Prilog Handbuch

Appearance

Virenschutz im Schul-Alltag

Prilog scannt jede hochgeladene Datei automatisch auf Viren — bevor sie in der Schulverwaltung landet. Dieses Kapitel erklärt, was im Hintergrund passiert, was du im Alltag siehst, und was du tun kannst, wenn mal eine Datei fälschlich abgelehnt wird.

Was du wissen musst — auf einen Blick

  • Jede hochgeladene Datei wird automatisch geprüft.
  • Wenn ein Virus erkannt wird, sieht der Hochlader sofort: "🛡️ Malware erkannt — Datei abgelehnt".
  • Du als Verwaltungsmitarbeiter:in mit Admin-Rechten siehst alle Vorfälle in Einstellungen → Sicherheit.
  • Du entscheidest dort, was mit jeder Datei passiert: vergessen, anschauen, freigeben oder löschen.

Warum Virenschutz?

Eltern, Schüler:innen und Lehrkräfte laden täglich Dateien hoch — Word-Dokumente, PDFs, Bilder, Tabellen. Manchmal landet dabei (gewollt oder unwissentlich) eine schädliche Datei im System: ein Word mit Macro-Virus, eine umbenannte EXE, eine kompromittierte PDF.

Ohne Schutz würde so eine Datei im Dokumenten-Management oder in einem Klassen-Chat landen — und beim nächsten Download von der Klassenleitung geöffnet werden. Genau das verhindert der Virenschutz.

Das System nutzt ClamAV, einen weltweit anerkannten Open-Source-Virenscanner, der millionenfach zum Schutz von E-Mail-Servern eingesetzt wird. Die Virensignaturen werden mehrmals täglich aktualisiert.

Was passiert beim Hochladen?

Stell dir vor, eine Mutter lädt im Mein-Fach ein Foto hoch:

  1. Die Datei wird verschlüsselt zum Prilog-Server übertragen.
  2. Bevor sie als Dokument registriert wird, läuft sie durch den Virenscanner.
  3. Bei einer harmlosen Datei (≥99% der Fälle): Upload geht durch, Datei erscheint in der Liste.
  4. Bei einer infizierten Datei:
    • Toast-Meldung beim Hochlader: "🛡️ Malware erkannt — Datei abgelehnt (Eicar-Test-Signature)"
    • Datei wird nicht in der Liste angezeigt.
    • Datei wandert in den Quarantäne-Bereich (nicht gelöscht — du kannst sie noch ansehen).
    • Ein Eintrag landet in deiner Vorfall-Liste in den Einstellungen.

Der ganze Vorgang dauert für den Hochlader normalerweise unter einer Sekunde extra. Bei sehr großen Dateien (über 50 MB) kann es 2-3 Sekunden mehr sein — kaum spürbar.

Wo sehe ich die Vorfälle?

Nur für Administratoren

Die Vorfall-Liste sehen nur Personen mit der Berechtigung Workspace verwalten. Für normale Lehrkräfte oder Eltern ist sie unsichtbar — sie sehen nur ihren eigenen Toast, wenn sie selbst eine infizierte Datei hochladen wollen.

So findest du sie:

  1. Klick oben rechts auf dein Profil-AvatarEinstellungen
  2. Linke Seitenleiste → Sicherheit
  3. Du siehst zwei Bereiche: Antivirus-Vorfälle und Antivirus-Whitelist

Antivirus-Vorfälle

Eine Liste der letzten 50 geblockten oder bemerkten Vorgänge. Jeder Eintrag zeigt:

  • 🔴 / 🟡 Status-Symbol — rot: Datei wurde abgewiesen. Gelb: nur Warnung (z.B. Whitelist-Treffer im Audit).
  • Dateiname — wie die Datei hieß
  • Kontext — wo der Upload-Versuch stattfand: DMS, Mein Fach, Space-Datei, Chat
  • Virus-Signatur — z.B. Eicar-Test-Signature oder Win.Trojan.Generic
  • Zeitstempel — wann es passiert ist

Bei jedem geblockten Eintrag gibt es bis zu drei Aktions-Buttons rechts:

  • Whitelisten — die Datei war eigentlich harmlos und wurde fälschlich erkannt
  • 📥 Download — Datei zur Forensik (genauer Untersuchung) herunterladen
  • 🗑 Endgültig löschen — Datei aus dem Quarantäne-Speicher entfernen

Was du wann tust, erklärt der nächste Abschnitt.

