Bauer AG

Virenfreies ECM

Die Bau- und Maschinenbau-Gruppe Bauer AG entwickelt und baut Spezialtiefbaumaschinen und realisiert in der ganzen Welt anspruchsvolle Projekte im Tiefbau und Untertagebau. Für ihre Arbeit müssen den rund 8.000 Mitarbeitern weltweit alle notwendigen Informationen bereit gestellt werden. Dafür nutzt Bauer das Enterprise Content Management-System Alfresco.

Dieses stellt ein virtuelles Dateisystem für die Dokumentenablage bereit. Vor der Ablage prüft eine AV-Lösung die Dateien auf Malware. Dabei kann es vorkommen, dass ein unbekannter Schadcode, für den noch keine Signatur hinterlegt ist, »durchrutscht« und dass somit eine infizierte Datei im ECM-System abgelegt wird. Übliche serverbasierte Virenscanner können nicht eingesetzt werden, da die Dateien auf dem Server nicht in der Form gespeichert werden, wie klassische Virenscanner das voraussetzen.

Proaktiver Schutz. Die Bauer AG wollte in jedem Fall Viren auf dem Server vermeiden. Deshalb sollte ein Malwareschutz eingesetzt werden, der als Appliance vor den Zugängen der ECM-Server im Unternehmensnetz installiert werden kann. Die Dateien sollten beim Up- und Download, aber nicht während ihrer Aufbewahrung im Dateisystem gescannt werden, so dass ein auf dem Server lokal installierter Virenscanner obsolet wird. Neben dem klassischen signaturbasierten Scanner waren deshalb auch proaktive Schutzkomponenten als Bestandteil der Lösung gefordert.
»Ausschließlich signaturbasierte Antimalware-Lösungen reichen in Zeiten, in denen täglich mehr als 5.000 neue Viren in Umlauf kommen, nicht mehr«, erläutert Roland Bauer, Fachgruppenleiter IT bei der Bauer AG. »Unsere Standorte sind über den ganzen Globus verstreut – wir können deshalb leicht zu den ersten Unternehmen gehören, bei denen ein neuer Virus hereinkommt.«

Außerdem hatte Bauer klare Vorstellungen hinsichtlich der zu scannenden Protokolle. Außer HTTP, das beim Ablegen der Dateien im Dateisystem übers Web und über WebDAV genutzt wird, sollten auch die Dateien gescannt werden, die über die ganz normale Netzwerkfreigabe abgelegt werden. Dafür wird CIFS genutzt. Berücksichtigt wird dieses Protokoll allerdings nur von sehr wenigen AV-Produkten – Bauer entschied sich deshalb, Norman Network Protection (NNP) des norwegischen Antimalware-Spezialisten Norman in den Testbetrieb zu nehmen.

NNP ist ein vollständig transparenter Malware-Scanner, der als Software-Paket oder auf einen Standardserver aufgespielt ausgeliefert und mit wenigen Handgriffen an beliebiger Stelle im Unternehmensnetz installiert wird, etwa am Ein- und Ausgang einer Datenbankanwendung. Proaktive Komponenten verringern das Risiko einer Infektion durch unbekannte Malware.

Verhaltensbasierte Box. Eingesetzt wird die verhaltensbasierte Norman SandBox. Sie simuliert einen Rechner samt Umgebung, in der unbekannte Dateien ihre Instruktionen ungehindert ausführen können. Alle Aktivitäten der Datei werden beobachtet und bewertet. Bestandteil der SandBox ist überdies seit kurzem die Funktionalität »DNA Matching«. Das Verfahren macht sich zunutze, dass Schadsoftware nur in seltenen Fällen von Grund auf neu erfunden wird, und gleicht Subroutinen unbekannter Dateien mit den Subroutinen bekannter Malware-Familien ab. NNP scannt die Protokolle, die zur Übermittlung von Malware geeignet sind: neben HTTP und CIFS/SMB sind dies FTP, SMTP, POP3, RPC, TFTP, IRC – und das alles in Echtzeit. Gescannt wird nicht nur beim Upload der Dokumente, sondern auch beim Download. Der Scan beim Download bewirkt, dass das Dokument auch anhand der in der Zwischenzeit bereitgestellten Signaturen geprüft wird, bevor es den Anwender erreicht.

No Comments Yet.

Leave a Comment

You must be logged in to post a comment.