Datenschutz ELK-WUE

Verordnungstext

Die Computervirenschutzverordnung befindet sich im Rechtsteil des Datenschutzwebs, dort unter den "Landeskirchlichen Bestimmungen" im Unterordner "Verordnungen". Durch einen Mausklick hier! gelangen Sie direkt dahin. Mit der Rücktaste des verwendeten Browsers, gelangt man zu dieser Seite zurück.

In aller Regel wird dieser Verordnung durch den Einsatz eines Virenschutzprogramms entsprochen werden müssen.

Eine Zunahme der Komplexität eines Systems erhöht dessen Fehleranfälligkeit. Man könnte diese Befürchtung auch haben, wenn ein Virenschutzprogramm installiert wird, insbesondere wenn sich dieses über das Internet aktualisiert. Wie in der Medizin auch muß man hier zwischen Haupt- und Nebenwirkungen unterscheiden. Selbstverständlich kann eine Aktualisierung über das Internet Risiken bergen, dies ist jedoch den Herstellern solcher Programme durchaus bewußt und sie sichern dieses Verfahren entsprechend ab. Es würde die wirtschaftliche Existenz dieser Unternehmen erheblich gefährden, könnte eine Aktualisierung gehackt und mißbraucht werden. Insofern kann man davon ausgehen, dass das menschenmögliche getan wird. Ein Restrisiko bleibt immer, dies ist jedoch nicht mit dem zu vergleichen, was veraltete Virenmuster oder gar keinen Virenschutz bedeuten.

Welches Virenschutzprogramm ist geeignet?

Kostenlose Produkte sind wohl kaum noch zu bekommen. Entscheidend für die Schutzwirkung eines Virenschutzprogrammes ist die Aktualität der Virensuchmuster. Dabei zählt nicht die Aktualität der Muster beim Softwarehersteller, sondern die auf dem jeweiligen Rechner. In der Praxis funktioniert dies erfahrungsgemäß nur, wenn die Aktualisierung vom Virenschutzprogramm selbst regelmäßig nachgefragt wird und dann weitgehend automatisch erfolgt bzw. gänzlich vollautomatisch durchgeführt wird. Neben der Aktualisierung der Virensuchmuster spielt die Aktualisierung des Virenschutzprogramms selbst eine immer größerer Rolle. Die qualifizierte Bereitstellung dieser Funktionalitäten hat ihren Preis, erst dann entsteht jedoch wirklicher Schutz.
Faktisch wird die Befugnis bezahlt, Virenmuster und Virenschutzprogramm für eine bestimmte Zeitspanne, etwa einem oder zwei Jahre, aktualisieren zu dürfen, in der Regel über das Internet. Es wird also nicht ein Stück Software erworben, das dann für unbestimmte Zeit seinen Dienste tun soll.

Der Vergleich von Virenschutzprogrammen erfordert einigen Aufwand. Im Internet befinden sich mehrere solcher Tests, oft in den Online-Versionen von Computerzeitschriften oder Magazinen, mit jeweils unterschiedlichen Rangfolgen. Es ist nur schwer durchschaubar, welche dieser Tests die aussagekräftigeren sind. Ohne Wertung sei an dieser Stelle auf die Tests von http://www.tecchannel.de hingewiesen.
Der Test von Virenschutzprogrammen befindet sich (Stand Dezember 2001) hier:
http://www.tecchannel.de/software/214/.

Anhand dieses Tests könnten zwei oder drei Produkte näher ins Auge gefasst werden, die zumindest im Mittelfeld liegen. Eine ausreichende Qualität beim Schutz vor E-Mails mit infizierten Anhängen muß gewährleistet sein, der Virenwächter-Teil der Software sollte keine gröberen Mängel haben.

Preiswerte Bezugsquelle für kirchliche Stellen

Eine sehr preisgünstige Bezugsquelle haben kirchliche Stellen bei der Kirchliche Gemeinschaftsstelle für elektronische Datenverarbeitung (Kigst).

