Auf die Frage welches Schutzsystem im Netzwerk installiert sei antwortete die große Mehrheit, dass sie Antimalwareschutz im eMail Gateway installiert hätten. Keine große Überraschung wenn man bedenkt, dass 92% der Angriffe von Viren vie eMail begonnen werden. (übrigens verzeichnete man 1996 noch 9%)
Wenn aber 97% der Unternehmen ihren eMail Gateway geschützt haben warum verursachen dann Viren nach wie vor Probleme? Ist der Schutz unzureichend? Wissen die Administratoren nicht richtig mit dem Schutzsystem umzugehen?
Weder noch. Oftmals liegen die Probleme ganz woanders. Auch wenn alle Firmen ihren eMail Gateway schützen, so ist dies häufig bei anderen Systemen nicht der Fall.
Oftmals haben User eMail Accounts unabhängig vom Unternehmen, welche während der Arbeitszeit abgerufen werden. Solange diese Accounts über POP3 eMail Clients abgerufen werden ist es dem Virenschutz noch immer möglich den Gateway zu schützen. In vielen Fällen werden diese E-Mail Systeme jedoch nicht mit Hilfe eines POP3 Accounts abgerufen und entziehen sich somit der Prüfung am Gateway.
In diesem Fall kann die Verantwortung bei den Proxy Servern und Firewalls liegen. Ein Drittel der befragten Unternehmen hatte keine Schutzmechanismen auf dem Proxy Server installiert und ebenso viele gaben an der Firewall und / oder ihrer Konfiguration nicht 100%ig zu vertrauen.
Ein weiteres Problem zeigte sich z.B. bei SQL Slammer. Dieser Wurm verursachte in 2003 und 2004 große Schäden und seine „Arbeitsweise“ unterscheidet sich maßgeblich von anderer Malware. Anstatt sich über eine Datei wie ein klassischer Trojaner oder Wurm weiter zu verbreiten nutzt SQLSlammer ganz gezielt verwundbare Microsoft SQL Server aus. Der installierte Schutz zum Dateiscan für Workstations oder eMail Gateways ist also unzureichend.
Welcher Schutz sollte installiert sein?
Schutz gegen schädliche Codes sollte immer an den Punkten installiert sein, durch die Viren in das System eindringen können und gleichzeitig verschiedene Spezifikationen für jeden Typ Virus erfüllen.
Nimmt man noch mal SQLSlammer als Beispiel, der Microsoft SQL Server angreift, könnte man denken es genügt die Server zu schützen bei denen dieser Service genutzt wird. Diese Server führen jedoch lediglich die Rolle eines File Servers aus. Installierte Antivirenlösungen werden hier den Daten Traffic innerhalb des Systems, quasi „auf den Festplatten“ überwachen ohne beispielsweise den Netzwerktraffic zu berücksichtigen. Auf diese Weise schützen sie nicht ausreichend vor SQLSlammer.
Das Selbe kann bei Sendmail Gateways beobachtet werden. Beim Schutz des eMail Services können Antivirenlösungen eingesetzt werden, die Nachrichten über den Server scannen können. Ist jedoch zusätzlich Samba installiert wird ein weiteres Schutzsystem benötigt.
Heute reicht es einfach nicht mehr nur den Eintrittspunkt der Viren zu schützen es muss der gesamte Datenverkehr und alle Storage Systeme überwacht werden. Von Workstations bis eMail Gateways, von internen Servern zu Firewalls und dem Internet Gateway muss alles geschützt werden um eine sichere Umgebung gewährleisten zu können.
Wo schützen?
Zur Sorge der Administratoren kann bei in den unterschiedlichsten Rankings der vergangenen Monate eine große Veränderung der Malwaretypen erkennen. Spätestens seit Melissa (1999) zeigte sich, dass es für die Virenautoren profitabler ist Bots oder Spyware in Umlauf zu bringen, diese Malwaretypen bringen direkten finanziellen Benefit.
Das Schutzkonzept muss sich weiter entwickeln! Es reicht nicht mehr aus einfach nur herunter geladene Dateien zu scannen. Der TCP/IP Traffic muss gründlich überwacht werden, ebenso ist eine intelligente Scannung der Anwendungen auf jeder Workstation wichtig.