1 Einleitung

IT-SICHERHEITSKONZEPT
ANLAGE 8.7 VIRENSCHUTZKONZEPT
Version:
2.0a
Autor(en):
Ronald Speer
Verantwortlicher:
Dieses Dokument wurde als Arbeitsmaterial konzipiert. Es wird empfohlen,
als Referenz stets das schreibgeschützte Originaldokument aufzubewahren.
Initiator: Diese Grafik kann aus Kopien entfernt werden. Für Rückfragen wenden Sie
sich bitte an die Geschäftsstelle der TMF unter [email protected]
Freigabe:
Lizenzbedingung und Copyright: Dieses Werk ist einschließlich aller seiner Teile
urheberrechtlich geschützt. Die Rechte liegen, sofern nicht anders angegeben, bei der TMF.
Gültigkeitsende:
Eine Gewähr für die Richtigkeit der Inhalte kann die TMF nicht übernehmen. Eine
Vervielfältigung und Weiterleitung ist ausschließlich innerhalb Ihrer Organisation oder Firma
sowie der TMF-Mitgliedschaft erlaubt,
Art:
Konzeptsofern keine anders lautende Vereinbarung mit der TMF
besteht. Aus Gründen der Qualitätssicherung und der Transparenz bzgl. Verbreitung und
Nutzung der TMF-Ergebnisse erfolgt die weitergehende Verbreitung ausschließlich über die
Einstufung:
Vertraulich. Nur für den Dienstgebrauch.
TMF-Website oder die Geschäftsstelle der TMF.
Dieses Werk wurde als Arbeitsmaterial konzipiert, weshalb Änderungen an Ausdrucken sowie
an umbenannten Kopien der Originaldatei vorgenommen werden können, sofern diese
angemessen gekennzeichnet werden, um eine Verwechslung mit dem Originaldokument
auszuschließen. Die Nutzungsbedingungen sowie das TMF-Logo dürfen aus den geänderten
Kopien entfernt werden. Die TMF empfiehlt, als Referenz stets das gedruckte
Originaldokument oder die schreibgeschützte Originaldatei vorzuhalten. Auch die
Vervielfältigung und Weiterleitung geänderter Versionen ist ausschließlich innerhalb Ihrer
Organisation oder Firma sowie der TMF-Mitgliedschaft erlaubt, sofern keine anders lautende
Vereinbarung mit der TMF besteht.
Sofern geänderte Kopien oder mit Hilfe dieses Werks von Ihnen erstellten Dokumente in der
Praxis zum Einsatz kommen, sollen diese per Email an die TMF Geschäftsstelle (info@tmf
ev.de) gesandt werden. Diese zugesandten Dokumente werden von der TMF ausschließlich
zum Zweck der Weiterentwicklung und Verbesserung
der TMF-Ergebnisse genutzt und nicht
1
publiziert.
Inhalt
1
2
3
Einleitung ........................................................................................................................................ 4
1.1
Beschreibung des Gefährdungspotenzials ............................................................................. 4
1.2
Potenziell betroffene IT-Systeme........................................................................................... 4
Virenschutzstrategie ....................................................................................................................... 5
2.1
Auswahl des Computerviren-Schutzprogramms ................................................................... 5
2.2
Anforderungen des BSI an ein Virensuchprogramm ............................................................. 6
2.2.1
Basisanforderungen gegen allg. Bedrohung ...................................................................... 6
2.2.2
Basisanforderungen gegen aktuelle Bedrohung ............................................................... 7
2.2.3
Zusätzliche Anforderungen................................................................................................ 8
2.2.4
Vorraussetzung für eine sichere Arbeitsumgebung .......................................................... 9
Aktualisierungsplan für Virenschutzsoftware................................................................................. 9
3.1
Zentrale Installation von Sophos Anti-Virus .......................................................................... 9
3.2
Lokale Installation von Sophos Anti-Virus.............................................................................. 9
3.3
Aktualisierung von Sophos Anti-Virus .................................................................................. 10
3.4
Zentrale Administration von Sophos Anti-Virus .................................................................. 10
4
Virenmeldeverfahren.................................................................................................................... 10
5
Anhang .......................................................................................................................................... 11
5.1
Zusammenfassung "Forderungen an Viren-Suchprogramme" ............................................ 11
2
Virenschutzkonzept
Die Verbreitung von Computerviren ist in der heutigen Zeit eine große Bedrohung für jede ITInfrastruktur geworden. Ein Befall eines Systems mit Computerviren kann die Vertraulichkeit, die
Integrität und die Verfügbarkeit von Daten stark gefährden. Ein Befall mit Computerviren bedeutet
aber auch einen erhöhten Aufwand an Ressourcen um die Schäden zu erkennen und zu beseitigen.
Dieser hohe Aufwand an Ressourcen ist nicht nur ein wichtiger wirtschaftlicher Faktor, sondern
bindet auch wichtige Ressourcen, welche somit nicht für den Betrieb der IT-Infrastruktur notwendig
sind. Derartige Einschränkungen können zu negativen Außenwirkungen führen, gleichzeitig können
sie das Erreichen des Projektzieles verzögern oder sogar ganz verhindern.
Aus diesen Gründen ist ein umfassendes Virenschutzkonzept unbedingt erforderlich. Ein derartiges
Konzept muss alle technischen und organisatorischen Maßnahmen abbilden, welche einen Befall der
IT-Infrastruktur mit Computerviren wirksam verhindern soll.