Die Preise reduzieren sich weiter, wenn sich mehrere Stellen zusammen tun, um auf höhere Lizenzzahlen zu kommen, genauere Einzelheiten müssen jeweils (per E-Mail) nachgefragt werden. Die Preise für Virenschutzprogramme, die hier nicht zu bekommen sind, können über das Internet recherchiert werden.

Eine Auflistung der nach Durchsicht des oben genannten Tests näher ins Auge gefaßten Produkte und die ermittelten Preise dürfte dann eine zuverlässige Entscheidungsgrundlage abgeben.

Wachsamkeit ist weiterhin erforderlich!

Der oben genannte Test von Virenschutzsoftware zeigt auf, dass es ein Irrtum ist zu glauben, nach der Installation eines Virenschutzprogrammes sei ein 100%-iger Schutz vorhanden. Der Grundsatz, nie ungeprüft einen Anhang einer E-Mail von einem unbekannten Absender öffnen, muß auch beim Einsatz eines Virenschutzprogramms beherzigt werden.

Auch bei bekanntem Absender ist Wachsamkeit gefordert. Viren verbreiten sich mit Vorliebe über Adreßbucheinträge der jeweils benutzten E-Mail-Software. In aller Regel besteht ein Bekanntschaftsverhältnis, ist man im Adreßbuch einer anderen Person eingetragen ist. Insofern ist die Wahrscheinlichkeit hoch, gerade von einer bekannten Person oder Stelle einen Virus zugeschickt zu bekommen. Hier muß unterschieden werden zwischen dem Vertrauen, das einer Person als Mensch oder einer Stelle als Institution oder Unternehmen entgegengebracht wird und dem Vertrauen in die Fähigkeit oder Bereitschaft dieser Person oder Stelle, einen effektiven Virenschutz zu betreiben! Auch in menschlichen Dingen sehr vertrauenswürdige Personen zeigen mitunter eine geradezu kindliche Naivität, wenn es um den Einsatz von EDV geht. Eine wachsame Nachfrage mit einer E-Mail oder einem Telefonat wenn etwas unstimmig erscheint entfaltet eine nicht zu unterschätzende Schutzwirkung. Vorsicht ist beispielsweise angebracht, wenn es um etwas geht, was gar nicht Thema ist oder ein nicht nachvollziehbarer Betreff eingetragen ist.

Es sind die Unstimmigkeiten mit den bestehen persönlichen oder sachlichen Verhältnissen , die eine virenbehaftete E-Mail auffällig werden läßt. Da dem Programmierer des Virus diese Zusammenhänge in der Regel nicht bekannt sind, hat sein Virus hier eine systematische Schwachstelle. Das kann zur eigenen Sicherheit genutzt werden. Durch Bezugnahme auf gerade aktuelle Ereignisse oder zeitlose Themen versuchen die Virenprogrammierer jedoch, diese Schwachstelle zu umgehen, hier ist also besondere Vorsicht angebracht. Nur inhaltliche und technische Kontrolle zusammen bewirken den optimalen Schutz.

Die Sachlage ändert sich auch nicht, wenn in einem Intranet gearbeitet wird. Das im vorigen Absatz gesagte gilt prinzipiell auch hier, insbesondere bei von außen eingehenden E-Mails. Erfahrungsgemäß ist die Hemmschwelle, nachzufragen, beim Arbeiten in einem Intranet höher, insbesondere bei Kolleginnen oder Kollegen im selben Netz. Auch wenn eine Virenwall oder lokale Virensuchprogramme einen beachtlichen Schutzfaktor darstellen, kann man sich nicht blind darauf verlassen. Auch beim Arbeiten im Intranet muß nachgefragt werden, wenn an einer E-Mail etwas nicht stimmig ist.

Eben weil Virenschutzsoftware ständig verbessert wird, nehmen die Versuche zu, die PC-Benutzer zu täuschen und zu letztlich schädlichen Handlungen zu veranlassen. Eine gute Informationsquelle zu solchen Methoden sind die Trojaner-Seiten.

