Viren, Spam, Werbung und Müll

Seite 4/4

Kriterien bei der Auswahl einer Schutzlösung

Jeder Administrator muss selbst entscheiden, welches Produkt in die Landschaft am besten paßt. Hier einige Stichworte, die für eine Entscheidung evaluiert werden sollen.

  • Installation
    Nicht alle Virenschutzlösungen lassen sich automatisch verteilen. Das mag für kleinere Firmen nicht wichtig sein, aber wenn sie mehrere Exchange Server an verschiedenen Standorten haben, dann ist eine Installation vom Arbeitsplatz über das LAN eine schöne Sache. Trend löst dies z.B.: damit, dass auf dem Fernsystem ein Installationsdienst eingerichtet wird der die eigentliche Installation durchführt. So kann ich ScanMail und ServerProtect schnell installieren.
  • Konfiguration
    Ebenso wichtig ist eine zentrale Konfiguration, damit mehrere Server gut unter Kontrolle gehalten werden können. Interessant ist, wenn über eine Konsole quasi "Richtlinien" festgelegt werden, an denen sich alle Clients orientieren. Das müssen keine NT Richtlinien oder Windows 2000 Richtlinien sein, eine einfache INI-Datei auf einer Dateifreigabe tut es auch, welche von den Clients regelmäßig kopiert wird.
  • Update
    Wichtig ist auch, wie "stabil" das Update bei einem Virensturm ist, Bekommen sich noch die Patterndateien vom Hersteller, wenn tausend Kunden das gleiche tun ?. Patternupdate im Wochenrhythmus sind eigentlich schon zu lange. Sinnvoll ist auch ein zentrales Update, d.h. ein System holt die Updates und stellt sie Intern bereit. Dann profitieren auch Systeme ohne Internetberechtigung.
    Größere Firmen nutzen hierbei die Möglichkeit, Update erst in einem Testpool zu installieren und erst einige Stunden später die Produktivsysteme zu aktualisieren.
  • Erfahrung, Businessplan
    Mir persönlich sind Firmen angenehm wie Trend Micro, Kaspersky Labs, H+B EDV und andere, die nur oder überwiegend von der Herstellung eines Virenschutzprogramms leben. Dann bin ich sehr sicher, dass diese alles daran setzen, hier gut zu sein und wissen, wovon sie sprechen. große Mischkonzerne sind hier etwas undurchsichtig und oft wird ein Virenscanner quasi im Paket mit einer Datensicherung oder Managementlösung sehr günstig verkauft. Vergessen Sie bei Virenscannern den Preis als erstes Kriterium. Sie müssen das Produkt administrieren, Ihre Mitarbeiter haben den Code permanent im Speicher und entsprechend muss die Qualität stimmen.
  • Produktvielfalt
    Dazu kommt, das solche Firmen meist wenig Probleme haben, viele Systeme abzudenken. Es gibt neben Exchange und Windows NT durchaus noch NetWare, Unix, Notes und andere Systeme.  
  • Alarmierung und Management
    Natürlich gehört es zum guten Ton, dass ein Scanner einen Virus meldet. Die meisten machen die per Netzwerk Popup oder E-Mail. Aber schon hier sind unterschiede: Sendet der Client die Mail per SMTP oder MAPI ? SMTP ist mein Favorit, da es eigentlich immer funktioniert. Mit MAPI muss ein profil vorhanden sein. Aber nur wenig Virenscanner integrieren sich in das System, indem Sie auch im Eventlog eine Nachricht hinterlassen (Managementsysteme können darauf getriggert werden). Einige Produkte können sogar per SNMP einen Tarp senden und integrieren sich in den Windows NT Performance Monitor. Dies ist besonders hilfreich, wenn es um die Überlastmonitore geht. Es ist schon mehr als nur ein Bonus, wenn der aktuelle Durchsatz oder die Anzahl der erkannten Viren auch über gängige APIs abgefragt werden kann, z.B.: über eine ASP-Seite im Intranet. 
  • Lizenzierung und Preis
    Das Geld ist ein  wichtiger Faktor, aber steht meiner Meindung nach sehr weit hinten an. Die Marktsituation läßt keinen Hersteller zum Wucherer werden, so dass ein Produkt erst richtig teuer wird, wenn es nicht wie erwartet funktioniert. Interschiedlich ist nur die Lizenzierung einiger Hersteller, die mal den ein und mal den anderen Fall günstiger erscheinen läßt.
    So verlangen einige Hersteller beim Serverscanner einen Preis je Server, während Trend Micro den Preis pro geschütztem user festmacht, also unabhängig von der Anzahl der Server oder gar Server OS. Eine Firma mit mehreren Servern ist damit im Vorteil bzw. es spielt keine Rolle, ob sie nun zwei oder drei Server betreiben.
  • Besonderheiten
    Beachten Sie auch die Kleinigkeiten, die am Ende aber eine große Wirkung haben. Kann der Scanner auch komprimierte Dateien verarbeiten und wenn ja, wie weit rekursiv. Was macht er, wenn eine Datei mit Kennwort verschlüsselt ist ?. Gerade SMTP-Scanner sind genau zu prüfen, da es verschiedene MIME-Zeichensätze etc. gibt, sonst fehlen vielleicht plötzlich umlaute. Schon mal erlebt, wenn ein Japaner mit einem japanischen Outlook an ihrem Server eine Mail in die Heimat schickt ?. Einige SMTP-Relay machen alles möglich daraus.

