Biohazard
Schutzmassnahmen
  1. Verhalten bei einem Virusbefall
  2. Prophylaxe
  3. Schutzmechanismen
  4. Entfernung
  5. Anti-Viren-Programme
  6. Katastrophenplan

1. Verhalten bei einem Virusbefall
Bei Verdacht auf Virusbefall sollte die Arbeit schnell, aber wie gewohnt beendet werden.

Wichtig ist vor allem: Keine Panik!

Falls der eigene Kenntnisstand zur Feststellung der Störungsursache nicht ausreicht, sollte nach Möglichkeit sachkundige Hilfe (Benutzerdienst, IT-Sicherheitsbeauftragter, o.ä.) gesucht werden. Zwar liegt es nahe, bei ungewöhnlichen Reaktionen des Computers einen Virus als Ursache zu vermuten, oft sind jedoch auch Fehlbedienung oder technische Defekte die Ursachen. In einigen Fällen kann es auch zu einem Fehlalarm durch das Viren-Suchprogramm kommen. Aber auch bei tatsächlichem Virusbefall kann durch Fehleinschätzung und damit verbundene falsche Massnahmen der Schaden noch grösser werden. So ist z.B. bei der Virenbekämpfung in keinem Fall das Formatieren der Festplatte notwendig. Dies erfordert die anschliessende, meist aufwendige Neuinstallation der Programme. [zurück zum Anfang]

2. Prophylaxe
Vor Beginn der Prophylaxe steht die Frage: "Was muss vor Viren geschützt werden?" Im Prinzip muss alles vor Viren geschützt werden, was durch Viren zerstört werden kann.

Das Schutzbedürfnis ist je nach Einsatz und Nutzung der Maschinen sehr unterschiedlich und kann nur vom Nutzer selbst bestimmt werden.

Dabei sollte selbstverständlich sein, dass bei der Nutzung einer Maschine durch mehrere der Nutzer mit dem höchsten Schutzbedürfnis massgebend ist. Im Extremfall muss jede Einnistung eines Virus auf einer Maschine schon im Vorfeld verhindert werden. In anderen Fällen genügt es, eine Virusausbreitung oder die Aktivierung des Schadenscodes zu verhindern. Generell gilt fast immer: Je höher das Schutzbedürfnis ist, um so grösser ist der zu treibende Aufwand und um so stärker wird der Normalbetrieb behindert. Aus diesem Grund sollten bei umfangreicheren PC-Installationen je nach Schutzbedürfnis und Gefährdung unterschiedliche, angepasste Sicherheitsstufen zum Einsatz kommen. Ein besonders hoher Schutzaufwand sollte für Netzwerkplatten betrieben werden.

Die Prophylaxe muss aus verschiedenen Schritten bestehen. Der erste Schritt besteht darin, Infektionsquellen auszuschalten, um eine Infektion im Vorfeld zu verhindern. Dazu gehören Softwarehygiene sowie einige weitere andere Schutzmechanismen. Tafel 2 gibt eine Übersicht darüber. [zurück zum Anfang]

3. Schutzmechanismen
Softwarehygiene

  • Disketten immer erst in den Computer schieben, nachdem der Computer angeschaltet wurde. Andernfalls sucht der Rechner
  • gegebenenfalls auf der Diskette nach dem Betriebssystem und infiziert sich evtl. mit einem "Bootsektor"-Virus.
  • den Austausch von Dateien mit anderen Rechnern mittels Diskette auf das Notwendigste beschränken. Je häufiger man mit Disketten
  • auf anderen Rechnern arbeiten, desto grösser ist die Ansteckungsgefahr!
  • nur Software aus autorisierter Quelle verwenden
  • nur Software aus bekannter Quelle verwenden
  • nur geprüfte Software übernehmen
  • keine Spielprogramme neben Anwendungen nutzen
  • Kopien für Mehrfachnutzung nur von einer sonst ungenutzten Masterversion erstellen
  • Schreibschutz für Datenträger benutzen
  • Immer die neueste Version eines Virenschutzprogramm verwenden! Es werden ständig neue Viren entwickelt und in Umlauf gebracht, teils aus Spieltrieb, teils aus Bosheit.
  • keine per E-Mail verschickten Programm durch Anklicken starten, ohne es vorher auf Viren zu prüfen.

weitere Schutzmechanismen

(die Anwendung einer oder mehrere dieser Schutzmechanismen hängt vom jeweiligen Schutzbedürfnis ab)

  • PC/Terminal räumlich, physisch oder logisch abschliessen
  • Einsatz von PC-Sicherheitssoftware, Virenerkennungsoftware, Abwehrsoftware oder Frühwarnsystemen
  • Zugriffsrechte vergeben, Passwortschutz
  • notfalls infizierte Datenträger formatieren und neu beschreiben oder geeignete Antivirensoftware einsetzen.
  • wenn verfügbar, Sicherheitsmodule in Betriebssystemen einsetzen, notfalls geeigneteres Betriebssystem wählen
    kryptographische Schutzmechanismen anwenden
  • Schnittstellen zu externen Netzen festlegen, Zugangsberechtigungen und Zugangsformen klären und Kontrollmechanismen einsetzen bzw. entwickeln
  • bei hohem Schutzbedürfnis Insellösungen unvernetzt mit einer Kombination weiterer Schutzmechanismen einsetzen

[zurück zum Anfang]

4. Entfernung
Das Entfernen der Viren aus der Maschine kann und sollte unmittelbar nach der Diagnose eines Virusbefalls beginnen. Wichtig ist also die möglichst frühzeitige Entdeckung des Befalls.

Die Entfernung von Viren kann entweder durch den Einsatz von Antivirensoftware oder durch reine "Handarbeit" geschehen. Der Einsatz von spezieller Software zum Reinigen einer befallenen Maschine setzt ein sehr vertrauenswürdiges Programm voraus, da die infizierten Dateien ohne Benutzerkontrolle modifiziert werden müssen. Das Verfahren empfiehlt sich nur dann, wenn die befallene Software auf andere Weise nicht mehr beschaffbar ist oder der Virus in Bereichen nistet, für die der Benutzer kein anderes brauchbares Arbeitsmittel hat. Bei Fileviren ist die einfachste Methode der Entfernung durch Löschen der befallenen Datei und neuinstallieren von virusfreier Quelle gegeben.

Verdächtige Effekte:

  • Programmdateien sind verlängert
  • Datum der Programmdatei ist neu
  • veränderte Dateiattribute
  • Neue, oft unsichtbare (hidden) Dateien
  • Höherer Speicherplatzbedarf
  • Langsamerer Programmablauf
  • fehlerhafte Programmfunktion (Anm.: die meisten Viren sind nicht fehlerlos)
  • Häufige Zugriffe auf Datenträgerunübliche Bildschirmeffekte
  • unerklärliche Systemabstürze

Antivirenprogramme haben die Aufgabe, Vireninfektionen zu verhindern, Viren zu erkennen und soweit möglich und vom Benutzer gewollt, automatisch zu entfernen. [zurück zum Anfang]

5. Anti-Viren-Programme
Um der grossen Anzahl der Viren gerecht zu werden, gibt es eine entsprechend grosse Anzahl von Anti-Viren-Programmen. Anti-Viren-Programme finden, identifizieren, und beseitigen Viren. Manche Anti-Virne-Programme haben sogar die Möglichkeit befallene Dateien zu säubern. und somit wieder brauchbar zu machen. Moderne Anti-Viren-Programme verwenden vier verschiedene Methoden um einen Virus ausfindig zu machen:

  1. Bitmustererkennung: Das Anti-Viren-Porgramm prüft Dateien nach Mustern von bekannten Viren. Wird ein Muster wiedererkannt, ist der Virus gefunden und identifiziert.
  2. Prüfsummen-Check: Das Anti-Viren-Programm erstellt eine Tabelle mit allen Dateien der Festplatte und ordnet diese mit ihren Grössen zu. Ändern sich etwa die Grössen einzelner Dateien, liegt wahrscheinlich ein Virus vor.
  3. Heuristischer Check: Der heuristische Check überprüft Dateien nach einem virenähnlichem verhalten. Wird eine solche Datei entdeckt, liegt die Meldung nach einem Virus vor, jedoch kann dieser weder entfernt noch identifiziert werden.
  4. Virenwächter: Virenwächter sind speicherresidente Programme, die sich beim Systemstart in den Arbeitsspeicher laden, und jedes Ausführen einer Datei protokollieren und überwachen, und bei einem Anzeichen eines Viruses, den Aufruf verhindern.

[zurück zum Anfang]

6. Katastrophenplan
Der Plan sollte so gestaltet sein, das die einzelnen Arbeitsschritte erkennbar sind. Neben den Tätigkeiten müssen auch die Arbeitsmaterialien beschrieben sein:

  • Was ist zutun?
  • Womit wird etwas getan?
  • Wo finde ich das, womit ich etwas tun soll?
  • Wann wird welches Werkzeug eingesetzt?

Arbeitsmaterialien werden vorwiegend Softwarepakete sein. Hier ist es wichtig, dass die Bedienung klar ist. Werden im kritischen Moment Dinge aus Unwissenheit falsch durchgeführt, so können Sie mehr zerstören als retten. Deshalb müssen Sie im Katastrophenplan u.U. vermerken:

  • Wer ist zu benachrichtigen?
  • Wer ist zuständig für welchen Vorgang?
  • Was ist zutun, wenn eine Person nicht erreichbar ist?

