fairlane.systems

CLAMAV · TECH

ClamAV: Open-Source-Antivirus für Mail-Server und Upload-Scanning

ClamAV ist der GPL-2-Antivirus-Klassiker für Mail-Server-Gateway und Datei-Upload-Scanning. Update-Hub mit ClamSubmit-Community.

Recherche & Faktencheck: · Stand: 2026-05

Was ist ClamAV?

ClamAV ist eine Open-Source-Antivirus-Engine unter GPL-2-Lizenz, die seit 2001 vom Cisco-Talos-Team entwickelt wird (ursprünglich von Tomasz Kojm gestartet, 2007 von SourceFire akquiriert, 2013 mit Cisco-Acquisition). Mai 2026 ist ClamAV in Version 1.4 stabil und gilt als Standard-Antivirus-Engine für Mail-Server und Datei-Upload-Scanning auf Linux-Systemen.

Die Software ist klar fokussiert: ClamAV ist Mai 2026 nicht der richtige Antivirus für Mitarbeiter-Workstations -- dort kommen Windows Defender oder professionelle XDR-Lösungen wie CrowdStrike, SentinelOne, Sophos Intercept-X zum Einsatz. ClamAV gehört auf den Mail-Gateway-Server, in den Datei-Upload-Endpunkt von Web-Anwendungen, in das File-Storage-System (Nextcloud, Samba), und in Container-Image-Scanning-Pipelines.

Die Architektur besteht aus drei Komponenten. (1) clamd -- der Antivirus-Daemon, der die Virus-Datenbank im Speicher hält (etwa 1 GB RAM Mai 2026) und Scan-Anfragen via Socket beantwortet. (2) clamscan -- der CLI-Scanner für einmalige Scans (langsam, weil Datenbank bei jedem Aufruf geladen wird). (3) freshclam -- der Auto-Updater, der die Virus-Signatur-Datenbank von db.local.clamav.net täglich aktualisiert.

Die Virus-Signatur-Datenbank wird Mai 2026 von vier Quellen gespeist: (a) Cisco Talos -- das kommerzielle Threat-Intelligence-Team von Cisco; (b) ClamSubmit -- Community-Submissions von Malware-Samples; (c) externe Feeds wie SaneSecurity (kostenlos plus Bezahl-Tier mit Foxhole-Feed); (d) eigene Custom-Signaturen via clamav-unofficial-sigs. Die Datenbank umfasst Mai 2026 etwa 8 Millionen aktive Signaturen.

Detection-Methoden: ClamAV kombiniert klassische Signatur-Erkennung (MD5/SHA1-Hashes), Pattern-Matching mit regulären Ausdrücken (ndb-Signaturen), Heuristik-basierte Erkennung (Bytecode-Engine mit eigener Sprache), und seit 2024 ein leichtes ML-Modell für unbekannte Malware-Familien (clamav-ml). Letzteres ist Mai 2026 noch experimentell, aber bei polymorpher Malware ein deutlicher Mehrwert.

Integrationen: Postfix via clamsmtpd oder amavisd-new, Nextcloud via files_antivirus-App, Samba via vfs_virusfilter, Web-Apps via clamd-Socket-Calls, Docker-Image-Scanning via Trivy-Plugin. Performance: clamd kann 100-500 Mails pro Minute auf einem typischen 4-vCPU-Hetzner-Server scannen.

Warum es für CH-KMU-Mail-Server zählt

ClamAV löst für CH-KMU drei konkrete Probleme rund um Mail-Server und Datei-Upload.

Mail-Gateway-Schutz: Eine Treuhand mit Postfix-Mail-Server (oder via Brevo/Postmark für ausgehend, aber eigener Inbound-Server) bekommt täglich 100-500 Phishing- und Malware-Mails. Cloudflare-Filter und SpamAssassin filtern den grössten Teil, aber ClamAV ist die Schicht, die binäre Malware in Anhängen erkennt: EXE, DLL, JS-Loader, Office-Dokumente mit VBA-Macros, PDF mit Exploit-Payloads. Ohne ClamAV erreichen diese Mails den Mitarbeiter-Posteingang -- und ein einziger Klick auf das falsche Anhang-Symbol kann zur Ransomware-Infektion führen.

Datei-Upload-Scanning in Mandanten-Portalen: Anwaltskanzlei mit Mandanten-Portal (Nextcloud, Outline, eigene Web-App), in das Mandanten Dokumente hochladen. Jeder Upload muss gescannt werden -- ein infiziertes Word-Dokument vom Mandanten würde sonst zur Verteilung im Mitarbeiter-Team führen. ClamAV-Integration in den Upload-Workflow (vor Speicherung Scan via clamd-Socket) verhindert das.

Berufsgeheimnis und Sorgfaltspflicht: StGB Art. 321 verlangt, dass Mandantendaten geschützt sind. Eine Ransomware-Infektion, die Mandantenakten verschlüsselt, ist ein Berufsgeheimnis-Verstoss plus Datenpannen-Fall mit Meldepflicht nach revFADP Art. 24 (72 Stunden). Cyber-Versicherungen (Helvetia, Mobiliar, AXA, Zurich) verlangen seit 2025 Antivirus auf allen Mail-Gateways und Datei-Upload-Endpunkten als Bedingung für Police und Schadensregulierung.

Regulatorischer Bezug: ISO 27001 Annex A.12.2 (Protection from Malware) wird mit ClamAV auf Mail-Gateway plus Workstation-Defender abgedeckt. Auch ohne ISO-Pflicht ist ClamAV im EDÖB-Leitfaden als technische Mindestmassnahme für Mail-Server geführt.