Insofern informieren Sie sich vorher z.B.: in den Supportgruppen der Hersteller oder den Produktgruppen über die Erfahrungen anderer Benutzer.

Kontrolle

Was hilft das beste Produkt, wenn Sie nicht wissen, ob es funktioniert ? Dazu gibt es eigens einen Testvirus namens "EICAR", welcher von jedem Virenscanner erkannt wird. Diese Datei ist gefahrlos, aber zeigt ihnen, welcher Virenscanner diese Datei erkennt. Sie erkennen damit ob die Testnachrichten den "richtigen" Weg nimmt und Sie alles richtig installiert haben.

EICAR bekommen Sie an vielen Stellen im Internet. Ich kann ihnen den Testvirus leider nicht senden, da er bei mir alle vier Hürden überwinden muss. Aber Sie können sich den Testvirus jederzeit auch per Internet downloaden oder zusenden lassen:

  • Download als COM, ZIP und doppelt gepacktes ZIP
    http://www.eicar.org/anti_virus_test_file.htm
  • per Mail anfordern
    Leere Mail an virus.echo@mimesweeper.com senden
  • Folgende Zeilen ohne die Anführungszeichen in NOTEPAD kopieren und als EICAR.COM speichern:

"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"

Wenn ihnen es gelingt die Datei zu erhalten, dann funktioniert ihr Virenschutz nicht !

Dann bleibt ihnen nur noch möglichst täglich zu kontrollieren, ob die Programme noch ihren Dienst verrichten, die Patterndateien und Scanengines aktuell sind und ihre Filter den Firmenanforderungen entsprechen.

Welcher Virenscanner ist der Beste ?

Diese Frage wird immer wieder in den Newsgroups gestellt und tatsächlich gibt es unterschiede bei Virenscannern. Allerdings weniger in der Funktion, Viren zu erkennen als viel mehr in der Installation, im Betrieb, im Management und der Zuverlässigkeit.

Viren erkennen fast alle und wie schnell ein aktueller Virus erkannt wird, ist direkt abhängig davon, wie schnell die Hersteller ein neues Patternfile oder eine neue Scanengine entwickelt haben. Aber für Sie als Anwender ist es wichtig, wie schnell diese neue Version auch in ihrem Netzwerk auf allen Systemen verteilt wird und wie Sie das kontrollieren können.

Fast alle Hersteller unterscheiden Sich in der Scanleistung nur minimal, so dass Vergleichstests hier nur wenig helfen. Schauen Sie sich den Scanner in der Handhabung an; das Konzept, welches hinter der Software und ihrer Verteilung und Verwaltung steht. Muss jeder Server selbst die Updates auf dem Internet ziehen, oder kann ein zentraler Dienst dies übernehmen und die Verteilung auch kontrollieren ?. Wie wird der Administrator über Updates und Fehler informiert ?. Das sind nur ein paar Fragen.

Hier finden Sie einige Links zu den Virenherstellern, deren Produkte ich selbst können gelernt habe. Sie können mich gerne ansprechen um für ihre Umfeld eine geeignete Lösung zu entwickeln. (Siehe Kontakt)

  • http://www.av-test.org Sehr übersichtliche Vergleichsseiten zu Virenscannern
  • www.antivirus.com  bzw. www.antivirus.de
    Die Seiten von TrendMicro mit Scanmal, einen MAPI/AVAPI-basierten Virenscanner als auch einer SMTP-Viruswall
    ACHTUNG: Trend Micro bietet kostenfrei "HOUSECALL" an. Starten Sie einen Internet Explorer auf dem Exchange Server oder ihrem PC mit Internetverbindung und gehen Sie unter www.antivirus.com auf Housecall. Es wird ein Virenscanner samt aktueller Patterns herunter geladen und gestartet.
  • www.sybari.com
    Der etwas andere Ansatz einen Exchange Server gegen Viren zu schützen mit sehr gutem Exchange Know-How aber ohne eigene Scanengine.
  • www.nai.com
    Network Associates. Sicher einer der älteren Mitbewerber im Markt.
  • Natürlich gibt es noch viele weiteren Virenschutzsoftwarehersteller. Schauen Sie sich einfach etwas um und lesen verschiedene Zeitschriften.

Wenn Sie aktuell einen Virus haben, und schnelle Hilfe brauchen, dann sollten Sie Exchange NOTFALL - Virusbefall weiter lesen.