Datenbank basierende Anwendungen stellen besondere Anforderungen an die Auswahl eines geeigneten Virenschutzes. Lokaler Virenschutz ist ebenso wenig gern gesehen wie die Beschränkung auf rein signaturbasierte Scanner. Zur Absicherung ihrer neuen ECM-Lösung Alfresco hat sich die Bauer AG deshalb für den Malwarescanner Norman Network Protection entschieden.
Die Bau- und Maschinenbau-Gruppe Bauer AG entwickelt und baut Spezialtiefbaumaschinen und realisiert in der ganzen Welt anspruchsvolle Projekte im Tiefbau und Untertagebau, im Bau von Brücken und Kläranlagen und in der Sanierung historischer Bauwerke. Für ihre Arbeit müssen den rund 8.000 Mitarbeitern weltweit alle notwendigen Daten und Informationen zur Verfügung gestellt werden. Dafür nutzt die Bauer AG ein Enterprise Content Management-System. Die Wahl fiel auf die Open Source-Lösung Alfresco, von der sich die Unternehmensgruppe in erster Linie die Einrichtung einer zentralen Datenhaltung und die Möglichkeit von ortsunabhängigem Zugriff versprach. Für die Implementierung von Alfresco in der Unternehmenszentrale in Schrobenhausen bei München arbeitete die Bauer AG mit der dmc digital media center GmbH zusammen, die auf individuelle Softwarelösungen für große Unternehmen spezialisiert ist und zu den wenigen IT-Dienstleistern in Deutschland mit Alfresco-Erfahrung zählt. Bei Bauer wird Alfresco auf drei ECM-Servern betrieben. Dabei werden zwei der Server im produktiven Netz eingesetzt, jeder ist, aus Redundanzgründen, mit zwei Netzwerkkarten ausgestattet. Der dritte Alfresco-Server ist Bestandteil eines Testnetzes, in dem Szenarien evaluiert werden.
Alfresco stellt ein virtuelles Dateisystem für die Dokumentenablage bereit. Microsoft Office-Anwender können ihre Dokumente wie gewohnt in Verzeichnissen speichern; für die Ablage werden die Dateien automatisch beispielsweise in XML oder PDF umgewandelt. Vor der Ablage prüft eine AV-Lösung die Dateien auf Malware. Dabei kann es vorkommen, dass unbekannter Schadcode, für den noch keine Signatur hinterlegt ist, „durchrutscht“ und dass somit eine infizierte Datei im ECM-System abgelegt wird. Übliche serverbasierende Virenscanner, wie Sie bei Fileservern verwendet werden, können leider bei den meisten ECM-Systemen und somit auch bei Alfresco nicht eingesetzt werden, da die Dateien auf dem Server nicht in der Form gespeichert werden, wie klassiche Virenscanner dies erwarten. Sollte man dennoch auf diese Weise einen Virenscanner einsetzen, würde ein Löschen oder Verschieben von Serverdateien zu einem inkonsistenten System führen, da das ECM-System von diesen Manipulationen nichts mitbekommen würde. Das Speichern des Schädlings würde zwar verhindert, sofern er denn überhaupt erkannt wird, allerdings würde auch im ungünstigsten Fall das gesamte System zerstört werden und müsste erst mühsam wieder hergestellt werden.
Vor dem Upload scannen
Die Bauer AG wollte in jedem Fall Viren auf dem Server vermeiden. Deshalb sollte ein Malwareschutz eingesetzt werden, der als Appliance vor den Zugängen der ECM-Server im Unternehmensnetz installiert werden kann. Die Dateien sollten beim Up- und Download, aber nicht während ihrer Aufbewahrung im Dateisystem gescannt werden, so dass ein auf dem Server lokal installierter Virenscanner obsolet wird. Außerdem sollte insgesamt die Wahrscheinlichkeit eines Befalls durch unbekannte Malware möglichst gering gehalten werden. Neben dem klassischen signaturbasierten Scanner waren deshalb auch proaktive Schutzkomponenten als Bestandteil der Lösung gefordert. „Ausschließlich signaturbasierte Antimalware-Lösungen reichen in Zeiten, in denen täglich mehr als 5.000 neue Viren in Umlauf kommen, nicht mehr“, erläutert Roland Bauer, Fachgruppenleiter IT bei der Bauer AG. „Unsere Standorte sind über den ganzen Globus verstreut – wir können deshalb leicht zu den ersten Unternehmen gehören, bei denen ein neuer Virus hereinkommt.“ Außerdem hatte Bauer klare Vorstellungen hinsichtlich der zu scannenden Protokolle. Außer HTTP, das beim Ablegen der Dateien im Dateisystem übers Web und über WebDAV genutzt wird, sollten auch die Dateien gescannt werden, die über die ganz normale Netzwerkfreigabe abgelegt werden. Dafür wird CIFS genutzt. Berücksichtigt wird dieses Protokoll allerdings nur von sehr wenigen AV-Produkten – die Bauer AG entschied sich deshalb, Norman Network Protection (NNP) des norwegischen Antimalware-Spezialisten Norman in den Testbetrieb zu nehmen.
