Der Virenschutz privater Computer unterscheidet sich deutlich vom Malwareschutz im beruflichen Alltag von Unternehmen. Weder die Anforderungen noch die Bedrohungssituation sind vergleichbar. Die bei privaten Virenscannern noch akzeptable Verzögerung bei der Erkennung neuer Virusvarianten ist im Unternehmensumfeld nicht tolerierbar. Dabei müssen Virenscanner nicht nur Viren erkennen und bekämpfen, sondern vor einem ganzen Spektrum von Schadsoftware schützen.
Zu einem wirkungsvollen Virenschutz im Unternehmen gehört neben leistungsfähiger Scan- und Detektions-Software ein komplexes Antivirusmanagement. Es geht um die Abwehr sowie das Erkennen von Malware und Viren – und auch um die permanente Prüfung auf Schwachstellen innerhalb der IT-Infrastruktur des Unternehmens. Weitere wichtige Aspekte zeigt der Beitrag „Malware erkennen und bekämpfen“ im V-Hub – auch für den Fall, dass Malware bereits ins System gelangt ist.
Adware, Spyware, Viren, Würmer und Trojaner: Das steckt dahinter
Im Unternehmen treten weitaus mehr Bedrohungen für die Sicherheit von Daten und Computern auf als im privaten Umfeld. Entsprechend umfangreicher und aufwendiger müssen Schutzlösungen sein, um Viren und andere Malware abzuwehren. Die Palette der möglichen Gefahren für die Unternehmens-IT ist groß, wie die folgende Auflistung möglicher Malware und anderer mindestens potenziell schädlicher Software zeigt.
Bedrohung durch Adware
Adware ist ein Kunstwort und leitet sich vom englischen Advertisement ab, was so viel wie Werbung bedeutet. Adware nistet sich meist im Schlepptau anderer Programme auf Rechnern ein: Die Installationsdatei enthält neben dem gewünschten Programm auch Software zur Anzeige von Werbung. Manche Toolkits im Free- und Shareware-Bereich finanzieren sich ausschließlich durch diesen Mechanismus und haben im Unternehmenseinsatz nichts zu suchen.
Adware ist fast immer lästig, jedoch in den meisten Fällen nicht sicherheitsgefährdend. Häufig verändern Adware-Programme zum Beispiel die Browsereinstellungen und sorgen so dafür, dass sich Webapplikationen nicht mehr wie gewohnt verhalten oder dass sich während der Arbeit Pop-up-Fenster mit Werbung öffnen.
Adware installiert sich meist durch einen unüberlegten Mausklick im Browser – Administrationsrechte sind hierfür in der Regel nicht notwendig. Die Entfernung dieser Programme und Webapps ist jedoch manchmal nur mit Admin-Berechtigung möglich.
Teilweise kann Adware deutlich mehr als Werbung im Browser einblenden. Dann extrahiert sie gezielt Daten durch die Auswertung von Cookies, Cache-Speichern oder anderen Quellen. Was genau Adware tut, ist nur eine Frage der Programmierung. Sobald diese Schadsoftware aktiv Informationen über Systeme und Surfgewohnheiten erfasst und nach extern übermittelt, ist die Grenze zwischen Adware und Spyware überschritten.
Spyware an Bord
Spy steht im Englischen für Spion. Wie ein Geheimagent sammelt Spyware Nutzerdaten. Im einfachsten Fall sind das harmlos anmutende Informationen über die besuchten Webseiten und Internetaktivitäten. Doch je mehr solcher Informationen über den Konsum einer Zielgruppe bekannt sind, desto zielgenauer lassen sich Werbung und Postings platzieren. So richtig harmlos ist dieses Datensammeln also nicht.
Es ist auch möglich, dass weitaus sensiblere Daten im Fokus der Spyware stehen. Auf diese Weise können persönliche Daten, E-Mail-Adressen oder auch Zugangsdaten Cyberkriminellen in die Hände fallen. Im Unternehmen ist jede Art von Spyware eine potenzielle Gefahr für die IT-Sicherheit.
Als wirksame Maßnahme zum Schutz vor Adware und Spyware haben sich Adblocker bewährt. Sie blockieren Werbeeinblendungen und sorgen dafür, dass unbemerkt oder willentlich installierte Browser-Add-ons keinen Schaden anrichten beziehungsweise deaktiviert werden. Dieses Vorgehen verhindert auch automatisch, dass über Werbeeinblendungen Schadsoftware nachgeladen wird.