Virenschutzstrategie
Die Virenschutzstrategie beschreibt das allgemeine Vorgehen bei der
geeigneten Virenschutzes. Hierzu zählt in erster Linie die Auswahl
Softwareproduktes. Bei der Auswahl einer geeigneten Virenschutz-Software
Sorgfalt geboten, da von ihr im wesentlichem der Erfolg der
Virenschutzkonzeptes abhängt.

Umsetzung eines
eines geeigneten
ist eine besondere
Umsetzung des
Aktualisierungsplan für Virenschutzsoftware
Die eingesetzte Virenschutz-Software kann nur in einer aktuellen Konfiguration alle Viren finden
und somit den Befall des Systems verhindern. In der heutigen Zeit ist aber das Auftreten von
verschiedenen Computerviren in immer kürzeren Abständen möglich. Um somit einen effektiven
Schutz vor Viren zu bieten, muss die Virenschutzsoftware immer mit aktuellen Updates und
Patches ergänzt werden. Hierfür ist ein Plan notwendig welcher die entsprechenden Schritte für
eine derartige Aktualisierung beschreibt.

Virenmeldeverfahren
Damit die Verbreitung und das Auftreten von Computerviren verfolgen zu können, ist ein
Mechanismus erforderlich, welcher den Verantwortlichen über ein derartiges Auftreten
umgehend informiert. Erfordert der Computervirus eventuell zusätzliche Maßnahmen zur
Bekämpfung und Beseitigung so könne diese Maßnahmen unverzüglich durchgeführt werden.
Ein wesentlicher Punkt bei der Umsetzung des Virenschutzkonzeptes ist die Sensibilisierung der
Mitarbeiter für das Problem der Computerviren. Hierzu gehören regelmäßige Schulungen über
existierende Bedrohungen durch Computerviren sowie notwendige Maßnahmen der Vorbeugung.
3
Ziel des Virenschutzkonzeptes ist es, geeignete Maßnahmen festzulegen, die sicherstellen, dass das
Auftreten von Computerviren auf den in unserem Institut eingesetzten IT-Systemen verhindert bzw.
möglichst früh erkannt wird, um Gegenmaßnahmen vornehmen zu können und evtl. mögliche
Schäden zu minimieren. Wesentlicher Aspekt des Schutzes vor Computerviren ist die konsequente
Aufrechterhaltung und ständige Aktualisierung dieser Maßnahmen.
1 Einleitung
1.1 Beschreibung des Gefährdungspotenzials
Die Bedrohung durch Computerviren kann hier als allgemein bekannt vorausgesetzt werden. Eine
Kurzinformation
des
BSI
zu
Computerviren
ist
unter
der
URL
https://www.bsi.bund.de/cln_165/ContentBSI/Publikationen/Faltblaetter/F19Kurzviren.html
zu
finden.
Die Bedrohung durch Computerviren verändert sich zudem ständig. Momentan tauchen monatlich
300 bis 600 neue Viren auf, was zehn bis 20 neuen Viren pro Tag entspricht. Es gibt heute Viren, die
Disketten, Programmdateien, Word-Dokumente, Excel-Tabellen, Java-Applikationen, AccessDatenbanken, Batch-Skripte und vieles mehr infizieren. Wir verweisen hier auf die Beschreibung der
Gefährdungspotentiale im IT-Grundschutzhandbuch in den Punkten