Was tun wenn... — die häufigsten Szenarien

Szenario 1: "Eine harmlose Eltern-Word-Datei wurde geblockt"

Manchmal markiert der Scanner eine Datei fälschlich als gefährlich. Das passiert vor allem bei Word-Dokumenten mit Macros (Bewerbungs-Vorlagen, Anmelde-Formulare, etc.) — der Scanner sieht "Macro" und ist erstmal vorsichtig.

Was tun:

  1. Sprich kurz mit dem Hochlader: "Was war das für eine Datei? Hast du sie selbst erstellt oder von einer vertrauenswürdigen Quelle bekommen?"
  2. Wenn klar ist, dass die Datei harmlos ist:
  3. In Einstellungen → Sicherheit → Antivirus-Vorfälle den Eintrag finden
  4. Klick "Whitelisten"
  5. Begründung eintragen, z.B. "Bewerbungs-Vorlage von Frau Müller, Macro ist nur für Auto-Datum"
  6. Bestätigen
  7. Den Hochlader bitten, die Datei erneut hochzuladen — diesmal kommt sie durch.

Whitelisten ist tenant-spezifisch

Wenn du als Schule A einen Hash whitelistest, gilt das nur für deine Schule. Andere Schulen müssen den gleichen Hash separat freigeben.

Hash-basiert

Whitelist arbeitet mit dem digitalen Fingerabdruck der Datei (SHA-256). Wenn jemand die Datei minimal verändert (auch nur ein einziges Zeichen), ändert sich der Fingerabdruck — die neue Variante muss erneut geprüft werden. Das schützt davor, dass jemand eine echte Schad-Datei mit dem gleichen Namen einschleust.

Szenario 2: "Ich will wissen was in der geblockten Datei drin war"

Manchmal will man verstehen: War das wirklich ein Virus, oder ein False-Positive? Oder: hat da jemand bewusst was Schädliches hochgeladen?

Was tun:

  1. Eintrag in der Vorfall-Liste finden
  2. Klick auf das 📥 Download-Symbol
  3. Begründung eintragen, mindestens 5 Zeichen, z.B. "Forensik-Analyse für IT-Sicherheits-Bericht"
  4. Browser lädt die Datei herunter — der Dateiname beginnt mit QUARANTINED_ damit klar ist, dass sie aus der Quarantäne kommt.
  5. Datei in einer isolierten Umgebung öffnen (nicht auf dem normalen Schul-PC). Im Zweifel: gar nicht öffnen, sondern an einen IT-Dienstleister weitergeben.

Vorsicht beim Download

Eine geblockte Datei wurde aus einem Grund geblockt. Wenn du sie herunterlädst, ist sie auf deinem Computer — und dein Computer ist nicht durch Prilogs Scanner geschützt. Öffne sie nur, wenn du wirklich weißt, was du tust, oder gib sie an einen Profi weiter.

Jeder Forensik-Download wird im Audit-Log mit deiner Begründung protokolliert. Das ist DSGVO-Pflicht und schützt auch dich, falls jemand später fragt, warum eine geblockte Datei mal heruntergeladen wurde.

Szenario 3: "Ich will den Quarantäne-Eintrag jetzt endgültig loswerden"

Wenn du ganz sicher bist, dass die Datei nicht mehr gebraucht wird (auch nicht für Forensik):

  1. Eintrag finden
  2. Klick auf 🗑 Endgültig löschen
  3. Bestätigen

Die Datei wird aus dem Speicher entfernt. Der Eintrag in der Vorfall-Liste bleibt bestehen — du siehst weiter, dass es einen Versuch gab, aber die Datei selbst ist weg.

Du musst nichts tun

Quarantäne-Dateien werden nach 90 Tagen automatisch gelöscht. Wenn dich ein Vorfall nicht stört, kannst du ihn einfach ignorieren — Prilog räumt selbst auf.

Szenario 4: "Eine Datei kam durch, die hätte geblockt werden sollen"

Selten, aber theoretisch möglich: Eine sehr neue Schad-Datei wird vom Scanner noch nicht erkannt, weil die Signatur-Datenbank den Virus noch nicht kennt.

