Worum geht es?
In Kapitel 8.7 behandelt die ISO 27002 eines der gängigsten und bekanntesten Themen der Informationssicherheit. Würde man beliebige Menschen fragen, welche typischen Maßnahmen zum Schutz eines Computers sie kennen, wäre der Virenschutz wahrscheinlich unter den häufigsten Antworten. Spätestens seit Mitte der 1970er Jahre gibt es Computerviren und auch in diesem Bereich hat die Entwicklung nicht Halt gemacht.
Moderne Schadsoftware muss als sehr ernsthafte Bedrohung wahrgenommen werden. Über die entsprechenden Kanäle lassen sich Bausätze kaufen, die einem die Entwicklung eigener Viren auch ohne vertiefte Programmierkenntnisse ermöglichen – oder man bucht den Angriff gleich als Service.
Aus welchem Grunde auch immer eine Attacke erfolgt – gelingt der Angriff, hat er schnell extreme Auswirkungen. Nach Schätzungen des Digitalverbandes Bitkom betragen die weltweiten Schäden durch Cybercrime über 200 Milliarden Euro pro Jahr. Nicht selten sind die Folgen für einzelne betroffene Organisationen existenzbedrohend.
Was empfiehlt die ISO 27002?
Dass die Norm den Einsatz einer Software zur Erkennung von Schadsoftware und möglichst zur Reparatur einer Infektion empfiehlt, ist nicht überraschend. Wichtig ist, auch Sensibilisierungsmaßnahmen zu ergreifen und das Änderungsmanagement entsprechend auszugestalten.
Dabei hat sich unserer Erfahrung nach folgendes Vorgehen als sinnvoll bewiesen:
- Organisationen sollten Regeln und Maßnahmen umsetzen, die sicherstellen, dass nur zugelassene Software aus vertrauenswürdigen Quellen ausgeführt und installiert wird. Eine abschließende Positivliste mit den erlaubten Programmen hilft hier. Ergänzend kann die Nutzung potenziell oder bekanntermaßen gefährlicher Quellen unterbunden werden, etwa durch Sperrlisten für bestimmte Websites oder die Beseitigung der Möglichkeit zur Nutzung von Wechseldatenträgern.
- Mitarbeitende und andere Personen sollten mit den Regelungen und Maßnahmen soweit erforderlich vertraut gemacht sein und auch geschult werden, wie sie aktiv zum Schutz vor Malware beitragen können und wie sie sich bei Verdacht auf einen Befall verhalten (siehe dazu etwa unsere Informationssicherheitsschulungen für Mitarbeitende).
- Es sollte eine Anti-Malware-Software eingesetzt werden, die laufend so aktuell gehalten wird und konfiguriert ist, dass sie in der Lage ist, auch neueste Malware zu erkennen. Die Software darf nicht unbefugt, sondern nur ausnahmsweise und geplant deaktiviert oder geändert werden. All dies sollte nach Möglichkeit zentral überwacht werden, wenigstens sobald ein System eine Verbindung zum internen Netz aufbaut.
- Bei Auffälligkeiten oder Befall sollten Systeme möglichst automatisch isoliert werden. Auch eine Meldung an die IT sollte selbständig ausgelöst werden, um rasches Handeln zu ermöglichen.
- Wartungsarbeiten dürfen nicht zu einer Beeinträchtigung oder Umgehung des Schutzes führen. So sollten etwa Systeme, die zur Reparatur außer Haus waren, gründlich überprüft werden, bevor sie wieder zum aktiven Teil des internen Netzwerks gemacht werden.
- Auch Software, die aus voraussichtlich vertrauenswürdigen Quellen stammt, muss auf unerwünschte Software untersucht werden; bestenfalls bereits während der Übertragung und noch vor der Ausführung. Dies gilt selbstverständlich auch für alle Dateien, die per E-Mail oder Messenger empfangen werden; auch und vielleicht gerade dann, wenn diese verschlüsselt sind.
- Es ist sinnvoll, die gerade beschriebenen Maßnahmen abgestuft bzw. gestaffelt einzusetzen. Nur Endgeräte zu schützen ist schnell nicht mehr ausreichend. Der Schutz kann erheblich verbessert werden, wenn an Gateways, Servern und Endgeräten Lösungen eingesetzt werden, die jeweils vor Schadsoftware schützen. Durch die Kombination von Lösungen verschiedener Anbieter kann der Schutz möglicherweise noch weiter erhöht werden.
- Extrem kritische Bereiche der IT sollten ungeachtet aller Vorsichtsmaßnahmen ggf. isoliert werden. Es kann notwendig sein, diese von anderen Netzwerken und insbesondere vom Internet zu trennen.
- Manche Anbieter von Malwareschutz bieten auch Sandboxes an, in denen Tests in einer isolierten Umgebung durchgeführt werden können.
- Schwachstellen, die von Schadsoftware ausgenutzt werden können, sollten nach Möglichkeit schnellstmöglich beseitigt werden, etwa durch zeitnah Installation verfügbarer Patches und Sicherheitsupdates.
- Alle Maßnahmen sollten durch die laufende Beschaffung vertrauenswürdiger Informationen über neue Entwicklungen, Schwachstellen und aktuelle Bedrohungen ergänzt werden.
- Organisationen sollten sich bewusst sein, dass es auch Systeme bzw. Software gibt, die sich nicht mit herkömmlichen Mechanismen schützen lassen. Firmware von IT-Komponenten etwa oder die Software zum Betrieb und der Steuerung von Anlagen und Maschinen erlauben regelmäßig keine Installation einer Antivirensoftware und werden von dieser regelmäßig auch nicht geschützt.
Fazit
Virenschutz als eine der ältesten, bewährtesten und auch bekanntesten Maßnahmen zum Schutz der eigenen IT-Systeme, ist meist selbstverständlich, wird aber gleichzeitig auch zu oft auf die leichte Schulter genommen. Eine sichere Implementierung bedeutet deutlich mehr, als auf den eingesetzten Notebooks ein beliebiges oder gleich mitgeliefertes Antivirenprogramm zu installieren. Zudem hält sich bis heute auch etlicher Aberglauben hartnäckig, wie z.B., dass es Hersteller gibt, deren Systeme von Haus so sicher sind, dass sie keinen Virenschutz benötigen oder dass Virenschutz die Funktion von Systemen beeinträchtigt.
Wenn es darum geht, den Schutz nicht nur punktuell, sondern in der Fläche korrekt zu planen und zu implementieren, sind viele Organisationen bei Detailfragen schnell überfordert. Schlimmstenfalls kann es bei Fehlern tatsächlich dazu kommen, dass im Ergebnis kaum Schutz besteht, aber die Funktionsfähigkeit der eigenen Infrastruktur deutlich leidet. Zumindest bei der Planung sollte daher fachkundiger Rat eingeholt werden.