G 5.21 Trojanische Pferde

G 5.23 Schadprogramme

G 5.43 Makro-Viren

G 5.80 Hoax
1.2 Potenziell betroffene IT-Systeme
Durch Computerviren sind typischerweise alle IT-Systeme mit PC-basierten Betriebssystemen wie
Windows betroffen oder solche mit Anwendungsprogrammen wie Microsoft Word oder Excel, die
durch Makro-Viren infiziert werden können. Das betrifft hier alle Arbeitsplatzrechner mit den
Betriebssystemen Windows 2000, Windows XP und Windows 7.
Server werden zwar im Allgemeinen nicht direkt durch Computerviren bedroht, können aber eine
Verteilstelle für infizierte Programme und Dateien sein. Das betrifft hier in hohem Maße die FileServer mit dem Betriebssystem Windows Server 2003, die Programme und Dateien für die
Arbeitsplatzrechner mit den Betriebssystemen Windows bereitstellen, und in geringerem Maße den
File-Server mit dem Betriebssystem Linux, der über einen SMB-Server ebenfalls Dateien für diese
Arbeitsplatzrechner bereitstellt.
Es kann nicht ausgeschlossen werden, dass Computerviren auch bei Verwendung anderer
Betriebssysteme auftreten können. Dies gilt zum Beispiel in wenigen Einzelfällen bei Linux-Systemen
und MacOS-Systemen, die jedoch aufgrund geringer Verbreitung dieser Computerviren nur ein
niedriges Bedrohungspotenzial darstellen.
4
Die möglichen Infektionswege für Computerviren sind

alle lokal am Rechner vorhandenen oder anschließbaren Lesegeräte für austauschbare
Datenträger (Diskettenlaufwerk, ZIP-Laufwerk, CD-ROM / DVD-Laufwerk, Streamer u. a.),

die Verbindung zu anderen IT-Systemen im eigenen lokalen Netzwerk (Dateiaustausch über
Server- und Peer-to-Peer-Verbindungen, E-Mail-Verkehr),

die Verbindung zu anderen IT-Systemen außerhalb des eigenen lokalen Netzwerkes
(Dateiaustausch, E-Mail-Verkehr), hier über den Router zum Netzwerk der Universität Leipzig
und den Anschluss an das Internet oder über den ISDN-Router zu den Partnern, die keinen
Anschluss an das Internet haben.
2 Virenschutzstrategie
Entsprechend der Bedrohungslage, die Grundkonzept analysiert wurde, sind Maßnahmen zum Schutz
vor Computerviren auf allen Arbeitsplatzrechnern und Servern mit den Betriebssystemen Windows
erforderlich. Auf Arbeitsplatzrechnern und Servern mit Linux-Betriebssystemen werden derzeit keine
Computerviren-Schutzprogramme installiert.
Da im zu schützenden Netzwerk alle Arbeitsplatzrechner und Server mit den Betriebssystemen
Windows über Lesegeräte für austauschbare Datenträger verfügen und alle Rechner potenziell
Verbindung zu anderen IT-Systemen innerhalb und außerhalb des eigenen lokalen Netzwerkes
besitzen, ist der Einsatz eines geeigneten residenten Computerviren-Schutzprogramms auf allen
Arbeitsplatzrechnern und allen Servern erforderlich. Diese Kombination bietet den optimalen Schutz,
da Computerviren sofort beim Auftreten erkannt werden und nicht über Server weiterverteilt
werden.
Vorteile:

Ein geeignetes, aktuelles und residentes Computerviren-Suchprogramm gewährleistet einen
maximalen Schutz bei gleichzeitig minimalem Aufwand für den IT-Benutzer.