Was tun:

  1. Datei nicht weiter verteilen, niemand sollte sie öffnen.
  2. Im DMS oder Mein Fach die Datei löschen.
  3. Wenn möglich: an einen IT-Dienstleister geben mit der Frage "Was ist das?"
  4. Wenn es ein echter Virus ist: ClamAV-Datenbank wird täglich aktualisiert, in 1-2 Tagen wird er erkannt — Folge-Versuche kommen dann nicht mehr durch.

Antivirus-Whitelist verwalten

Unter den Vorfällen siehst du den Bereich Antivirus-Whitelist. Das sind alle Datei-Hashes, die du als False-Positives freigegeben hast.

Pro Eintrag:

  • Dateiname (wie er beim Whitelisten hieß)
  • SHA-256-Hash (in Mono-Schrift)
  • Begründung — was du beim Whitelisten geschrieben hast
  • Wer hat es freigegeben + wann
  • Wie oft wurde es seit der Freigabe genutzt und zuletzt am

Wenn ein Whitelist-Eintrag nicht mehr gebraucht wird — z.B. weil sich die Vorlage geändert hat — kannst du ihn mit dem Mülleimer-Icon entfernen. Folge-Uploads dieser Datei werden dann wieder geprüft (und ggf. wieder geblockt).

Was passiert bei einem Wartungs-Ausfall?

Falls der Virenscanner mal kurz nicht erreichbar ist (Wartung, kurzer Server-Restart), laufen Uploads trotzdem durch — Prilog blockiert in diesem Fall keine Uploads, sondern markiert in den Logs, dass der Scan übersprungen wurde.

Die Begründung: lieber funktionierende Schule mit kurzer Lücke als kompletter Upload- Stopp wenn der Scanner mal hustet. In der Praxis sind solche Lücken Sekunden, höchstens Minuten lang — und wenn ein Schadprogramm in genau diesen Minuten reinkommt, wird es bei der nächsten Datei-Aktion erneut geprüft.

Wenn du strikteres Verhalten wünschst (jeder Upload nur mit aktivem Scanner), wende dich an den Prilog-Support — das ist eine Konfigurations-Änderung am Server.

Was passiert nicht?

  • Keine Datei wird unbemerkt weitergegeben — der Scan ist Pflicht-Schritt vor jeder Registrierung.
  • Keine Datei verschwindet ungesehen — selbst gelöschte Quarantäne-Dateien hinterlassen einen Audit-Eintrag.
  • Keine Datei wird ohne deine Zustimmung wiederhergestellt — Whitelist gilt nur für Folge-Uploads derselben Datei, nicht rückwirkend.
  • Niemand außerhalb deiner Schule sieht deine Vorfälle — Vorfälle sind tenant-spezifisch und nur für deine Workspace-Admins sichtbar.

DSGVO-Aspekte

  • Audit-Log: Jeder Vorfall, jede Whitelist-Aktion und jeder Forensik-Download wird protokolliert. Das ist DSGVO-Pflicht (Art. 32 — angemessene technische Maßnahmen).
  • Speicherdauer: Quarantäne-Dateien werden maximal 90 Tage aufbewahrt, dann automatisch gelöscht.
  • Zugriff: Nur Workspace-Admins der jeweiligen Schule sehen Vorfälle. Prilog-Mitarbeiter haben keinen Zugriff auf den Datei-Inhalt — nur auf Metadaten (Dateiname, Hash, Signatur) für Support-Zwecke.
  • Auftragsverarbeitung: Der Virenschutz ist Teil der vertraglichen Leistung von Prilog und im AVV (Auftragsverarbeitungsvertrag) als technische Maßnahme aufgeführt.

Wann hilft der Prilog-Support?

Wende dich an den Support wenn:

  • Du nicht sicher bist, ob ein Eintrag ein False-Positive ist
  • Eine Datei trotz Whitelist immer noch geblockt wird
  • Du den Status des Virenscanners (online/offline) wissen willst
  • Du strikteres Verhalten konfigurieren willst (Upload-Stopp wenn Scanner offline)

Im Admin-Panel (Prilog-Support-Mitarbeiter) gibt es eine Übersicht über alle Tenants, mit Health-Anzeige des zentralen Virenscanner-Servers. Wenn der mal nicht antwortet, werden alle Schulen gleichzeitig informiert.

Technische Hintergründe

Wenn dich interessiert, wie das ganze unter der Haube funktioniert — die technische Implementations-Doku liegt unter ClamAV-Antivirus-Gateway. Dort findest du Architektur-Diagramme, Datenmodell und das genaue Verhalten bei Edge-Cases.