Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.7 — Schutz vor Malware

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.7 ISO 27001ISO 27002BSI OPS.1.1.4

Ransomware verschlüsselt die Dateien, der Bildschirm zeigt eine Bitcoin-Forderung, das Backup liegt auf demselben Server und ist mitbetroffen. Ein Szenario, das weltweit täglich eintritt — oft begünstigt durch veraltete Signaturen, deaktivierte Schutzprogramme oder fehlende Sensibilisierung der Beschäftigten. A.8.7 verlangt einen mehrschichtigen Schutz vor Malware, der über reine Antiviren-Software hinausgeht.

Die Kontrolle umfasst technische Maßnahmen (Erkennung, Blockierung, Quarantäne), organisatorische Maßnahmen (Richtlinien, Schulungen) und vorbereitende Maßnahmen (Wiederherstellungspläne).

Was verlangt die Norm?

  • Erkennungssoftware einsetzen. Antimalware-Software auf allen Endgeräten, Servern und an Netzwerkübergängen (E-Mail-Gateway, Web-Proxy).
  • Mehrschichtiger Ansatz. Neben signaturbasierter Erkennung auch Application Whitelisting, Webfilter, Schwachstellen-Management und verhaltensbasierte Erkennung einsetzen.
  • Regelmäßige Aktualisierung. Signaturen und Software-Definitionen werden automatisch und häufig aktualisiert.
  • Benutzersensibilisierung. Beschäftigte werden geschult, Malware-Bedrohungen zu erkennen und richtig zu reagieren.
  • Wiederherstellungsplan. Für den Fall eines Malware-Befalls existiert ein dokumentierter Wiederherstellungsplan.

In der Praxis

Zentrale Verwaltung einrichten. Alle Endgeräte und Server werden über eine zentrale Konsole verwaltet. Dort siehst du den Schutzstatus jedes Geräts, ausstehende Updates und erkannte Bedrohungen. Geräte ohne aktiven Schutz werden automatisch markiert.

Application Whitelisting auf kritischen Systemen. Auf Servern und besonders sensiblen Arbeitsplätzen darf nur genehmigte Software ausgeführt werden. Das reduziert die Angriffsfläche drastisch — Malware, die nicht auf der Whitelist steht, wird gar nicht erst gestartet.

E-Mail- und Web-Gateway absichern. Die meisten Malware-Infektionen beginnen mit einer E-Mail oder einem Webseiten-Besuch. Sandbox-Analyse eingehender Anhänge, URL-Rewriting und Web-Filterung bilden die erste Verteidigungslinie.

Incident-Response-Plan für Malware-Befall. Der Plan definiert: Wer wird informiert? Wie wird das betroffene Gerät isoliert? Wie wird der Umfang des Befalls festgestellt? Wie wird wiederhergestellt? Dieser Plan muss mindestens einmal jährlich getestet werden.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.7 typischerweise diese Nachweise:

  • Antimalware-Richtlinie — dokumentierte Anforderungen an Malware-Schutz (→ Endpunktsicherheitsrichtlinie im Starter Kit)
  • Zentrale Konsole / Dashboard — Nachweis des Schutzstatus aller Geräte
  • Update-Protokoll — Nachweis, dass Signaturen regelmäßig aktualisiert werden
  • Malware-Vorfallberichte — dokumentierte Vorfälle mit Reaktion und Lessons Learned
  • Wiederherstellungsplan — dokumentierter Plan für den Malware-Befall mit Testprotokoll

KPI

Anteil der Endgeräte mit aktuellem und aktivem Malware-Schutz

Gemessen als Prozentsatz: Wie viele deiner Endgeräte haben aktiven Malware-Schutz mit aktuellen Signaturen? Ziel: 100%. Geräte mit veraltetem oder deaktiviertem Schutz sind ein unmittelbares Risiko.

Ergänzende KPIs:

  • Mittlere Erkennungszeit (MTTD) für Malware-Vorfälle
  • Anzahl der erkannten und blockierten Malware-Ereignisse pro Monat
  • Anteil der Geräte mit Application Whitelisting (für kritische Systeme)

BSI IT-Grundschutz

A.8.7 mappt primär auf den BSI-Baustein für Schutzprogramme:

  • OPS.1.1.4 (Schutz vor Schadprogrammen) — der Kernbaustein. Verlangt den Einsatz von Schutzprogrammen auf allen relevanten IT-Systemen, zentrale Verwaltung, automatische Updates und regelmäßige Vollscans.
  • DER.2.1 (Behandlung von Sicherheitsvorfällen) — Malware-Befall als Sicherheitsvorfall: Meldewege, Sofortmaßnahmen, forensische Sicherung.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Reicht ein Antiviren-Programm auf allen Endgeräten für A.8.7?

Antivirensoftware allein reicht nach ISO 27002 ausdrücklich nicht aus. Die Kontrolle verlangt einen mehrschichtigen Ansatz: Antimalware-Software, Application Whitelisting, Webfilter, Patch-Management, Benutzer-Awareness und Wiederherstellungspläne.

Müssen auch Linux-Server Malware-Schutz haben?

Ja. Die Norm unterscheidet nicht nach Betriebssystem. Auch wenn das Malware-Risiko bei Linux-Servern anders gelagert ist als bei Windows-Clients, brauchen sie Schutzmaßnahmen — etwa rootkit-Detection, Integritätsprüfung und Application Whitelisting.

Wie oft müssen Malware-Signaturen aktualisiert werden?

So häufig wie möglich — idealerweise automatisch und mehrmals täglich. Moderne EDR-Lösungen arbeiten zusätzlich verhaltensbasiert und sind weniger abhängig von Signatur-Updates. Eine tägliche Update-Frequenz ist das Minimum.