Viren und Würmer
Viren und Würmer sind klassische Werkzeuge für Cyberangriffe. Ziel derartiger Attacken ist es, möglichst viele Geräte zu infizieren und über nachgeladene Programme Zugriff auf Daten und Geräte zu erlangen. Computerviren benötigen immer ein Programm, über das sie sich Zugang und Zugriff zu Systemen verschaffen. Als Wirtsprogramm kommt jede erdenkliche Art von Software infrage. Deshalb ist es wichtig, dass in Unternehmen nur durch die IT geprüfte Programme zum Einsatz kommen.
Anders als Viren kommen Würmer ohne ein solches Wirtsprogramm aus. Bei Würmern handelt es sich um eigenständige Schadprogramme, die sich häufig zwischen Systemroutinen verbergen. Würmer treten meist erst nach einem Aktivierungssignal in Aktion. Dies kann ein definierter Zeitpunkt oder der Start einer Systemroutine sein.
Einmal aktiviert, spult der Wurm das in ihm befindliche Programm ab. Dabei versuchen die meisten Computerwürmer, sich selbst zu reproduzieren und über das gesamte Netzwerk zu verbreiten. Klassische Verteilerpunkte sind Kontaktordner und E-Mail-Applikationen, über die ganze Unternehmensnetze in wenigen Sekunden infiziert werden. Einmal in einem E-Mail-System angekommen, genügt das Öffnen einer manipulierten E-Mail mit Anhang, um dem Wurm die weitere Verbreitung zu ermöglichen.
Neue Gefahren durch Drive-by-Infection
Immer häufiger tauchen Schadprogramme auf, die weder wie ein Virus noch wie ein Wurm funktionieren. Der Grund: Virenschutzsoftware im Unternehmen erkennt traditionelle Malware inzwischen recht zuverlässig und kann verhindern, dass sie sich im Unternehmensnetz verbreitet. Deshalb gewinnt zunehmend eine andere Übertragungsform bei Malware an Bedeutung, die als „Drive-by-Infection“ bezeichnet wird. Hierbei gelangt Schadsoftware bereits durch den Besuch einer Webseite auf einen Rechner. Es ist nicht notwendig, eine Datei zu öffnen. Dadurch werden einige Sicherheitsmechanismen von Schutzsoftware erst gar nicht aktiv: Firewalls schlagen zum Beispiel keinen Alarm.
Das Herunterladen und Ausführen der schädlichen Malware findet automatisch und unbemerkt statt, in der Regel durch die Webseite und den darin eingebetteten Code. Meist handelt es sich bei dem Programmcode um JavaScript.
Neben der Bezeichnung Drive-by-Infection haben sich die Begriffe Drive-by-Exploits und Drive-by-Downloads in diesem Zusammenhang etabliert. Gemeint ist in allen Fällen, dass manipulierte Webseiten gezielt Sicherheitslücken in Webbrowsern oder Browser-Plug-ins ausnutzen.
Die Programmiersprache PHP erlaubt in Verbindung mit JavaScript die permanente Kommunikation zwischen Browser und Webserver. Auf diesem Weg lassen sich Teilinhalte der Website, aber auch Schadcode nachladen, ohne die gesamte Webseite übertragen zu müssen. Gibt es Sicherheitslücken im verwendeten Browser, ist über diesen Mechanismus der direkte Zugriff auf Rechner und Netzwerke sowie das Einschleusen weiterer Malware möglich.
Trojaner
Der Begriff Trojaner stammt aus der verkürzten Bezeichnung für „trojanisches Pferd“. Er bezeichnet eine Anwendung, die weitere Programme nachinstalliert. Trojaner verstecken sich häufig in frei downloadbaren Programmen, die auf den ersten Blick nützlich erscheinen. Hierzu zählen beispielsweise Dienstprogramme, Antiviren- und Optimierungsprogramme. Auch als E-Mail-Anhang kann der Trojaner auf Rechner gelangen.
Einmal auf dem System, starten Trojaner nach der Installation verdeckte Prozesse. Häufig lädt der Trojaner weitere Programme nach, bei denen es sich um Malware wie Viren, Würmer, Spyware und Rootkits handelt. Gutes Cybersecurity-Management im Unternehmen und Virenscanner sorgen dafür, dass Trojaner und nachgeladene Schadsoftware möglichst frühzeitig erkannt und unschädlich gemacht werden können. Mehr zum Thema Trojaner bietet der Beitrag „Trojaner erkennen und entfernen“ im V-Hub.
So funktionieren Antivirenprogramme
Ein Antivirenprogramm soll vor den unterschiedlichen Arten von Malware schützen, indem es beispielsweise Trojaner, Würmer oder Spyware erkennt, blockiert und beseitigt. Ein Teil der Antivirussoftware ist die Scan-Engine. Dieser Bereich des Programms ist für die Untersuchung der Daten des Computers zuständig. Dabei vergleicht der Scanner die Systemdaten mit Signaturen von Schadcode in einer Datenbank.
Es gibt sogenannte reaktive und proaktive Virenscanner. Reaktiv arbeitende Programme erkennen Schädlinge erst, wenn der Softwarehersteller eine passende Signatur für die Schadsoftware bereitstellt. Das kann dazu führen, dass eine gewisse Zeit vergeht, bis diese Programme neue Malware erkennen.
Proaktive Virenscanner untersuchen Programme nach bestimmten Merkmalen und sind so in der Lage, auch neue Viren zu erkennen. Sie benötigen dafür keine spezifische Vergleichssignatur, sondern orientieren sich am Verhaltensmuster der (potenziellen) Schadsoftware. Moderne Virenscanner arbeiten parallel mit beiden Erkennungsmethoden, was den besten Schutz vor bekanntem und unbekanntem Schadcode bietet.
Arten von Virenscannern
Virenschutzsoftware lässt sich abhängig von der Arbeitsweise in drei unterschiedliche Arten aufteilen:
Manueller Scanner
Manuelle Virenscanner durchforsten zeitgesteuert oder manuell gestartet lokale Systeme oder Netzwerke nach Malware. Findet der Scanner schädliche Software, erfolgt in der Regel eine Warnmeldung. Außerdem macht das Programm Vorschläge, wie mit der Schadsoftware zu verfahren ist. Diese Form von Virenscannern ist im privaten Umfeld Standard. Im Unternehmen kommen manuelle Virenscanner ebenfalls zum Einsatz, zum Beispiel im konkreten Verdachtsfall oder bei der Prüfung von Fremdgeräten durch die IT-Administration.
Online-Virenscanner
Online-Virenscanner laden den gesamten Programmcode und die Virenmuster aus dem Internet herunter. Im Unternehmen wird diese Art von Virenscan nicht eingesetzt. Schon die Übertragung von Signaturen und Code über das Internet auf lokale Systeme sollte in einem geschützten Unternehmensnetzwerk nicht möglich sein. Der Zugriff auf einzelne Sektoren und Bootbereiche durch externe Programme ist ohne Administrationsrechte ebenfalls nicht gestattet. Deshalb spielt diese Form der Virenscanner im betrieblichen Umfeld keine Rolle.
Echtzeitscanner
Echtzeitscanner sind das Mittel der Wahl im Unternehmen. Sie schützen Systeme und das Netzwerk permanent und im Hintergrund vor Schadsoftware. Neben der Prüfung auf Malware überwachen diese Echtzeitscanner den Arbeitsspeicher sowie sämtliche Zugriffe auf Protokollbasis. In Verbindung mit Firewall- und Intrusion-Detection-Systemen kontrollieren diese Programme auch die einzelnen Kommunikationsports sowie den Datenverkehr über das Netzwerk.
Dazu wird der Datenstrom gescannt. Bei Auffälligkeiten leitet der Scanner weitere Maßnahmen ein, beispielsweise das automatische Sperren von Verbindungen. Auch der Phishing- und Spamschutz gehört zu einer leistungsfähigen Echtzeitlösung dazu. Mehr zum Thema Phishing-Schutz bietet der Phishing-Beitrag im V-Hub.
Virusscans über Mail-Relay-Server
Um E-Mails auf Schadcode zu untersuchen, setzen viele Unternehmen Mail-Relay-Server mit Antivirussoftware ein. Dabei landen E-Mails nicht direkt an der Zieladresse, sondern zunächst auf einem temporären Relay-Server. Dort werden die E-Mails gescannt und im Falle von Schadcode unter Quarantäne gestellt oder bereinigt, bevor die Daten auf den eigentlichen Mailservern landen.
Virenscanner im Vergleich
Bei der Suche nach einem effektiven Virenschutz für Unternehmen gibt es meist keine Lösungen von der Stange. Zu unterschiedlich sind die einzelnen Voraussetzungen in den Firmen. Es gibt verschiedene Fragen, die im Vorfeld durch ein Sicherheitskonzept zu beantworten sind:
- Ist eine Cloudanbindung vorhanden?
- Existieren bereits Firewall-Systeme zum Schutz?
- Gibt es externe Arbeitsplätze?
- Welche Schnittstellen zu Datenbanken existieren?
- Gibt es öffentliche Bereiche im Netz und mobile Arbeitsplätze im Unternehmen?