Lesenswert ist auch die Website zu den Hoaxes der technischen Universität Berlin.

Ein eindrückliches Beispiel für einen Hoax befindet sich hier!

Schadensersatz

Wird ein Virus weitergeleitet, ensteht möglicherweise bei einer anderen Stelle ein Schaden. Privatperson haben einigermaßen gute Chancen, dafür nicht zur Verantwortung gezogen zu werden. Es kommt jedoch durchaus vor, dass auch Privatpersonen von Firmen Rechnungen über z.B. 50 Euro erhalten, wenn sie eine virenverseuchte E-Mail zugestellt haben. Unabhängig davon, ob dies rechtlich durchsetzbar ist oder nicht, ist es doch mit Unanehmlichkeiten verbunden. Solche Entwicklungen machen deutlich, dass beim Kauf einer Virenschutzsoftware auf Qualität geachtet werden sollte.

Schwieriger ist es, wenn eine Stelle einer Privatperson oder einer anderen Stelle eine virenverseuchte E-Mail zustellt und Schaden verursacht. Stellen sind verpflichtet, einen ausreichenden Virenschutz zu betreiben. Es kann durchaus sein, dass eine Stelle einen Schaden verantworten muß, wenn erkennbar wird, dass sie einen nicht angemessenen Virenschutz betrieben hat.

Virenschutz und Datensicherung

Die Tests der Virenschutzprogramme zeigen auf, dass nicht immer alle Viren erkannt werden und dass es auch zu Fehlalarmen kommen kann. Auch die Desinfektion befallener Dateien funktioniert nicht zu 100%, unter Umständen werden dabei die Dateien zerstörrt. Der Einsatz eines Virenschutzprogramms erhöht somit die Notwendigkeit einer zuverlässigen Datensicherung und verringert sie nicht etwa. Die

Computervirenschutzverordnung,

die Datensicherungsverordnung

und die Verschlüsselungsverordnung

sind als ein aufeinander abgestimmtes System zu verstehen. Es ist unzureichend, nur einem Teil dieser Verordnungen nachzukommen.

Virenschutz und Verschlüsselung

Gute Virenschutzprogramme finden Viren auch in gepackten Dateien und Archiven, sogar bei mehrfacher Verschachtelung. Ein ernsthaftes Problem stellt jedoch die Verschlüsselung dar, besonders die E-Mail-Überwachung kann gefährdet sein, wenn etwa ein verschlüsselter virenbehafteter Anhang direkt in den Arbeitsspeicher entschlüsselt und ausgeführt wird.

Bei Stand-Alone-PC's müssen die Einstellungen des Verschlüsselungsverfahrens und der Virenschutzprogramme so aufeinander abgestimmt werden, dass sich diese beiden Schutzwirkungen nicht gegenseitig beeinträchtigen.

Bei einem Netzwerk muß ein durchdachtes Konzept entwickelt werden. Insbesondere wenn eine verschlüsselte Kommunikation zwischen außerhalb und innerhalb eines geschützten Netzwerks arbeitenden Personen ermöglicht werden soll ist eine genaue Planung erforderlich. Dies wird immer zur Konsequenz haben, dass beim Eintritt in das Netzwerk die Verschlüsselung vorübergehend aufgehoben wird, um dem Virenschutzprogramm die Prüfung zu ermöglichen. Eine 100%-ige Ende-zu-Ende-Verschlüsselung zwischen den Teilnehmern ist somit nicht mehr gegeben. Allerdings muß hier beachtet werden, dass bei der Arbeit im Netzwerk einer Dienststelle oder eines Unternehmens die Beschäftigten nur in besonderen Fällen beanspruchen können, dass ihre Korrespondenz vom Leitungsorgan unter keinen Umständen einsehbar sein darf. Wie jeweils zu verfahren ist, kann nur anhand der konkreten Verhältnisse vor Ort entschieden werden.