Regel 32: Standards zum Virenschutz

Zielgruppe: Systemadministratoren, IT-Sicherheits-Beauftragte der Einrichtungen; Endanwender

Vorwort

Jede nachfolgende Festlegung bildet ein Hindernis für Computer-Viren.

Bei einer konsequenten Verwirklichung, wird die Wahrscheinlichkeit einer erfolgreichen Abwehr gesteigert. Die verbindlichen Festlegungen beziehen sich überwiegend auf Microsoft Windows und Office-Produkte, da diese aufgrund der weltweiten Verbreitung das größte Gefahrenpotenzial darstellen.

Die vorhandenen Links verweisen auf weitergehende bildliche Erläuterungen und beziehen sich auf die Windows 2000-Version.

Weiterhin halten sich die Festlegungen eng an die Empfehlung des Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusätzlich flossen die Erfahrungen des Regionalen Rechenzentrums in diesem Bereich mit ein. Es werden zwei Zielgruppen angesprochen:

• Endanwender: Betreiber privater und am Arbeitsplatz eingesetzter Rechner
• Administratoren: Verwalter und Betreuer von Rechnern und Netz-Infrastrukturen

Verbindliche Festlegungen

Endanwender

Einstellungen am Rechner

1. Alle vorhandenen Sicherheitsfunktionen des Rechners aktivieren (Passwort-Schutz, Bildschirmschoner mit Passwort, etc.). Während der Abwesenheit des berechtigten Benutzers dürfen Unbefugte keine Zugriffsmöglichkeiten zum Rechner erlangen.

2. Aktuelles Viren-Schutzprogramm ( Sophos-AV) mit aktuellen Signatur-Dateien einsetzen, das bei bekannten Computer-Viren Alarm schlägt.

3. Im Microsoft Windows-Dateimanager: Im Explorer sollte die Anzeige aller Dateitypen aktiviert sein.

4. Wenn vorhanden: Virenschutz im BIOS aktivieren.

5. Microsoft Windows Scripting Host und DFÜ-Server entfernen (falls nicht benötigt).

6. Makro-Virenschutz von Anwendungsprogrammen (WinWord, Excel, Powerpoint, etc.) aktivieren u

7. Sicherheitseinstellungen von Internet-Browsern auf eine höhere Stufe einstellen (Deaktivieren von Skript-Sprachen (z.B. Visual Basic Script, VBS).

8. Windows Start-/Notfall-Diskette erstellen.

Verhalten bei E-Mail

1. Unsinnige E-Mails von unbekannten Absendern sofort ungeöffnet löschen.

2. E-Mails von bekannten Absendern überprüfen, ob der Text der Nachricht auch zum Absender passt (z.B. englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) Wurde die Anlage (Attachment) auch erwartet?

3. Vorsicht bei mehreren E-Mails vom selben Absender mit gleichlautendem Betreff.

4. Kein Doppelklick bei ausführbaren Programmen (*.COM, *.EXE, *.BAS, *.PIF) oder Script-Sprachen (*.VBS, *.SHS, *.BAT, *.WS), Vorsicht auch bei Office-Dateien (*.DOC, *.XLS, *.PPT), Bildschirmschonern (*.SCR) sowie Dateien mit den Endungen (*.CHM, *.CMD, *.HTA, *.JS).

5. E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten.

6. Nur vertrauenswürdige E-Mail-Attachments öffnen (z. B. nach tel. Absprache). Die Art des Datei-Anhangs (Attachment) ist bei Sabotageangriffen oft getarnt und über ein Icon nicht sicher zu erkennen.

7. E-Mails nicht im HTML-Format versenden, auch wenn es vom eingesetzten Mail-Programm her möglich wäre; ebenso sind aktive Inhalte in E-Mails zu vermeiden.

8. WinWord-Dokumente im RTF-Format versenden (Damit wird auch die Weiterleitung von ggf. vertraulichen Informationen im nicht direkt sichtbaren Verwaltungsteil der DOC-Datei verhindert.)

9. Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden, da diese evtl. einen Computer-Virus enthalten können.

10. Keinen Aufforderungen zur Weiterleitung von Warnungen, Mails oder Anhängen an Freunde, Bekannten oder Kollegen folgen, sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Meist handelt es sich um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "Falschmeldung", Kettenbrief, Glücksspiele, etc.).

