauscht?
-
Braucht das Unternehmen Java-Applikationen?
-
Ist privates Surfen und privater E-Mail-Empfang untersagt?
-
Werden berufsbedingt Web-Seiten mit zweifelhaftem Inhalt angesurft (das kommt bei Soziologen und Psychiatern vor)?
-
Müssen Zugänge zur Fernadministration und zum Support überwacht werden?
-
Brauchen Benutzer administrative Rechte auf ihren Endgeräten, um selbst Anpassungen vornehmen zu können?
All diese Sonderfunktionen, die über eine normale Nutzung von PCs als Bürorechner hinausgehen, stellen Virenscanner vor große Herausforderungen. Problematisch sind für manche Antivirenwerkzeuge verschlüsselte Dateien sowie mehrfach gepackte Daten.
Verwaltung der Virenscanner
Foto:
Wichtig für Administratoren ist die zentrale Verwaltbarkeit der verwendeten Antivirensoftware. In kleinen Unternehmen ist dies nicht unbedingt notwendig, aber schon ab fünf Mitarbeitern rechnet sich ein zentrales Management. Mit der Firmengröße steigt der Bedarf an Funktionen, um den Verwaltungsaufwand auf mehrere Administratoren verteilen zu können. Dabei spielen Kompetenzen ebenso eine wichtige Rolle wie Redundanz und Stellvertretungen. Nicht in allen Betrieben hat jeder Administrator Zugriff auf die Server und deren Absicherung. Auch werden Client-PCs und deren Administration oft an externe Firmen vergeben, die einen eigenen Zugriff auf das Management der Antivirensoftware haben.
Die Verwaltungsfunktion muss Antivirensoftware remote verteilen und aktualisieren können. Zudem sollte sie in der Lage sein, Alarme zentral zu sammeln. Firmen benötigen ferner Funktionen, um Sicherheitsrichtlinien granular zu verwalten, so dass der Systemverwalter sie je nach Anforderung einzelnen Gruppen oder Abteilungen zuweisen kann. Idealerweise lehnt sich der Virenscanner an ein zentrales Verzeichnissystem (Active Directory oder eDirectory) an.
Änderungen sollten nicht sofort wirken, sondern explizit freigegeben werden können, und es sollte möglich sein, sowohl fremde als auch den eigenen Virenscanner zentral zu deinstallieren.
Je nach Kompetenz eines Benutzers kann es von Vorteil sein, ihm Quarantäne-Verwaltung zu überlassen. Fälschlicherweise in einen Quarantäne-Ordner gestellte E-Mails kann der Anwender dann selbst freigeben beziehungsweise den Grund für die Blockade der Nachricht erforschen.
Update-Verfahren für Virensignaturen
Obwohl heutzutage die Bandbreite zum Internet meist nur noch eine untergeordnete Rolle spielt, sollte bei der Auswahl des Virenscanners die Update-Methode nicht außer Acht gelassen werden. Dabei ist zu unterscheiden, wie häufig und auf welche Weise die Aktualisierung erfolgt.
Zwar ist es mittlerweile aufgrund der schnellen Verbreitung von Viren und ihren Derivaten üblich, den Virenscanner täglich mehrmals zu aktualisieren, doch das ist nicht überall so.
Zu beachten ist auch, ob Virenscanner immer die gesamten Virenpattern herunterladen müssen oder ob es auch möglich ist, inkrementelle Aktualisierungen zu beziehen. Auch ein manuelles Update kann nützlich sein.
Einige Hersteller gestatten es, den Web-Datenverkehr online zu prüfen. Hersteller durchsuchen hierzu eine Online-Datenbank, in der bedenkliche Internet-Seiten geführt sind. Sollte der Server einmal nicht erreichbar sein, so greift der Virenscanner auf eine Kopie dieser Datenbank zurück, die auf dem Server des Anwenderunternehmens liegt. Bei diesem Verfahren kann der Datenverkehr auf der Internet-Verbindung drastisch ansteigen. Genügend Bandbreite sollte also vorhanden sein.
Hardwarebedarf auf Clients und Servern
Virenscanner sind unter anderem deshalb unbeliebt beim Anwender, weil sie Ressourcen binden. Die Werkzeuge belasten die CPU und belegen viel Arbeitsspeicher, und zwar sowohl auf den Arbeitsplatzrechnern als auch auf den Servern.
Wie "hungrig" ein Antiviren-Tool ist, lässt sich oft erst nach einigen Wochen Praxis genau sagen. Teilweise führt auch eine falsche Konfiguration zu überhöhtem Verbrauch. Gegebenfalls können Firmen statt des klassischen Ansatzes, Antivirenprogramme auf Servern und Clients zu betreiben, diese Aufgabe auf eine Hardware-Box auslagern. Dabei agieren hardware-basierende Scanner als zentrales Überwachungselement und verhindern, dass Schadprogramme aus dem Internet oder per E-Mail versandte Viren Rechner befallen.
