M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, IT-Benutzer

Gibt es Anzeichen, daß ein Rechner von einem Computer-Virus befallen ist (z. B. Programmdateien werden länger, unerklärliches Systemverhalten, nicht auffindbare Dateien, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne daß etwas abgespeichert wurde), so sind zur Feststellung eines Computer-Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen:

1. Ruhe bewahren!
2. Falls möglich, holen Sie einen fachkundigen PC-Betreuerzur Hilfe.
3. Beenden Sie die laufenden Programme und schalten Sie den Rechner aus.
4. Legen Sie eine einwandfreie, schreibgeschützte System-Diskette(die Notfall-Diskette vgl. M 6.24 Erstellen einer PC-Notfalldiskette) in Laufwerk A: ein.
5. Booten Sie den Rechner von dieser Diskette (evtl. vorher Boot-Reihenfolge im CMOS-Setup ändern, siehe M 4.84 Nutzung der BIOS-Sicherheitsmechanismen).
6. Überprüfen Sie den Rechner mit einem aktuellen Viren-Suchprogramm um festzustellen, ob tatsächlich ein Computer-Virus aufgetreten ist und um welchen Computer-Virus es sich ggf. handelt.
7. Entfernen Sie den Virus abhängig vom jeweiligen Virustyp (falls sich Probleme ergeben, können Sie sich an die Viren-Hotline des BSI wenden unter (0228) 9582-444).
8. Überprüfen Sie mit dem Viren-Suchprogramm die Festplatte erneut.
9. Untersuchen Sie alle anderen Datenträger (Disketten, Wechselplatten) auf Virenbefall und entfernen Sie die Computer-Viren.
10. Versuchen Sie, die Quelle der Vireninfektion festzustellen. Ist die Quelle auf Original-Datenträger zurückzuführen, dann sollte der Hersteller informiert werden. Liegt die Quelle in Dateien oder E-Mail, so ist der Ersteller der Datei zu unterrichten.
11. Warnen Sie andere IT-Benutzer, wenn ein Daten-Austausch mit dem infizierten Rechner erfolgte.
12. Schicken Sie den Virus-Meldebogen ans BSI (Vordruck befindet sich im Anhang).

Sollte der Computer-Virus Daten gelöscht oder verändert haben, versuchen Sie, die Daten aus den Datensicherungen (vgl. M 6.32 Regelmäßige Datensicherung ) und die Programme aus den Sicherungskopien der Programme (vgl. M 6.21 Sicherungskopie der eingesetzten Software ) zu rekonstruieren. Anschließend sollte nochmals Schritt 8 wiederholt werden.

Ergänzende Kontrollfragen:

• Werden diese Verhaltensregeln allen betroffenen Mitarbeitern bekanntgegeben?
• Gibt es fachkundige Personen, die im Bedarfsfall die oben genannten Schritte durchführen können?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .