Hinweise zur Nutzung von Virustotal

Virustotal ist ein Dienst von Google. Dort können beliebige Dateien hochgeladen werden, die dann von über 70 Virenscannern überprüft und mit diversen IT-Sicherheitsdiensten und Antiviren-Software-Herstellenden geteilt werden.

Das bedeutet konkret, dass zu Virustotal hochgeladene Dokumente in den genannten Kreisen veröffentlicht werden und somit die  Vertraulichkeit  der Daten nicht mehr gegeben ist.

Aus diesem Grund sollten mit Hilfe des Virustotal-Angebotes keine vertraulichen Daten überprüft werden. Ausschließlich Daten und Dateien, die sowieso öffentlich zugänglich sind und z.B. von nicht zugriffsgeschützten  Webauftritten und Downloadseiten oder von Social-Media-Auftritten stammen, stellen kein Problem dar.

Es ist nicht erlaubt,  Dateien mit persönlichen Daten, Dienstgeheimnissen oder anderen schützenswerten Informationen zu Virustotal hochzuladen. Dazu zählen unter anderem, aber nicht ausschließlich folgende Dokumente:

  • Bewerbungsunterlagen
  • E-Mails
  • Ausarbeitungen von Studierenden
  • nicht-öffentliche Bilder oder Videos,  die neben dem Abgebildeten oft zusätzlich auch Standortinformationen, Smartphone- oder Kameramodell und weitere unter Umständliche sensible Informationen  enthalten.

Der Vorteil von Virustotal ist, dass dort schon öffentlich gemachte Daten überprüft werden können. Hat man z. B. eine Software oder ein Dokument aus dem öffentlichen zugänglichen Internet geladen, können diese Dateien  bei Virustotal überprüft werden und es kann sichergestellt werden, dass die Dateien frei von bekannten Viren oder anderer bereits bekannter Schadsoftware  sind.

Man sollte sich jedoch bewusst machen, dass Google durch Ihren Upload oder auch der Suche nach schon gescannten Dateien unter anderem erfährt, dass Sie diese Datei nutzen und besitzen. Sie sollten Virustotal nicht verwenden, wenn Sie diese Information nicht weitergeben wollen.

Informationen für Admins

Es ist nicht erlaubt, Daten automatisiert bei Virustotal hochzuladen, eine Prüfung auf Vertraulichkeit ist in diesem Fall nicht möglich.  Es kann also nicht sichergestellt werden, dass keine personenbezogenen, vertraulichen oder sogar unter dem Dienstgeheimnis stehenden Daten im automatisierten Upload enthalten sind

Dies trifft zum Beispiel zu auf die automatisierte Überprüfung von Quarantäne-Verzeichnissen, Spam-Ordnern, Inhalte von Speichern und weiteren derartigen Datenablagen.

Nach dem versehentlichen Hochladen vertraulicher Daten

Wenn Sie vertrauliche Daten auf Virustotal hochgeladen haben, sollten Sie als Schadensbegrenzung die Löschung der Daten beantragen sowie Kontakt zum Datenschutzbüro aufnehmen.

Da die Daten vorher bereits an sehr viele Personen weitergegeben worden sind, ist davon auszugehen, dass auch nach einer erfolgreich beantragten Löschung nicht alle Kopien gelöscht werden.

  • Beantragung der Löschung von vertraulichen Daten bei Virustotal

    Hashwert der Datei ermitteln

    Beim Upload von zu untersuchenden Dateien wird von Virustotal automatisch ein Hashwert  der hochgeladenen Datei erzeugt (SHA256).
    Der Link zu den dann dauerhaft abrufbaren Scan-Ergebnissen für diese Datei wird anhand dieses Hash-Wertes konstruiert.

    Beispiel der Hashwertermittlung (Linux):

    Sha256sum auf testdatei.pdf angewendet:

    $ sha256sum testdateiLUIS.pdf

    ergibt folgende Ausgabe:

    af302773c3068b5c286410e2ff7235578402f48839d77a9fd232ca2035fe6df6 testdateiLUIS.pdf

    Enthält der Dateiname Leer-oder Sonderzeichen, umschliessen Sie den Dateinamen mit Hochkomma-Zeichen:
    'Datei-N@me mit Sonderzeichen.pdf'

    $ sha256sum 'Datei-N@me mit Sonderzeichen.pdf'

    Beispiel der Hashwertermittlung (Windows):

    Öffnen Sie im Dateimanager den Ordner der Datei.

    Halten Sie die Umschalttaste gedrückt und machen einen Rechtsklick auf einen freien Bereich in der Dateiansicht.

    Es öffnet sich ein Kontextmenü. Wählen Sie den Punkt "PowerShell-Fenster hier öffnen" aus.

    Screenshot des Kontextmenüs Screenshot des Kontextmenüs Screenshot des Kontextmenüs

    Vergrößern Sie das sich öffnende Fenster und geben Sie folgenden Code ein:

    Get-FileHash .\Test-Dokument.odt

    .\Test-Dokument.odt ersetzen Sie dabei durch den Dateinamen der gewünschte Datei. Evtl. können Sie auch den Anfang des Dateinamens eingeben und mit der Tab-Taste den Rest ergänzen lassen.

    Nach Bestätigen mit der Enter-Taste können Sie den daraufhin angezeigten Hashwert markieren und mit der Tastenkombination Strg+C kopieren.

    Link erstellen

    Links zu den Suchergebnissen schon hochgeladener Dateien finden Sie dann unter:
    https://www.virustotal.com/gui/file/<sha256_Wert_Dateiname>

    Ersetzten Sie <sha256_Wert_Dateiname> durch den vorher generierten Hashwert.

    Also in unserem Beispiel für testdateiLUIS.pdf:
    https://www.virustotal.com/gui/file/af302773c3068b5c286410e2ff7235578402f48839d77a9fd232ca2035fe6df6

    Virustotal kontaktieren

    Der Link zu der Datei muss beim Lösch-Antrag bei Virustotal im Kontaktformular angegeben werden, inklusive einer kurzen Beschreibung aus welchen Gründen Sie eine Löschung wünschen.
    Virustotal überprüft Ihr Anliegen und ob die Löschung der Datei und des zugehörigen  Scanergebnisses gerechtfertigt ist. Die Angabe, dass private Daten Dritter betroffen sind und dass der Upload versehentlich und ohne Wissen und Einwilligung dieser Personen erfolgte, ist in der Regel ein Grund, der anerkannt wird.

    Wenn Sie den Link zu der Ergebnisseite Ihrer versehentlich hochgeladenen Datei nicht mehr haben, können Sie die Seite anhand des Hash-Wertes der Datei über die Suche bei Virusstotal wiederfinden.

    Link zur Seite von Virustotal mit den Privacy-Policies, auf der das Kontakt-Formular verlinkt ist.

    Link zum Kontaktformular direkt, folgender Betreff ist zu wählen: "I have accidentally uploaded something private".

    Sie erhalten nach Absenden des Kontakt-Formulares zunächst eine Eingangsbestätigung für Ihr Anliegen:

    Sobald Ihrem Antrag auf Löschung zugestimmt wurde, werden Sie auch darüber wieder per Mail informiert:

    Anschließend können Sie anhand der Ergebnis-URL oder über die Such-Funktion auf der Virustotal-Webseite überprüfen, ob die Scanergebnisse noch abrufbar sind:

Kontakt

IT-Sicherheit
Sicherheitsteam
IT-Sicherheit
Sicherheitsteam