CIFS/SMB berücksichtigen
NNP ist ein vollständig transparenter Malwarescanner, der als Software-Paket oder auf einen Standard-Server aufgespielt ausgeliefert und mit wenigen Handgriffen an beliebiger Stelle im Unternehmensnetz installiert wird, beispielsweise am Ein- und Ausgang einer Datenbank-Anwendung. Proaktive Komponenten verringern insgesamt das Risiko einer Infektion durch unbekannte Malware. Eingesetzt wird die verhaltensbasierte Norman SandBox. Sie simuliert einen Rechner samt Umgebung, in der unbekannte Dateien ihre Instruktionen ungehindert ausführen können. Alle Aktivitäten der Datei werden beobachtet und bewertet; ggf. werden Datei und Pfad blockiert. Bestandteil der SandBox ist seit kurzem überdies die Funktionalität „DNA Matching“. Das Verfahren macht sich zunutze, dass Schadsoftware nur in seltenen Fällen von Grund auf neu erfunden wird, und gleicht Subroutinen unbekannter Dateien mit den Subroutinen bekannter Malware-Familien ab. NNP scannt die Protokolle, die zur Übermittlung von Malware geeignet sind, neben HTTP und CIFS/SMB auch FTP, SMTP, POP3, RPC, TFTP und IRC in Echtzeit. Gescannt wird nicht nur beim Upload der Dokumente, sondern auch beim Download. Der Scan beim Download bewirkt, dass das Dokument auch anhand der in der Zwischenzeit bereitgestellten Signaturen geprüft wird, bevor es den Anwender erreicht.
Geringe Latenzzeiten
Ende 2008 startete der Testbetrieb von NNP vor dem Zugang eines der Alfresco-Server: „Der Installationsaufwand war denkbar gering, da weder Anpassungen an bestehende Komponenten im Netzwerk noch Änderungen von Netzwerkeinstellungen, Proxysettings oder Gateway-Einstellungen vorzunehmen waren“, erläutert Bauer. Unter anderem waren mögliche Latenzen durch den Scanvorgang unter Beobachtung, wie sie von Proxys bekannt sind. Auch hier hat NNP gepunktet. Ein schlauer Trick verringert störende Übertragungszeiten: Während Proxys beim Scan einer Datei den gesamten Datenstrom zurückhalten, bis sie alle Daten erhalten und gescannt haben, und sie erst dann an das Ziel weiter leiten, sendet NNP eine zu scannende Datei bis auf einige Datenpakete gleich an den Empfänger. Falls Schadcode identifiziert wird, werden die zurückgehaltenen Datenpakete verworfen und damit die gesamte Datei.
Die Auswertung der Testphase mündete in eine einhellige Entscheidung für NNP. Die Bauer AG lizenzierte auf drei Jahre insgesamt fünf Exemplare der Lösung zur Absicherung der drei ECM-Server. Je ein Exemplar von Norman Network Protection, auf Servern von HP installiert, sichert dabei einen der beiden Zugänge pro ECM-Server ab. Die fünfte Version der NNP läuft vor dem dritten Alfresco-Server. Bauers Fazit: „Mit der Auswahl der gescannten Protokolle und der Proaktivität stellt Norman Network Protection das erforderliche Spektrum an Funktionalität für die optimale Absicherung unserer ECM-Lösung zur Verfügung.“