Computer-Viren werden nicht über Server weiterverteilt.
Nachteile:

Anschaffungskosten sowie Administrationsaufwand entstehen für jeden Server und jedes
Endgerät.
Der Einsatz speicherresidenter Viren-Schutzprogramme unter Windows-Betriebssytemen ist derzeit
die beste Möglichkeit, sich vor Computer-Viren zu schützen, weil jede Datei vor ihrer Nutzung
(Öffnen zur Bearbeitung, Kopieren, Drucken, Entpacken usw.) geprüft und bei Viren-Befall gesperrt
werden kann.
2.1 Auswahl des Computerviren-Schutzprogramms
Der Einsatz eines residenten Computerviren-Schutzprogramms ist auf allen Arbeitsplatzrechnern und
allen Servern erforderlich. Diese Antiviren-Software, muss in der Lage sein, permanent Viren zu
5
erkennen und zu beseitigen, bevor diese Gelegenheit haben, Computer innerhalb des zu
schützenden Netzwerkes zu infizieren. In dem zu schützenden Netzwerk wird deshalb die AntivirenSoftware Sophos Anti-Virus, die vom Rechenzentrum der Universität Leipzig allen Institutionen der
Universität im Rahmen einer Hochschullizenz kostenfrei zur Nutzung überlassen wird, auf allen
Arbeitsplatzrechnern und Servern mit den Betriebssystemen Windows eingesetzt.
Die Antiviren-Software Sophos Anti-Virus wurde speziell für den Einsatz in Unternehmensnetzwerken
entwickelt und ermöglicht einen flexiblen Einsatz und einfache Updates innerhalb komplexer
Netzwerke.
Sophos Anti-Virus ist kombiniert mit der patentierten InterCheck-Technologie, die zur sicheren OnAccess-Virenerkennung in Netzwerken entwickelt wurde. Bei gleichzeitiger Anwendung von Sophos
Anti-Virus auf Servern und Clients stellt InterCheck die Verbindung zwischen diesen her und
ermöglicht eine zentrale Installation, Konfiguration, Aktualisierung und Protokollierung. Das
minimiert den Administrationsaufwand und ermöglicht die regelmäßige Aktualisierung der AntivirenSoftware auf allen zu schützenden IT-Systemen.
Die Antiviren-Software Sophos Anti-Virus erfüllt alle wesentlichen Forderungen, die an ein aktuelles
Computerviren-Schutzprogramm gestellt werden müssen.
2.2 Anforderungen des BSI an ein Virensuchprogramm
2.2.1 Basisanforderungen gegen allg. Bedrohung
Anforderung Beschreibung
Trifft
zu
F1.1
Aufspürung des Virus an allen Stellen des Wirtssystems
Ja
F1.2
System arbeitet auch im infizierten Zustand
Ja
F1.3
Mindestauswahl an zu prüfenden Teilen muss festgelegt werden können.
Ja
F1.3.1
Relevante Teile des Computersystems
Ja
F1.3.2
Ausführbare Dateien + übliche Namenserweiterungen
Ja
F1.3.3
Vom Anwender wählbare Dateigruppe mit Unterstützung von Platzhaltern Ja
und Unterverzeichnissen
F1.3.4
Auswahl von Boot- oder Partitions-Sektoren durch den Anwender
Ja
F2
Entgegenwirkung der Infektionsverbreitung
Ja
F3
Wiederherstellung der Arbeitsfähigkeit nach Infektion
Ja
6
2.2.2 Basisanforderungen gegen aktuelle Bedrohung
Anforderung
Beschreibung
Trifft zu
F4.1
F1+F2 müssen für aktuelle Viren erfüllt werden
Ja
F4.2
Wird F4.1 nicht erfüllt, Mitteilung an den Anwender
Ja
F5.1
Keine Verursachung von weiteren Schäden nach Fund oder Speicherung Ja
des Virus
F5.2
Bei Virusfund Warnung des Anwenders
Ja
F5.3
Vorsorge gegen weitere Schäden
Ja
F6
Säuberung der Medien nach Akzeptanzkriterien möglich
Ja
F7
