Antivirenprogramme sollen Schadprogramme identifizieren und blockieren.

Um dies zu bewerkstelligen, kennen sie zwei mögliche Vorgehensweisen:

• Auf Basis von "Signaturen" der Schadprogramme: sobald ein neues Schadprogramm entdeckt wird, wird es von den Antivirus-Herstellern analysiert . Diese erstellen ein Protokoll zur Identifikation und Beseitigung des betreffenden Codes. Anschließend übermitteln sie diese Informationen an die Programme der Kunden. Alle neuen Schadprogramme, jene die sich fortwährend verändern, oder jene die nur für gezielte Angriffe benutzt werden, werden nicht entdeckt.. Daher sind Antivirenprogramme vergleichbar mit Sicherheitsgurten: ihr Schutz wirkt, aber nicht zu 100%.

• Auf Basis des "Verhaltens" der Schadprogramme: Antivirenprogramme identifizieren Schadprogramme auf Basis der Operationen die diese ausführen wollen (Heuristik)

Die Antivirenprogramme sind unentbehrlich um Computer, Smartphones, Tablets und Server gegen die immer zahlreicher werdenden Schadprogramme zu schützen.

Kein System ist unverwundbar gegen Angriffe von Schadprogrammen, insbesondere da Maschinen keinen Unterschied zwischen Schadprogrammen und normalen Programmen machen können.

Verhaltensregeln

• Ein Benutzer, der eine verdächtige Datei erkennt, unabhängig davon, ob er sie über E-Mail oder auf einem Wechselmedium erhalten hat, darf diese nicht öffnen.

• Falls man eine Datei, die wahrscheinlich keine vertraulichen Informationen enthält, öffnen muss, kann der Benutzer die Datei auf die Seite von virustotal hochladen, wo sie durch eine Vielzahl von Programmen untersucht wird.

• Es kann auch sehr zielführend sein, 3 oder 4 Tage zu warten, bevor man die Datei öffnet. Falls es sich tatsächlich um ein neues Schadprogramm handelt, wird diese Zeit von den Herstellern der Antivirenprogramme benötigt, um das Schadprogramm zu entdecken, zu analysieren und die Singnaturdaten der Antivirenprogramme der Kunden auf den neuesten Stand zu bringen.

Organisatorische Maßnahmen

Innerhalb einer Organisation ist es wichtig:

• Die Benutzer dahingehend auszubilden, dass sie verdächtige oder zweifelhafte Dateien erkennen, und sie gegenüber Social engineering-Techniken zu sensibilisieren.

• Klare und verständliche Anweisungen für die Handhabung von zweifelhaften oder verdächtigen Dateien zu erstellen.

• Einen Ansprechpartner zu definieren, auch für den Fall, dass ein Benutzer eine Datei geöffnet hat oder auf einen Link geklickt hat.

• die erforderlichen Sicherheitsleitlinien zu schreiben und durchzusetzen.

Technische Maßnahmen

• Die Antivirenprogramme müssen fortlaufend (mehrmals am Tag) aktualisiert werden, damit die Signatur-Datenbank immer aktuell ist.

• Die auf Rechnern und Servern installierten Antivirenprogramme sollten von verschiedenen Herstellern stammen, da dies die Wahrscheinlichkeit, Viren zu entdecken, erhöht.

• Selbst wenn ein neues Schadprogramm von einem Security-Experten entdeckt wird, benötigen die Hersteller von Antivirenprogrammen einige Zeit (etwa 1 bis 4 Tage), um das neue Schadprogramm zu analysieren und ihre Signatur-Datenbanken zu aktualisieren.

• Richten Sie einen spezialisierten Dienst zum Analysieren verdächtiger oder zweifelhafter Dateien ein. Die EDV- Abteilung beziehungsweise ein externer Experte kann die Dateien in einer speziellen Umgebung öffnen und untersuchen.

• Bei Verdacht auf eine Infektion durch Schadprogramme, scannen Sie Ihren Computer mit einem Antivirenprogramm auf Live-CD

• Da einige Schadcodes (Würmer) technische Schwachstellen ausnutzen, sollten immerPatches verwendet sowie alle Anwendungssysteme und Anwendungen, die auf dem betroffenen System benutzt werden, aktualisiert werden.

• Da verschiedene Schadprogramme (Würmer) automatische Mechanismen zur Verbreitung haben, empfiehlt es sich, das Netzwerk mit Hilfe einer Firewall abzutrennen und eventuell die einzelnen Rechner mit einer Firewall auszustatten. Diese können auch helfen, das Exfiltrieren von Daten mit Hilfe von Trojanischen Pferden zu verhindern.

Schreiben und setzen Sie folgende Sicherheitsleitlinien durch:

• Organisation der Sicherheit.

  • Genehmigungsverfahren für informationsverarbeitende Einrichtungen

  • Einbringung von Dienstleistungen

• Personalsicherheit

  • Sicherheit als Aufgabe

  • Schulung und Information

  • Umgang mit Informationssicherheitsvorfällen

• Physische und umgebungsbezogene Sicherheit

  • Sicherheitsbereiche

  • Regeln im Sicherheitsbereich

  • Sicherheit von außerhalb des Standorts befindlicher Ausrüstung

• Betriebs- und Kommunikationsmanagement

  • Schutz gegen Schadprogramme

  • Backup

  • E-Mail

• Zugangskontrolle

  • Leitlinie zur Zugangskontrolle

  • Verwaltung von Benutzerberechtigungen

  • Kontrolle von Netzverbindungen

  • Verbindung de l’extérieur

  • Trennungen von Netzen

• Umgang mit Informationssicherheitsvorfällen

  • Melden von Informationssicherheitsereignissen

  • Umgang mit Informationssicherheitsvorfällen und Verbesserungen

  • Disziplinarverfahren

• Sicherstellung des Geschäftsbetriebs

  • Sicherstellung des Geschäfstbetriebs

• Einhaltung von Vorgaben

  • Geistiges Eigentum

  • Schutz der organisationseigenen Aufzeichnungen

  • Schutz der personenbezogenen Daten

Lösungen für Computer

Antivirenprogramme sind wichtig und sollten auf jedem Rechner, unabhängig vom Betriebssystem, installiert werden. Es gibt viele Lösungen, aber Achtung, kein Antivirenprogramm kann alle Schadprogramme erkennen. Es ist daher unerlässlich die Verhaltensregeln in Bezug auf E-Mail sowie die Verhaltensregeln in Bezug auf die Handhabung von Wechselmedien zu beachten.

Lösungen, welche von Ihrem Internet Service Provider angeboten werden

Lösungen, welche von Ihrem Internet Service Provider (ISP) angeboten werden, können E-Mails sowie Daten, welche zwischen Ihrem Rechner und einer besuchten Internetseite ausgetauscht werden, untersuchen.

Diese Lösungen bieten, neben den offensichtlichen Vorteilen, auch erhebliche Nachteile:

• Unfähigkeit, chiffrierte Inhalte zu scannen, wenn Sie beispielsweise eine mit SSL gesicherte Webseite besuchen oder chiffrierte E-Mails empfangen;

• Unfähigkeit, Dateien zu scannen, die Sie von Wechseldatenträgern wie etwa von DVDs, CDs, externen Festplatten oder USB-Sticks übertragen;

• Unfähigkeit, Ihr System zu scannen und dadurch Unfähigkeit, Schadprogramme zu finden, die es geschafft haben, Ihren Rechner zu infizieren, bevor sie von einem Antivirenprogramm gefunden werden.

• Sie können Ihr Antivirenprogramm nicht selbst auswählen und wissen auch nicht, ob es laufend auf dem letzten Stand gehalten wird.

Das Abonnieren solcher Diensteislungen Ihres Internet Service Providers ist sicher hilfreich, kann aber nicht die lokal auf Computern oder Servern installierten Lösungen ersetzen.

Lösungen für Server

Antivirenprogramme für Server sind mehr oder wenig vergleichbar mit Lösungen für Desktops. Der Unterschied liegt in der Spezialisierung verschiedener Antivirenprogramme. Es ist zum Beispiel üblich, alle E-Mails, die durch einen Mail-Server weitergeleitet werden oder alle Downloads, die durch einen Proxy-Server geleitet werden, nach Schadprogrammen zu durchsuchen.

Der Großteil aller Antivirenprogramme arbeitet nach zwei Methoden:

• Der "Echtzeitschutz" ("realtime protection"), bei dem Schadprogramme abgefangen werden, sobald diese versuchen, ein Gerät zu infizieren.

• Die gezielte Inspektion einer Maschine ("Scan"), um Schadprogramme zu entdecken, die bereits das System infiziert haben. Der Scan ist wesentlich erfolgreicher, wenn das Schadprogramm inaktiv ist, zum Beispiel bei der Benutzung eines sogenannten 'live' Betriebssystems (Antivirus auf Live-CD)