Ist klar, welche Personen den Befall bekämpfen, müssen die Arbeitsschritte auf die bestehende Gerätekonfiguration und deren Einsatz abgestimmt werden.

Vernetzte Systeme müssen anders behandelt werden als Einzelplatzsysteme. Kommen die Systeme ständig zum Einsatz, so müssen Massnahmen entwickelt werden, welche die EDV-Arbeitsabläufe nicht vollständig lahmlegen, aber trotzdem die schnellstmögliche Beseitigung des Befalls zur Folge haben. Zu simulieren, wie sich ein Befall auswirken könnte, wenn ein Virus diese oder jene Schwachstelle des Systems ausnützt, wäre hier zu empfehlen. Folgende Fragen sind zu klären:

  • Welche offensichtlichen Schwachstellen hat das EDV-System?
  • Gibt es einen Zugang zu öffentlichen Netzen?
  • Wird ein Datenbestand durch einen Zugangsschutz geschützt?
  • Ist der Zugang zum System durch Passwortvergabe geregelt, so dass nur berechtigte Personen daran arbeiten?
  • Wer hat die Möglichkeit Software (Daten, Programme) in das System einzuspielen? Gibt es eine Regelung?
  • Wie schnell kann sich eine Infektion ausbreiten, wenn diese oder jene Schwachstelle ausgenutzt wird?
  • Lässt sich eine der gefundenen Schwachstellen beseitigen?

In welcher Zeit könnte dies geschehen?
Muss für die Übergangszeit eine Ausnahmeregelung getroffen werden?

Ist ein Befall entdeckt worden, so muss sofort etwas unternommen werden, das eine weitere Ausbreitung bzw. Zerstörung von Daten verhindert. Alle Systeme, die mit dem infizierten System in irgendeiner Art in Verbindung stehen, sind sofort zu untersuchen:

  • Welcher Virus liegt vor?
  • Welche Systeme sind befallen?

Befallene Systeme müssen als solche gekennzeichnet werden, damit nicht mehr an ihnen gearbeitet wird. Sie könnten hier eine rote Markierung anbringen, die zusätzlich einen Text enthält, der auf den Befall hinweist.

Wenn es nicht möglich ist, diese Systeme von den sauberen zu trennen, so ist das Gesamtsystem sofort abzuschalten. Ist ein Server innerhalb eines Netzes befallen, so muss ein anderer Rechner dessen Aufgabe übernehmen, oder das Netz ist vollständig auszuschalten. Sie dürfen bei Netzen kein Risiko eingehen, da hier die Ausbreitungsgeschwindigkeit des Befalls um einiges höher ist.

Für die Beseitigung des Befalls dürfen nur Personen eingesetzt werden, die mit den vorgesehenen Werkzeugen (Virenkiller, ...) umgehen und die Art des Befalls einschätzen können. Befinden sich in Ihrem System Daten, die noch nicht gesichert sind, so ist ein Weg zu finden diese zu sichern, ohne das die Infektion sich weiter ausbreitet. Von dieser Sicherungsaktion sind alle ausführbaren Dateien ausgeschlossen. Diese dürfen nur noch zum Einsatz kommen, wenn der eingesetzte Virenkiller in der Lage ist, diese zu säubern. Liegen keine Sicherheitskopien vor, sind nicht zu säubernde Dateien verloren. Saubere Sicherheitskopien sind im Zweifelsfall stets vorzuziehen.

In letzter Zeit nehmen die Macro-Viren und damit die verseuchten Arbeitsdateien (z.B. MS Word-Docs) immer mehr zu. Da solche Dateien nur schwer zu rekonstruieren sind, müssen Sie diese wohl oder übel nach der Untersuchung mit einem Virenkiller weiter einsetzen bzw. löschen, wenn eine Reinigung nicht mehr möglich ist. Soweit Sie ältere Sicherungskopien angefertigt haben, lässt sich zumindest ein älterer, aber sauberer Stand weiterverwenden, wenn die vorherige Überprüfung keine Infektion anzeigt.

Viele Virenkiller bieten die Möglichkeit ein System zu säubern ohne ein völliges Neueinrichten (Low-Level- Formatierung, ...) durchführen zu müssen. Es ist im Einzelfall zu entscheiden, ob die Fähigkeit des Killers ausreicht. Wenn das Risiko zu gross erscheint, ist eine Neuinstallation sicher angebrachter.

Der Neuinstallation geht eine vollständige Formatierung aller Datenträger voraus. Festplatten sind zur Sicherheit auf niedrigster Ebene (Low-Level) zu formatieren. [zurück zum Anfang]