Teile nach F1.2 müssen Angriffstechniken lt. BSI beherrschen
Ja
F8.1
Virenfund nach F1 in nach BSI (in Dokumentation „aktuelle Bedrohung“) Ja
komprimierten Dateien/Medien
F8.2
Entgegenwirken nach F2 auch in komprimierten infizierten Dateien
F9
Verursachung von Fehlalarmen durch F1 und F2 beim Test mit nicht Ja
infizierten Objekten
F10
Abspeicherung des Virus, so dass Alarm durch anderes Programm Nein
ausgelöst wird
F11.1
Gewährleistung von F1 in infizierten Systemen
Nein
F11.2
Lauffähigkeit von schreibgeschützten Medien
Ja
F12.1
Integritätsprüfung der für Sicherheit wichtigen Funktionen
Ja
F12.2
Benachrichtigung falls Integrität verletzt
Ja
F13
Vollständige Angabe des Pfads des gefundenen Virus
Ja
F14
Protokollfunktion vorhanden
Ja
F14.1
Angabe Aktualitätsstand sicherheitsrelevanter Dateien
Ja
F14.2
Angabe Datum/Uhrzeit Prüflauf
Ja
F14.3
Angabe aller benutzten Parameter
Ja
7
Ja
Anforderung
Beschreibung
Trifft zu
F14.4
Bestätigung der Überprüfung des Speichers des Wirtsrechners
Ja
F14.5
Angabe von Volumennamen, Datenträgerkennung der geprüften Ja
Medien
F14.6
Namensangabe der geprüften Dateien
Nein
F14.7
Angabe Gesamtzahl geprüfter Dateien/Objekte
Ja
F14.8
Angabe der nicht infizierten Dateien
Nein
F14.9
Angabe der infizierten Dateien
Ja
F14.10
Identifikation aller infizierten Dateien
Ja
F14.11
Anzahl nicht überprüfbarer Dateien/Objekte
Ja
F14.12
Identifikation nicht überprüfbarer Dateien/Objekte
Ja
F14.13
Abbruch des Programmlaufs
Ja
F15.1
Information über Aktualitätsstand Programm (Datum ggf. Versionsnr.) Ja
und sicherheitsrelevanter Parameter
F15.2
Information über Werte sicherheitsrelevanter Parameter
Ja
2.2.3 Zusätzliche Anforderungen
Anforderung
Beschreibung
Trifft zu
F16
Eindeutige und korrekte Meldung des Virus lt. Akzeptanzkriterien
Ja
F17
Virus wird eindeutig protokolliert
Ja
F18
Hinweis auf reduzierte Sicherheit (Unterschied Aktualitätsstand Programm Ja
und Systemuhr > 6 Monate)
F19
Liste der auffindbaren Software mit Schadensfunktionen
Ja
F19.1
Namen und ggf. Alias-Namen aller gefundenen Viren
Ja
F.19.2
Kurzbeschreibung der Eigenschaften
Ja
F19.3
Angabe Virustyp
Ja
8
F19.4
Angabe notwendiger Sofortmaßnahmen
Ja
F19.5
Kurzbeschreibung Schadensart
Ja
F19.6
Vorgehen bei Virusentfernung
Ja
F20
Hinzufügung von Komponenten zur Abwehr einer akuten Bedrohung Ja
hinzuzufügen erlaubt
2.2.4 Vorraussetzung für eine sichere Arbeitsumgebung
Anforderung Beschreibung
Trifft
zu
SAR1
Pflege/Aktualisierung nach Maßnahmeplan des BSI
Ja
SAR2
Lieferung in einer Form, die versehentlicher Infektion entgegenwirkt
Ja
SAR3.1
Hinweise zur Beseitigung einer Infektion für jeden aktuellen Virus in Ja
Anwenderdokumentation enthalten
SAR3.2
Beseitigung verursacht keine zusätzlichen Schäden
Ja
3 Aktualisierungsplan für Virenschutzsoftware
3.1 Zentrale Installation von Sophos Anti-Virus
Die Installationsdaten von Sophos Anti-Virus werden in ein freigegebenes Verzeichnis auf einem
Fileserver kopiert (CID = Central Installation Directory). Sophos Anti-Virus kann dann von diesem
Verzeichnis aus auf allen Arbeitsplatzrechnern und Servern installiert werden, was eine einfache
Programmverteilung und automatisches Aktualisieren ermöglicht. Als Installationsoption werden

