Sandbox für ECM-Systeme

Virus im Archiv

29.07.2009
Von Michael  Schiklang

Virenschutz bei Dokumenten-Management-Systemen ist schwierig

Gerade bei Systemen für das Dokumenten-Management (Enterprise Content Management – ECM) ist die Integration eines Virenwächters problematisch. Im Grunde genommen sind ECM-Systeme vergleichbar mit einem durch Verwaltungsfunktionen geschützten Fileserver. Dateien werden erfasst, zentral abgelegt, intern genutzt und verlassen teilweise das interne Firmennetz. Ein ungeschütztes ECM-System ist ein hervorragender Nährboden für jegliche Art von Viren und MalwareMalware. Ein hochgeladener Virus kann ungehindert einer großen Anzahl von Usern zugänglich gemacht werden. Alles zu Malware auf CIO.de

Ein ECM-System kann man nur in den seltensten Fällen direkt mit einem Virenschutz ausstatten. In der Regel wird der Content direkt auf den Speichermedien abgelegt und ein Indexeintrag in der Datenbank hinterlegt. Ein Virenscan nach dem Archivierungsvorgang ist mit verschiedenen Problemen verbunden. Der Virenscanner verfügt in der Regel nicht über die Rechte um überhaupt Zugriff auf den Datenbestand zu erhalten. Integrationsschnittstellen existieren bei den wenigsten Systemen. Infizierte Dokumente, welche auf Langzeitspeichermedien abgelegt sind können zudem weder verschoben noch gelöscht werden.

Alternativ wäre die Installation des Virenwächters direkt auf den Archivmedien denkbar. Dies widerspricht jedoch der Grundphilosophie von ECM-Systemen, da diese ja gerade einen unkontrollierten und unüberwachten Zugriff verweigern sollen. Diese Methode kann negative Auswirkungen mit sich bringen, beispielsweise könnte der Virenwächter eine befallene Datei direkt vom Archivmedium löschen. Das System würde den Löschvorgang nicht registrieren und folglich auch nicht die Indexdatei anpassen. Anwender können also weiter nach dem Dokument suchen und dieses wird auch im Dokumentenbestand aufgeführt.

Erst beim nächsten Zugriff wird klar, dass das Dokument nicht mehr verfügbar ist, weil der Indexeintrag auf leeren Speicherplatz verweisen würde. Die Information ist für das Unternehmen verloren. Eine weitere Konsequenz ist, dass der Index des Systems reorganisiert werden muss. Abhängig von der Systemstruktur kann diese Tatsache zu starken Performance-Verlusten oder einem kompletten Stillstand des Systems führen.

Einsatz spezieller Virenwächter

Moderne Virenprüfsysteme ermöglichen eine andere Art des Schutzes. Statt einer Überprüfung des abgelegten Datenbestands direkt auf dem ECM-System, werden ein- und ausgehende Daten in Netzwerken auf Virenbefall gescannt. So könnte beispielsweise ein ECM-System abgesichert werden, indem zwischen den Clients und dem Dokumentenserver der Virenwächter eingebunden wird. Die Software würde alle Dateien, die in das Archiv verschoben werden und aus dem Archiv aufgerufen werden, auf Schadcode prüfen. Infizierte Files filtert die Software aus und informiert die entsprechenden Anwender.

Zur Startseite