Ein Schutzschild für Tux
Um ein Linux-System zu schützen, sollte gerade im Unternehmensbereich ein Virenscanner eingesetzt werden. Ein Antivirus-Programm für Linux ist meistens etwas anders aufgebaut als ähnliche Lösungen für Windows. Ein normaler On-Demand-Scanner für den manuellen oder zeitgesteuerten Scan des Filesystems ist grundsätzlich immer enthalten. Ein On-Access?Scanner, der permanent alle Aktionen auf dem System prüft, ist aufgrund der Struktur nicht leicht in Linux zu integrieren.
Oft wird dazu ein zusätzliches Modul an den Kernel kompiliert, das in Kombination mit einer Scan-Engine die Wächterfunktion übernimmt. Ein klassisches Antivirus-Programm besteht aus einer Signatur-basierten Engine, die eine vom Hersteller regelmäßig aktualisierte Signaturen-Datenbank benötigt. Dazu kommt eine heuristische Engine, die auf Basis mathematischer Routinen auch bisher unbekannte Schadprogramme erkennt.
Durch ein internes Rating wird festgelegt, ob es sich bei einem unbekannten Programm um Schadcode handelt oder nicht. Die Heuristik ist bei jedem Hersteller unterschiedlich eingestellt. Besonders aggressive heuristische Engines liefern öfter Fehlalarme. Die Konfiguration eines Virenscanners unter Linux wird häufig über ein Web-Interface oder direkt im Config-File durchgeführt, ein X-GUI (Graphical User Interface) ist selten vorhanden.
Neben dem Virenscanner bietet Linux weitere Sicherheitsmöglichkeiten: Neben iptables als Firewall gibt es hostbasierte IDS wie AIDE und Patches zur Härtung des Systems. Diese bieten Schutz vor Exploits und Zugriffskontrolle. Gerade im Server-Bereich sollten entsprechende Sicherheitstechnologien eingesetzt werden, damit diese Systeme nicht korrumpiert werden können.
Fazit und Ausblick
Das klassische Netzwerk wird immer mehr durch neue Technologien erweitert, und Administratoren werden vor neue Herausforderungen gestellt. Einer dieser Trends ist die ansteigende Zahl von mobilen Geräten. In Unternehmen werden immer mehr PDAs und Smartphones benutzt, die neben Notebooks zu einem Trojanischen Pferd werden können. Derartige Geräte bieten noch keine oder nur wenige Möglichkeiten zum Management durch eine zentrale Stelle. Die Kontrolle wird somit sehr schwer.
Der Symbian-Wurm Cabir markierte Mitte 2004 den Anfang einer neuen Art von Malicious Code, der sich auf mobile Geräte spezialisiert hat. Inzwischen sind etwa 150 Schadcodes für das Symbian-Betriebssystem bekannt. Gezielte Attacken auf Unternehmen sind über derart schutzlose Systeme relativ einfach möglich. Auf diese neuen Gefahren sollten auch die internen Sicherheits-Policies der Unternehmen hinweisen, um auch von innen geschützt zu sein.