automatisches unbeaufsichtigtes Aktualisieren von dieser zentralen Kopie

Entfernen über Systemsteuerung/Software verhindern
ausgewählt.
3.2 Lokale Installation von Sophos Anti-Virus
Auf allen Arbeitsplatzrechnern und Servern mit den Betriebssystemen Windows werden ein VirenSuchprogramm und ein Viren-Schutzprogramm installiert.
Das Viren-Suchprogramm durchsucht werktäglich um 6 Uhr alle lokalen Datenträger nach
Computervirus-Infektionen. Das Viren-Suchprogramm kann bei Bedarf vom Benutzer gestartet
werden.
9
Das Viren-Schutzprogramm wird beim Start des Rechners in den Arbeitsspeicher geladen und
verbleibt dort aktiv bis zum Ausschalten.
3.3 Aktualisierung von Sophos Anti-Virus
Das Rechenzentrum der Universität Leipzig erhält monatlich ein Update der Antiviren-Software
Sophos Anti-Virus. Eine Kopie des Updates wird in das zentrale Installationsverzeichnis installiert. Die
Aktualisierung der Antiviren-Software auf allen Arbeitsplatzrechnern und Servern erfolgt dann
automatisch innerhalb von 24 Stunden über das Netzwerk.
3.4 Zentrale Administration von Sophos Anti-Virus
Ein Programm zur zentralen Administration von Sophos Anti-Virus erlaubt die Installation, die
Konfiguration und die Überwachung der Antiviren-Software auf allen Arbeitsplatzrechnern und
Servern über einen Administrator-Arbeitsplatz im Netzwerk.
4 Virenmeldeverfahren
Wird von Sophos Anti-Virus die Computervirus-Infektion eines Rechners oder einer Datei auf einem
Rechner festgestellt, erfolgt eine Meldung lokal auf dem betroffenen Rechner, zentral auf einem
Fileserver und über E-Mail an den Systemadministrator.
10
5 Anhang
5.1 Zusammenfassung "Forderungen an Viren-Suchprogramme"
Definition von:

Funktionalitätsklassen/Sicherheitsfunktionen (F-AVIR)

Voraussetzungen für die sichere Arbeitsumgebung (SAR) von Anti-Virus-Produkten
(Evaluierungsgegenstand, EVG)
Funktionsklassen aufgeteilt in:

Basisteil (Anforderungen, die von allen EVG erfüllt werden müssen; typunabhängig)

Zusätze (Sicherheitsfunktionen, die für das jeweilige EVG zutreffen)
Der EVG muss beide Anforderungsteile erfüllen.