Kommt das aus Kostengründen nicht in Frage, muss vor der Anschaffung des Virenscanners sichergestellt sein, dass sowohl die Desktops als auch die Server-Systeme genügend Kapazitäten frei haben. Nicht zu vergessen: Auch die Verwaltungs-Tools des Virenscanners beanspruchen Rechenleistung, denn sie verfügen meistens über eine eigene Datenbank.
Wer mag schon Virenscanner?
Foto:
Ist alles geprüft und sind die Bedürfnisse des Unternehmens ausreichend geklärt, sollte man sich, noch bevor man sich über die Preise unterhält, mit den Benutzern befassen. Sicherheitssysteme nutzen wenig, wenn die Anwender sie ablehnen. "Wenn mich keiner mehr in der Firma grüßt, dann ist die IT sicher", lautet der Spruch so manchen Sicherheitsberaters. Eine solche Haltung können sich Administratoren nicht erlauben, da sie ja auch nach der Einführung des Virenscanners in der Firma arbeiten müssen. Und sie werden auch mit den Beschwerden der Anwender konfrontiert. Die monieren lahme Rechner, Netze oder Server, nicht erhaltene E-Mails beziehungsweise Anhänge sowie Beeinträchtigungen beim Web-Surfen.
Bei der Auswahl des Virenscanners ist darauf zu achten, die Benutzer rechtzeitig zu informieren und zu schulen (siehe auch "Sicherheit beginnt im Kopf"). Der Virenscanner muss "benutzersicher" sein, darf sich also vom Anwender nicht ohne weiteres abschalten lassen. Achten sollten Firmen auch darauf, wie und wie oft der Nutzer Warnmeldungen erhält. Zu viele davon verunsichern und frustrieren die Benutzer. Wer Firmendaten und Rechner schützen will, braucht neben Technik eine gute Informationspolitik und klare Sicherheitsrichtlinien.
Auch dem Administrator muss es gefallen
Oft sind persönliche Vorlieben des Administrators ausschlaggebend für den korrekten Einsatz von Antivirensoftware. Firmen sollten auf jeden Fall die Testversion des Virenscanners (meist gilt sie über 30 Tage) auf einem System installieren und testen. Da Virenscanner massiv in das Betriebssystem eingreifen, kann es durchaus vorkommen, dass Programme, für die der Administrator zuständig ist, ihren Dienst einstellen, weil sie vom Virenscanner blockiert werden.
Wenig ratsam ist, mehr als einen Virenscanner auf einem System parallel zu betreiben. Die einzelnen Scanner würden sich untereinander bekriegen statt zu schützen. Oft muss der Systemverwalter nach der Deinstallation eines Virenscanners verbleibende Komponenten manuell vom Rechner entfernen, weil sie sonst die Funktion des neuen Virenscanners beeinträchtigen können.
Das liebe Geld: Preise und Lizenzen
Sowohl bei einer Neuanschaffung als auch bei einem Wechsel ist die Preispolitik der Antivirensoftwarehersteller nicht immer klar ersichtlich. Da gibt es Upgrades, Cross-Grades, Sonderpreise für Behörden, Schulen und soziale Einrichtungen.
Die Lizenzmodelle der Hersteller lassen sich nicht immer vergleichen: Mal werden die Lizenzen nach den im Active Directory eingetragen Benutzern berechnet, mal nach zu schützenden Mailboxen.
Oft sind neben dem gewöhnlichen Virenschutz auch noch Spam-Filter in der Lizenz enthalten, die Absicherung des Web-Verkehrs muss aber extra gezahlt werden. Zu den Lizenzkosten können Gebühren kommen, die sich hinter Support, Protection Subscription, etc. verstecken. Was ein Virenscanner wirklich kostet, sieht man erst über einen längeren Zeitraum. Daher sollten Unternehmen sich Angebote einholen und eine Kostenbetrachtung über einen Zeitraum von fünf Jahren fordern (siehe auch "Virenschutz ist zu teuer").
Firmen sollten darauf achten, nur das zu bezahlen, was sie wirklich brauchen. Es lohnt sich, über so genannte Cross-Grades zu verhandeln: Wenn ein Unternehmen bereits einen Virenscanner im Einsatz hat (und sei es die Testversion auf den Desktops), dann ist es bei vielen Herstellern möglich, günstigere Preise zu erhalten, wenn dieser Virenscanner abgelöst wird. (fn)