Viele Unternehmen leben in der gefährlichen Illusion, die eigenen Daten umfassend geschützt zu haben, indem sie Firewalls und Virenscanner installiert haben. Dabei wird außer Acht gelassen, dass bestimmte Fachanwendungen keinen klassischen Virenscan zulassen und dass die Gefahr nicht mehr nur aus dem Internet kommt.
Viren können auch über austauschbare Datenträger wie USB-Sticks oder optische Medien in das Unternehmensnetzwerk gelangen. Zudem verfügen immer mehr Anwender über Notebooks, welche außerhalb des Unternehmens mit fremden Netzwerken in Berührung kommen, wodurch die Gefahr einer Infektion drastisch steigt.
Die Auswirkungen eines Virenbefalls hängen von dem Schadcode ab, den ein Virus enthält. Die letzten sehr infektiösen und durch die Medien bekannt gewordenen Viren waren zwar störend und verursachten einen nicht zu unterschätzenden Bereinigungsaufwand, waren jedoch vergleichsweise ungefährlich.
Jedoch bleibt es eine Frage der Zeit bis der nächste Virus mit großem Schadpotenzial in den Umlauf kommt. Die Infektionen können dabei verheerend sein. So ist beispielsweise ein kompletter Datenverlust oder der Ausfall ganzer Systeme denkbar. Hohe Kosten und Imageverlust sind die Folgen.
Virenschutz bei Dokumenten-Management-Systemen ist schwierig
Gerade bei Systemen für das Dokumenten-Management (Enterprise Content Management – ECM) ist die Integration eines Virenwächters problematisch. Im Grunde genommen sind ECM-Systeme vergleichbar mit einem durch Verwaltungsfunktionen geschützten Fileserver. Dateien werden erfasst, zentral abgelegt, intern genutzt und verlassen teilweise das interne Firmennetz. Ein ungeschütztes ECM-System ist ein hervorragender Nährboden für jegliche Art von Viren und Malware. Ein hochgeladener Virus kann ungehindert einer großen Anzahl von Usern zugänglich gemacht werden.
Ein ECM-System kann man nur in den seltensten Fällen direkt mit einem Virenschutz ausstatten. In der Regel wird der Content direkt auf den Speichermedien abgelegt und ein Indexeintrag in der Datenbank hinterlegt. Ein Virenscan nach dem Archivierungsvorgang ist mit verschiedenen Problemen verbunden. Der Virenscanner verfügt in der Regel nicht über die Rechte um überhaupt Zugriff auf den Datenbestand zu erhalten. Integrationsschnittstellen existieren bei den wenigsten Systemen. Infizierte Dokumente, welche auf Langzeitspeichermedien abgelegt sind können zudem weder verschoben noch gelöscht werden.
Alternativ wäre die Installation des Virenwächters direkt auf den Archivmedien denkbar. Dies widerspricht jedoch der Grundphilosophie von ECM-Systemen, da diese ja gerade einen unkontrollierten und unüberwachten Zugriff verweigern sollen. Diese Methode kann negative Auswirkungen mit sich bringen, beispielsweise könnte der Virenwächter eine befallene Datei direkt vom Archivmedium löschen. Das System würde den Löschvorgang nicht registrieren und folglich auch nicht die Indexdatei anpassen. Anwender können also weiter nach dem Dokument suchen und dieses wird auch im Dokumentenbestand aufgeführt.
Erst beim nächsten Zugriff wird klar, dass das Dokument nicht mehr verfügbar ist, weil der Indexeintrag auf leeren Speicherplatz verweisen würde. Die Information ist für das Unternehmen verloren. Eine weitere Konsequenz ist, dass der Index des Systems reorganisiert werden muss. Abhängig von der Systemstruktur kann diese Tatsache zu starken Performance-Verlusten oder einem kompletten Stillstand des Systems führen.
Einsatz spezieller Virenwächter
Moderne Virenprüfsysteme ermöglichen eine andere Art des Schutzes. Statt einer Überprüfung des abgelegten Datenbestands direkt auf dem ECM-System, werden ein- und ausgehende Daten in Netzwerken auf Virenbefall gescannt. So könnte beispielsweise ein ECM-System abgesichert werden, indem zwischen den Clients und dem Dokumentenserver der Virenwächter eingebunden wird. Die Software würde alle Dateien, die in das Archiv verschoben werden und aus dem Archiv aufgerufen werden, auf Schadcode prüfen. Infizierte Files filtert die Software aus und informiert die entsprechenden Anwender.
Der große Vorteil ist, dass der Daten- bzw. Dokumentenbestand nicht direkt durchsucht wird, sondern lediglich übertragene Files auf Viren geprüft werden. Regelmäßige und langwierige Scanvorgänge entfallen, da die Daten "Just in Time", in Echtzeit, geprüft werden. Außerdem besteht keine Notwendigkeit, auf den Servern der Business-Systeme Software zu installieren.
Sandbox schützt vor Viren
Bei der Identifikation von Viren sind bekannte Schadprogramme von unbekannten zu unterscheiden. Mittels des Signatur-Scanners können zu prüfende Daten mit Virensignaturen verglichen werden, hierbei sollte der Virenwächten die Virensignaturen mehrmals am Tag updaten. Anhand der Signatur erkannte Schadprogramme können so isoliert werden.
Mittels einer so genannten Sandbox können unbekannte Viren identifiziert werden. Das System führt dabei zu prüfenden Code in einer geschützten virtuellen Umgebung aus und untersucht, welche Aktionen die Anwendung durchführen will. Aufgrund der anschließenden Analyse entscheidet der Virenwächter, ob es sich bei der Anwendung (bzw. bei dem Code) um einen Virus handelt.
Grundsätzlich gilt, dass kein ECM-System, egal von welchem Anbieter, ungeschützt im Firmennetzwerk seinen Dienst tun sollte. Denn jedes dieser Systeme kann als Ablage für infizierte Dateien dienen und somit gewollt oder ungewollt anderen Benutzern zur Verfügung gestellt werden.
Michael Schiklang ist Analyst am Business Application Research Center (BARC)