Skip to content

[Epic] Anbindung eines Viren-Scanners

Warum

Speziell Online-Dienste und nachgelagert auch die Fachverfahren sind besonders exponiert, da sie Dateien aus externen Quellen (oft ungeprüft) übernehmen. Ohne einen Virenscan riskieren sie, dass Schadcode in behördliche Netze oder produktive Fachanwendungen eindringt und dort Daten verschlüsselt, manipuliert oder exfiltriert.

Ein vorgeschalteter Virenscanner fungiert hier als digitale Hygieneschleuse: Er filtert bekannte Schadsoftware heraus, bevor sie Netze, Daten und Betriebsabläufe gefährden kann. So werden kostenintensive Vorfälle verhindert und zugleich zentrale Anforderungen aus BSI-Grundschutz, ISO 27001 erfüllt.

Ziel

Als Entwickler eines Fachverfahrens/Online-Dienstes, das FIT-Connect SDK nutzt möchte ich möglichst einfach alle Anlagen nach dem Erhalt und nach der Entschlüsselung auf Viren scannen um Sicherheitsrisiken für mein oder ein nachgelagertes System zu minimieren.

Links, Hinweise, Bemerkungen

  • Eine verschlüsselte Variante (ICAPS, Port 11344) schützt die Strecke zwischen Proxy und Scanner
  • Rot / Grün wird halbwegs zuverlässig standardisiert über response codes zurückgegeben
  • Symantec braucht sehr spezifische Paramter / schwer testbar (Lizenzinfos)
  • Open Source Lösungen wohl abdeckbar mit Config (@yves_adler)
  • Überschreibung mit einer eigenen Implementierung zulassen

Stories

  1. Aufruf eines lokalen Virenscanners aus den SDKs (Vorschlag https://www.clamav.net/) #3195
  2. Entwicklung eines Interfaces für eine Thread-Detection-Engine und Berücksichtigung bei der Validierung
  3. Implementierung des Interfaces für den ICAPs Aufruf gängiger Open Source ICAP Server
  4. Ausweitung der Implementierung auf gängige Kommerzielle ICAP Server

Akzeptanzkriterien

  1. SDK Nutzer können einfach den lokalen Virenscanner für Anhänge, Meta- und Fachdaten aufrufen
  2. SDK Nutzer können gängige Open Source ICAP Server über ICAPs (konfigurierbar ICAP) aufrufen
  3. Anti-Viren Scans sind in der Validierungslogik der SDKs verankert
  4. SDK Nutzer können ausgewählte kommerzielle ICAP Server über ICAPs (konfigurierbar ICAP) aufrufen
  5. SKD Nutzer können eine eigene Implementierung der Anti-Viren Scans einfach einbinden
  6. Alle Lösungen sind Integrationsgetestet
  7. Alle Lösungen sind dokumentiert
  8. Definition of Done wurde überprüft.

Mögliche Folgeaktivitäten

Offene Fragen

  • wie gehen wir mit Chunking um, ohne es auf die Platte zu legen
Edited by Wojciech Gdaniec