11. Gelegentlich prüfen, ob E-Mails im Ausgangs-Postkorb stehen, die nicht vom Benutzer selbst verfasst wurden.

12. Absender von E-Mails, die Werbung (SPAM) enthalten, blockieren/ausfiltern.

Verhalten im Internet(Download/Surfen)

1. Programme sollten nur von vertrauenswürdigen Seiten geladen werden, also insbesondere von den Originalseiten des Erstellers. Private Homepages, die bei anonymen Webspace-Providern eingerichtet werden, stellen hierbei eine besondere Gefahr dar.

2. Die Angabe der Größe von Dateien sollte nach einem Download immer überprüft werden (Byte-Angaben). Bei Abweichungen von der vorgegebenen Größe ist zu vermuten, dass unzulässige Veränderungen, meist durch Viren, vorgenommen worden sind. Eine Löschung der Dateien ist in diesem Fall vorzunehmen.

3. Mit einem aktuellen Viren-Schutzprogramm sollten vor der Installation die Dateien immer überprüft werden.

4. Gepackte Dateien (z.B. ZIP-Dateien) erst entpacken und auf Viren überprüfen. Installierte Entpackungsprogramme sollten so konfiguriert sein, dass zu entpackende Dateien nicht automatisch gestartet werden.

5. Vergleichen Sie die Angaben des Links mit der Adresse in der Task-Leiste.

6. Um unerwünschte Popups (Werbefenster, die automatisch bei Aufruf einer Seite geöffnet werden) zu vermeiden, empfiehlt es sich, einen sogenannten Popup-Blocker zu verwenden.

Administratoren

Schutzmaßnahmen für den Endanwender

1. Einsatz von Anti-Viren- n mit regelmäßiger automatisierter Aktualisierung (Update). Sowohl zentral bei der Überwachung der E-Mail (File- bzw. Mail-Server), als auch lokal beim Endanwender (Client). - verteilte Arbeitsplätze über ZEN, Installation auf Netware-Servern und Sophos-AV unter Solaris.

2. Gesicherte Konfiguration der E-Mail-Clients. - Attachments nicht automatisch öffnen, als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z.B. WinWord) oder Scripts einsetzen. HTML-Format nicht verwenden.

3. Endanwender im Umgang mit E-Mails entsprechend schulen und hinsichtlich der Sicherheitsaspekte sensibilisieren.

4. Zentralen Ansprechpartner (E-Mail-Adresse, Telefon- und Fax-Nummer) zu benennen.

Zentrale Schutzmaßnahmen

1. Viren-Schutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs sind auf Mail-Servern und Gateways zu installieren und regelmäßig zu aktualisieren.

2. Filterregeln an Gateways oder Firewalls, sowie Nutzung von "Policies"

3. Ausschließlich ein einheitliches E-Mail-Programm einsetzen, welches über entsprechende Sicherheitsfunktionen verfügt. Keine "privaten Insellösungen"!

4. Rechner, mit kritischen Anwendungen, müssen ohne E-Mail und Internet-Zugang betrieben werden.

5. Rechner mit ungeschützter externer Kommunikationsverbindung (z.B. Modem/ISDN ohne Anschluss über gesicherte Gateways und Firewalls) dürfen nicht gleichzeitig mit dem Behörden-Netz verbunden sein.

6. Regelmäßig Datensicherung durchführen! Bei Datenverlust ist das die einzige Maßnahme, die einen Weiterbetrieb des Institutes/Einheit ermöglicht.

Erstellen von Notfallplänen

1. Informationswege für Notfälle planen, die zuständigen Funktionen oder Personen zu definieren, Ausweichwege für Kommunikation und Vertretungsregeln festzulegen.

2. Verfahren zur differenzierten E-Mail-Filterung (z.B. Größenbeschränkung, keine Attachments, nur Post-Eingang, Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen.

3. Bei Vorliegen eines neuen Computer-Virus die Updates der Viren-Schutzprogramme möglichst rasch auf Servern, Gateways und Clients einspielen. Entsprechende Verteilwege und Maßnahmen vorbereiten und testen.

4. Sind durch einen neuen Computer-Virus die üblichen Informationswege nicht verfügbar, sind alternative Verfahren zur zeitnahen Warnung vorzusehen (Fax, SMS, Lautsprecherdurchsagen).

5. Verwendete IP-Adressen oder Ports, welche von Viren benutzt werden, sind durch Filter abzublocken.

6. Backup- und Restore-Strategien erarbeiten, die festlegen, welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind, damit in kürzester Zeit eine, wenn auch eingeschränkte, Funktionsfähigkeit hergestellt werden kann.

Letzte Änderung: 13. Maerz 2012, Historie