Malware-Scanning ist eine in Enterprise Content Management Systemen oft nachgefragte Funktion, besonders bei ECM Systemen, die Zugriffe und automatisierte Dokumentenspeicherung aus vielfältigen Quellen erlauben und bei denen ein daher ein IT zentralisierter Virenschutz meist nicht möglich ist. In diesen Fällen kann die Sicherheit durch Maßnahmen fremder Institutionen (z.B. Lieferanten, Kunden, Partnern, usw.) nicht gewährleistet werden. Daher ist das Malware-Scanning von Dokumenten-Uploads ins ECM-System eine sicherheitstechnische Notwendigkeit.

Während sich Malware im ECM-System selbst meist nicht ausbreiten kann, kann Malware bei der weiteren Verarbeitung der Dokumente auf den Klienten-Systemen das Klienten-System infizieren und von dort aus ggf. weitere IT-Systeme befallen.

Eine Malware-Scanning-Integration in ein ECM-System ist vergleichbar mit einer zentralisierten Anti-Malware Lösung:

  1. Verlässliches Scannen von Dokumenten beim Zugriff (Uploads und Downloads),
  2. Zugriffs-Blockierung und Alarmierung falls Malware gefunden wurde,
  3. Scannen von Verzeichnis-Hierarchien und Dokumenten zur Suche von infizierten Dokumenten, z.B. zur Eingrenzung des Schadens bei Malware-Funden
  4. Kontrollierter (administrativer) Zugriff auf infizierte Dokumente, z.B. zur Datenrettung oder zur weiteren Analyse

Die Integgration eines Malware-Scandienstes in ein ECM-System sollte sowohl konfigurierbar wie auch funktionssicher sein. Konfigurierbar bedeutet z.B. die detaillierte Einstellmöglichkeit der Scan-Verfahren und Alarmierungs-Funktionen auf bestimmte Bereiche des ECM-Systems, funktionssicher bedeutet, dass der Malware-Scanner nicht umgangen werden kann und mit sämtlichen Schnittstellen und Funktionen des ECM-Systems zur Datenein- und ausgabe zusammenarbeiten sollte.

Scanning beim Hoch- und Herunterladen von Dokumenten ist notwendig, um

  • malware-behaftete Dokumente bereits vor der Speicherung im ECM-System zu blockieren und dem Benutzer direktes Feedback zu geben,
  • den Zugriff auf malware-behaftete Dokumente zu blockieren, wenn diese bereits im ECM-System gespeichert sind. Dies ist möglich, wenn neue (Zero-Day) Malware beim Upload dem Anti-Virus-System noch nicht bekannt war, die Malware-Signaturen des Anti-Virus-System zur Download-Zeit aber aktualisiert wurden.

Im Falle eines Malware-Fundes sollten sowohl der betroffene Anwender wie auch die Sicherheits-Administratoren benachrichtigt werden. Hier sollte die Alarmierung per User-Interface oder via E-Mail möglich und konfigurierbar sein.

Manuelles Scannen ist notwendig, um weitere infizierte Dokumente nach einem Malware-Fund zu identifizieren. Dies ist üblicherweise eine Funktion der IT-Sicherheits-Prozeduren, die entsprechenden Funktionen sollten daher auf die entsprechende Nutzergruppe beschränkbar sein.

netea Anti-Virus Scanning für Open Text Content Server / Extended ECM

netea Anti-Virus Scanning ist ein Erweiterungs-Modul für Open Text Content Server, welches die oben genannten Funktionen implementiert und das ECM-System vor Malware schützen kann. Durch zugriffsbasiertes Scannen werden Malware-infizierte Dokumente beim Upload, beim Download, oder der Bearbeitung identifiziert. Da die Scan-Funktion tief in den Content-Server integriert wurde, werden Scans sicher auch bei der Nutzung der vielfältigen Schnittstellen des Content Servers durchgeführt.

Daneben kann der Administrator festlegen, ob bestimmte Dokumententypen (Erweiterung oder MIME-Type) gesperrt werden sollen. Dies ermöglicht das Blockieren des Speicherns unerwünschter Dokumententypen im ECM-System, z.B. ZIP-Archive, gewisse Medientypen oder Programme.

Jedes Scan-Ereignis (Malware-Fund / Zugriffsblockierung) wird im ECM Audit-System geloggt, zudem kann eine E-Mail mit konfiguriertem Inhalt an dem Benutzer wie auch an zuständige Benutzergruppen (z.B. Sicherheits-Administratoren) versandt werden.

netea Anti-Virus Scanning verwendet zur Durchführung des eigentlichen Scans die Anti-Virus-Lösung des Kunden und integriert sich daher in das IT-Sicherheitskonzept und stellt keine Insellösung dar. Integrationen sind über Scripte oder ein spezielles Protokoll (ICAP) möglich.

netea Anti-Virus Technical Data

Unterstützte Content Server Versionen16.2 – aktuell 23.1
Betriebsartenscan on-access, scan on-demand, konfigurierbar
Anti-Virus Scanning SystemIntegration in das IT-AVS-System, z.B. Sophos, McAffee, Symantec, Microsoft Defender, ClamAV usw.
Server-BetriebssystemWindows Server, Linux (auf Anfrage)

netea Anti-Virus Scanning für Open Text Content Server ist über den Open Text Solution Store oder direkt von netea GmbH (contact) verfügbar.