Es gibt unterschiedliche Standardsoftwares, die sich an die lokalen Gegebenheiten im Unternehmen anpassen lassen. Bei der Suche nach der passenden Lösung helfen Vergleichstests unabhängiger Institute. Das AV-Test-Institut in Magdeburg ist seit 15 Jahren im Bereich Qualitätssicherung unterwegs und bekannt für seine Vergleichs- und Einzeltests von Software. Im Juni 2022 hat das Institut 18 Antivirusprogramme für Unternehmen auf den Prüfstand gestellt und getestet.
Dabei schnitten alle Programme mindestens gut ab. Der Test des AV-Instituts berücksichtigt allerdings nicht die im März 2022 ausgesprochenen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Verwendung von Kaspersky-Produkten.
Der Test umfasst die Kategorien Schutzwirkung, Geschwindigkeit und Benutzbarkeit. Alle getesteten Produkte bieten einen ausreichenden Schutz vor weitverbreiteter Malware. Es gibt nur geringfügige Abweichungen in den Bewertungen. Bei der Schutzwirkung werden auch Fehlalarme berücksichtigt. Die besten 10 der getesteten 18 Produkte sind die Virenscanner von (in alphabetischer Reihenfolge, jeweils ähnlich leistungsstark):
- AhnLab
- Avast
- Bitdefender
- ESET
- G Data
- Microsoft
- Seqrite
- Trellix
- Trend Micro
- WithSecure
eim Test von Virenscannern für Unternehmen durch das AV-Test-Institut gab es keinen klaren Leistungssieger. (*Das Bundesamt für Sicherheit in der Informationstechnik hat im März 2022 eine Warnung vor der Verwendung von Kaspersky-Virenschutzsoftware nach §7 BSIG ausgesprochen)
Probleme beim Virenschutz für Smartphones im Unternehmen
Laut Expertenmeinung unterschätzen viele Unternehmen die Integration mobiler Geräte wie Tablets und Smartphones in die IT-Sicherheit. Mobile Geräte dienen meist dazu, geschäftliche Kontakte zu speichern und Terminpläne zu organisieren. Allerdings haben sie häufig auch eine direkte Anbindung an Datenbanken oder Server im Unternehmensnetzwerk. Der Schutz vor Schadsoftware ist deshalb auch hier enorm wichtig.
Virenscanner können nur Sicherheit auf Tablets, Smartphones und anderen mobilen Endgeräten gewährleisten, wenn sie sich in die gesicherten IT-Strukturen des Unternehmens integrieren lassen. Bei der Auswahl des passenden Antivirenpakets ist daher unbedingt darauf zu achten, dass das Sicherheitskonzept und die Softwarelösung auch Clients für mobile Betriebssysteme einschließen. Der Beitrag zum Thema Virenschutz im V-Hub informiert über weitere Details dazu.
Mitarbeitende von Unternehmen benutzen oft mehrere Geräte: das Smartphone für dienstliche Belange, das private Mobiltelefon, den PC – sowie Laptop und Tablet zum mobilen Arbeiten. So summiert sich die Anzahl der Endgeräte schnell. Oftmals geht das zu Lasten der Kapazitäten in der IT-Administration und IT-Sicherheit. Abhilfe schafft das Konzept „Bring Your Own Device” (BYOD). Es reduziert die Geräteanzahl und bindet auch private elektronische Endgeräte in das Unternehmensnetzwerk ein. So sorgt BYOD für IT-Sicherheit und bleibt gleichzeitig flexibel und mobil.
Ein weiteres Thema beim Virenschutz für Smartphones in Unternehmen: Viele Angestellte nutzen unterschiedliche und wechselnde Mobilgeräte, was eine gute Organisation erfordert. Professionelles Mobile-Device-Management (MDM) sorgt dafür, dass sowohl die unternehmenseigenen Datenserver als auch mobile Endgeräte nach einheitlichen Sicherheitsstandards arbeiten. Außerdem kann es sinnvoll sein, die Installation privater Apps auf Dienstgeräten zu unterbinden und bei Messenger-Apps nur DSGVO-konforme Lösungen wie beispielsweise Teamwire einzusetzen.
Unter dem Namen Enterprise-Mobility-Management (EMM) hat Vodafone dafür eine Lösung für Geschäftskunden im Programm. EMM enthält ein leistungsfähiges Mobile-Device-Management, das IT-Sicherheit bei allen geschäftlich genutzten Mobilgeräten nach einheitlichen Sicherheitsstandards bietet.
Quelle:
https://www.vodafone.de/business/featured/technologie/virenschutz-programme-im-test-so-schuetzen-sie-ihre-smartphones-computer-optimal/