Unternehmen sollten sich zunächst einer individuellen Risikoanalyse unterziehen, in der sie die für sie wichtigsten IT-Systeme identifizieren. Hierbei ist festzustellen, welche Rechner besonders verwundbar sind und welche auf keinen Fall oder zumindest nicht über einen längeren Zeitraum ausfallen dürfen. "Eine solche Analyse ist ohnehin empfehlenswert, denn ohne sie lassen sich auch keine sinnvollen Notfallpläne für Stromausfälle, Feuer oder Wasserschäden aufstellen", erläutert Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Dienstleisters Cirosec aus Heilbronn.

Brigitte Salm, IT-Security-Beauftragte der Allianz Dresdner Informationssysteme (Agis), teilt diese Auffassung. "Notfallpläne kommen dann zum Einsatz, wenn Business-Applikationen nicht mehr großflächig zur Verfügung stehen. In einem solchen Fall spielt es keine Rolle, ob die Ursache ein Virus oder ein anderer Vorfall ist." Bei der Agis greift dann ein Business-Continuity-Plan, anhand dessen versucht wird, das Problem zu beseitigen und gleichzeitig die Arbeitsfähigkeit der Systeme zu erhalten oder wiederherzustellen.

Auch die Hypovereinsbank ist für den Fall der Fälle vorbereitet. Hier überwacht ein Security-Response-Team rund um die Uhr die Systeme der Bank. Die Experten werden frühzeitig von den Antiviren-Herstellern über Bedrohungen informiert. "Wir können so unser Netz abschotten, noch bevor ein Internet-Wurm unsere Rechner befallen kann", so Mark Boenke, Verantwortlicher für Virenschutz bei dem Geldhaus. Allerdings mussten auch die Münchner nach dem Auftauchen des "Nimda"-Wurms einzelne Computer vom Netz trennen. Dies war allerdings der bisher einzige Fall dieser Art.

Unbekannte Würmer blocken

Anwender neigen dazu, ihre Notfallpläne nur auf bekannte Virentypen abzustellen. Doch aus Sicht des Sicherheitsexperten Stefan Strobel vom Dienstleister Cirosec reicht das nicht aus, da der nächste Störenfried sich möglicherweise völlig anders verhält als seine Vorgänger. Fast täglich spüren Sicherheitsprogramme Viren im Unternehmensnetz auf, doch das ist laut Strobel der einfache Fall: Erkennen die Antiviren-Programme den schädlichen Code, können sie ihn auch entfernen. Problematischer sei hingegen, wenn Anwender Anomalien feststellen, die auf noch unbekannte Viren oder Würmer schließen lassen.

Aus diesem Grund muss nach Ansicht Strobels der Notfallplan so abstrakt sein, dass er auch für noch nicht identifizierte Schädlinge geeignet ist. Zum Beispiel könnte eine Maßnahme bei einem neuen E-Mail-Wurm sein, so schnell wie möglich Filterregeln für den E-Mail-Server zu definieren, damit sich der noch unbekannte Wurm nicht weiter verbreitet. Üblicherweise befallen die Störprogramme nämlich die Mail-Software auf den Desktops, nicht jedoch den zentralen Server. Gleichwohl nutzen die infizierten Clients diesen Rechner zum Weiterleiten der Schadensroutine. Solche E-Mail-Regeln können beispielsweise Nachrichten aufgrund des Absenders, der Betreffzeile oder von Anhängen filtern.