Basisanforderungen
Maßnahmen gegen allgemeine Bedrohung
F-AVIR.1
EVG muss:

Viren an allen Stellen des Wirtssystems aufspüren

im infizierten System sicher arbeiten
Man muss zu prüfende Teile festlegen können, mindestens:

alle relevanten Teile des Computersystems

ausführbare Dateien mit üblichen Namenserweiterungen
definierbar)

vom Anwender wählbare
Unterverzeichnissen

Auswahl von Boot- oder Partition-Sektoren durch den Anwender auf entsprechenden Medien
(einschließlich vom Anwender
Dateigruppe mit Unterstützung von Platzhaltern und
F-AVIR.2
EVG muss über eine Komponente verfügen, die der Verbreitung der Infektion entgegenwirkt.
Komponente muss auch im infizierten System sicher arbeiten.
11
F-AVIR.3
EVG muss über eine Komponente verfügen, die nach Infektion die Arbeitsfähigkeit des Systems
wiederherstellt.
Maßnahmen gegen aktuelle Bedrohung
(„aktuell"i definiert durch zuständige nationale Behörde, in der BRD durch das BSI)
F-AVIR.4
Die in F-AVIR.1 und F-AVIR.2 genannten Forderungen müssen für „aktuelle Viren" in der
voreingestellten Betriebsart erfüllt oder übertroffen werden. Falls nicht  Mitteilung auf Bildschirm
F-AVIR.5
EVG darf keine weitere Schäden im Computersystem verursachen (sowohl wenn der Virus „nur"
gefunden wird als auch bei Start oder Speicherung des Virus’)
Falls Virus im Speicher entdeckt wird  Warnung an Anwender und Vorsorge gegen weitere
Schäden, z.B. Abbruch des Programms
F-AVIR.6
Anwender muss die infizierten Medien entsprechend den Akzeptanzkriterienii (Hrsg. BSI) säubern
können. Dabei dürfen keine weiteren Schäden entstehen. Diese Funktion kann durch SAR-AVIR.3
unterstützt werden.
F-AVIR.7
EVG muss entsprechend
beherrschen
F-AVIR.1 und F-AVIR.2 alle vom BSI aufgeführten Angriffstechniken
F-AVIR. 8
Sicherheitsfunktion F-AVIR.1 muss Viren in Dateien und auf Medien finden, die nach dem vom BSI
aufgeführten Verfahren komprimiert wurden. Funktion F-AVIR.2 muss beim Betrieb mit infizierten
Dateien der Infektion entgegenwirken.
F-AVIR.9
Funktionen F-AVIR.1 und F-AVIR.2 dürfen keine Fehlalarme verursachen.
Wiederaufbereitung
F-AVIR.10
EVG darf keine Teile des Virus-Codes in irgendeiner Form abspeichern, so dass eine Meldung durch
andere Anti-Virus-Programme erfolgt.
12
Integrität
F-AVIR. 11
F-AVIR.1 muss auch in infizierten Systemen erbracht werden, ohne dass die Integrität verletzt wird,
v.a. muss EVG vollständig von schreibgeschützten Medien lauffähig sein.
F-AVIR.12
Prüfung der Integrität der für die Sicherheit wichtigen Funktionen bevor dies durch andere Medien
geschieht. Ist Integrität verletzt  Benachrichtigung des Anwenders und Beendigung des
Programmlaufs.
Beweissicherung
F-AVIR.13
Sicherheitsfunktionen nach F-AVIR.1 und F-AVIR.2 müssen gefundenen Virus mit vollständiger
Pfadangabe auf dem Bildschirm angeben.
F-AVIR. 14
Sicherheitsfunktionen nach F-AVIR.1 muss Protokollierungskomponente enthalten, so dass der
Anwender folgende Daten bei jedem Start protokollieren kann:
a. Aktualitätsstand (Datum ggf. Versions-Nr.) aller benutzten sicherheitsrelevanten Dateien des
EVG
b. Datum und Uhrzeit des Prüflaufs entsprechend der Systemuhr des Wirtsrechners
c. Ausgabe aller benutzten Parameter
d. Ausdrückliche Bestätigung (auf Anforderung) der Überprüfung des Speichers des
