Intrusion Detection hilft mit
Da einzelne Malicious Codes immer wieder die Schranken von Virenscannern passieren, bietet es sich an, auch Intrusion-Detection-Systeme in die Virenabwehrstrategie eines Unternehmens zu integrieren. Sie dienen dann der Verhaltenserkennung von Schädlingen auf der Netzwerkebene. Lassen sich mehrere Sensoren und eventuell auch die Warnungen von Personal Firewalls auf einzelnen PCs in die Struktur einbinden, kann ein Intrusion-Detection-System Malware eventuell rechtzeitig in einzelnen Netzsegmenten erkennen und die Schädlinge dort isolieren, bevor sie weitere Bereiche der Unternehmensinfrastruktur befallen.

Workarounds für die Ausbruchszeit
Direkt nach dem Ausbruch eines neuen Virus, wenn die Anbieter von Schutzlösungen den neuen Malicious Code noch analysieren, verfügen signaturgestützte Scanner über keinerlei Erkennungsmechanismen, mit denen sie den Schädling identifizieren und blockieren oder löschen könnten. Mit etwas Glück zeigen dann Heuristiken oder die Verhaltensanalyse Wirkung. Es gibt allerdings einen weiteren Weg, der vor allem bei extrem schädlichen Malicious Codes Erfolg verspricht. Manche Lösungen stellen bei Bedarf beispielsweise alle E-Mails in temporäre Quarantäne, deren Anhänge bereits bekannte Eigenschaften des schädlichen Codes aufweisen. Im Extremfall könnten dies beispielsweise sämtliche Nachrichten mit Attachments sein, die eine bestimmte Dateiendung aufweisen. Sobald der Scanner dann ein Signatur-Update erhält, mit dem der Virus sicher aufgespürt werden kann, arbeitet er die Warteschlange der verdächtigen Mails ab. Für den Administrator oder auch Endanwender wichtig ist, inwieweit dieser Vorgang manuell oder automatisch abläuft oder im zweiten Fall auch gegen die Automatik beeinflusst werden kann. Dies ist vor allem dann von Bedeutung, wenn eine Verzögerung beim Zustellen bestimmter Mails im Einzelfall mehr Schaden zu verursachen droht als ein möglicher Virusausbruch im eigenen Netz.