Wirtssystems auf Viren vor der Prüfung von anderen Medien.
e. Angabe des Volumennamens oder der Datenträger-Kennung der auf Viren geprüften
Medien, sofern vorhanden
f.
Namen aller geprüften Dateien (auf Anforderung)
g. Gesamtzahl der geprüften Dateien und anderen Objekten
h. Anzahl der Dateien und anderen Objekten, in denen keine Infektion festgestellt wurde
i.
Anzahl der als infiziert angesehenen Dateien und anderen Objekten (einschließlich 0)
j.
Exakte Identifikation aller infizierten Dateien und anderen Objekten
k. Anzahl der Dateien und anderen Objekten, die nicht geprüft werden konnten
l.
Identifikation der Dateien und Objekte, die nicht geprüft werden konnten
13
m. Jeglichen Abbruch des Programmlaufs (mit Bezug auf die Startparameter)
Protokollierung
F.AVIR.15
Sicherheitsfunktionen nach F-AVIR.1 und F-AVIR.2 müssen dem Anwender folgende Informationen
liefern:
a. Aktualitätsstand (Datum und ggf. Versions-Nr.)
sicherheitsrelevanten Dateien des EVG
des EVG und aller
b. die Werte der vom Anwender gewählten sicherheitsrelevanten Parameter
o
Zusätzliche Anforderungen
Beweissicherung
F-AVIR.16
EVG muss den gefundenen Virus gemäß den Akzeptanzkriterien auf dem Bildschirm korrekt mit
einem eindeutigen Namen melden.
F-AVIR.17
EVG muss Virus (auf Anforderung des Anwenders) mit eindeutigem Namen in einer Datei
protokollieren können.
Protokollierung
F-AVIR.18
EVG muss in seiner Voreinstellung den Anwender auf reduzierte Sicherheit hinweisen, wenn
zwischen Aktualitätsstand des Programms und Systemuhr mehr als 6 Monate liegen.
Aktuelle Bedrohung
F-AVIR.19
EVG muss Liste der von ihm auffindbaren Software mit Schadensfunktionen enthalten. Darin muss
enthalten sein:
a. Namen und ggf. Alias-Namen für alle Viren, die gefunden werden können
b. Kurzbeschreibung der Eigenschaften (z.B. speicherresident, selbstverschlüsselnd,
stealth, polymorph usw.)
c. Virus-Typ (Datei-, Boot-Virus, multipartite, Makro usw.) sowie bei Bedarf die
gefährdeten Dateiarten
d. notwendige Sofortmaßnahmen (z.B. sofort ausschalten, Arbeit normal beenden usw.)
14
e. Kurzbeschreibung der Schadensart (z.B. nur Behinderung der Arbeit, Löschen von
Dateien usw.)
f.
Vorgehen bei der Entfernung des Virus' (z.B. Reparatur, Löschen von befallenen
Dateien, Formatieren von Datenträgern, Wiederherstellen von Boot- oder PartitionSektor)
F-AVIR.20
EVG muss dem Anwender erlauben, Komponenten zur Abwehr einer akuten Bedrohung
hinzuzufügen.
o
Voraussetzungen für die sichere Arbeitsumgebung (SAR)
Maßnahmen bezüglich der Veränderung der Bedrohung
SAR-AVIR.1
Der EVG muss nach Maßnahmeplan (erstellt durch BSI) gepflegt (aktualisiert) werden.
Integrität
SAR-AVIR.2
EVG muss in einer Form geliefert werden, die einer versehentlichen Virusinfektion entgegenwirkt.
Falls Lieferung auf Diskette  permanenter Schreibschutz
Wiederaufbereitung
SAR-AVIR.3
Anwenderdokumentation des EVG muss Hinweise zur Beseitigung einer Infektion auf beschreibbaren
Medien für jeden der „aktuellen Viren" enthalten (entsprechend den „Akzeptanzkriterien"). Diese
Prozeduren dürfen nicht zusätzliche Schäden auf dem Wirtssystem verursachen.
15
ii
Akzeptanzkriterien: Viren nach Punkt I und II müssen zu 100% gefunden werden; Viren nach Punkt
III zu 90%
16