Container-Image-Scanning: Mai 2026 mit der weiten Verbreitung von Docker-Compose-Setups bei CH-KMU ist Container-Scanning ein wichtiger Use Case. Trivy plus ClamAV-Engine scannt Docker-Images vor Deployment auf bekannte Malware -- besonders wichtig für Drittanbieter-Images, die ohne Prüfung aus Docker Hub gepullt werden. Supply-Chain-Angriffe via kompromittierte Docker-Images sind 2026 ein wachsender Vektor.

Setup und Beispiele

Wir zeigen ein produktives ClamAV-Setup für einen CH-KMU-Mail-Server mit Postfix und einem Nextcloud-Mandanten-Portal.

Docker-Compose mit clamd: ```yaml version: "3.8" services: clamav: image: clamav/clamav:1.4 container_name: clamav restart: unless-stopped environment: - CLAMAV_NO_FRESHCLAMD=false - CLAMAV_NO_CLAMD=false - CLAMD_STARTUP_TIMEOUT=1800 ports: - "127.0.0.1:3310:3310" volumes: - ./clamav-data:/var/lib/clamav - ./clamav-logs:/var/log/clamav ```

Der erste Start dauert 10-20 Minuten, weil freshclam die komplette Virus-Datenbank herunterlädt (etwa 350 MB komprimiert). Danach reichen tägliche Inkremente.

Postfix-Integration via amavisd-new (apt install amavisd-new auf Debian/Ubuntu): ``` # /etc/amavis/conf.d/15-content_filter_mode @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); ```

In /etc/postfix/master.cf: ``` smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes ```

Nextcloud-Integration: Im Nextcloud-Adminbereich App "Antivirus for Files" installieren, dann Settings: Mode "Daemon", Host "clamav", Port "3310". Jeder Upload wird durch clamd-Socket gescannt; Erkennungs-Verhalten "Quarantine" oder "Reject" konfigurierbar.

Custom-Web-App-Integration (Node.js Beispiel): ```javascript const NodeClam = require('clamscan'); const clamscan = await new NodeClam().init({ clamdscan: { socket: false, host: 'clamav', port: 3310 } }); const { isInfected, viruses } = await clamscan.scanFile('/tmp/upload.docx'); if (isInfected) { console.log(`Malware detected: ${viruses.join(', ')}`); // Datei ablehnen, Audit-Log, Alert } ```

freshclam-Pflege: tägliche Updates üblicherweise gegen 3 Uhr morgens. /etc/clamav/freshclam.conf mit "Checks 24" pro Tag setzen. Mai 2026 sind etwa 30-50 MB Inkremente pro Tag normal. SaneSecurity-Feed für erweiterte Phishing-Erkennung via clamav-unofficial-sigs einbinden.

Trivy-Container-Image-Scanning (Mai 2026 Standard für CH-KMU): ```bash trivy image --scanners vuln,secret,misconfig nginx:1.27 trivy image --severity HIGH,CRITICAL --exit-code 1 myapp:latest ```

Integration in GitLab-CI oder GitHub-Actions als Build-Step. ClamAV als zusätzliche Layer-7-Scan-Engine via Trivy-Plugin (experimentell Mai 2026).

Wazuh-Integration: ClamAV-Logs in /var/log/clamav/clamav.log via Wazuh-Agent zu Wazuh-Manager spiegeln. Wazuh erstellt Alerts bei Virus-Funden, dokumentiert sie im Compliance-Dashboard.

ClamAV-Setup in 5 Schritten

  1. 01Installation: clamav/clamav:1.4 Docker-Container deployen oder apt install clamav clamav-daemon; freshclam einmalig laufen lassen für initialen DB-Download.
  2. 02clamd-Socket nur an localhost binden (127.0.0.1:3310); freshclam-Cron auf 24x pro Tag setzen; SaneSecurity-Feed via clamav-unofficial-sigs hinzufügen.
  3. 03Mail-Server-Integration: Postfix via amavisd-new oder clamsmtpd; Mail-Header X-Virus-Scanned setzen; Virus-Fund verschiebt Mail in Quarantäne.
  4. 04Datei-Upload-Integration: Nextcloud "Antivirus for Files"-App, eigene Web-App via clamd-Socket-Call; Quarantine-Verzeichnis mit beschränkten Rechten.
  5. 05Monitoring und Audit: ClamAV-Logs zu Loki/Wazuh; Telegram-Alert bei Virus-Fund; monatlicher Bericht über Detection-Rate und False-Positives; Trivy-Image-Scan in CI/CD-Pipeline.

Wann ClamAV einsetzen

ClamAV ist Mai 2026 in vier konkreten Szenarien Pflicht-Schicht für CH-KMU.

Eigener Inbound-Mail-Server (Postfix, Exim): jeder Mail-Server, der Mails aus dem Internet entgegennimmt, braucht ClamAV plus SpamAssassin plus DKIM-/SPF-/DMARC-Prüfung. Ohne ClamAV erreichen binäre Malware-Anhänge die Mitarbeiter -- ein einziger Klick reicht für Ransomware-Infektion. Setup-Aufwand 2-4 Stunden, Wartung 1-2 Stunden pro Monat.

Mandanten-Portal mit Datei-Upload: Anwaltskanzlei, Treuhand, Architektur-Büro mit Mandanten-Portal (Nextcloud, Outline, eigene Web-App). Jeder Upload muss gescannt werden, bevor er gespeichert wird. ClamAV-Integration via clamd-Socket in den Upload-Workflow. Bei Virus-Fund: ablehnen, Audit-Log, Alert an Admin.

File-Storage-Systeme (Samba, NFS): gemeinsame File-Shares mit Mandantendaten, auf denen mehrere Mitarbeiter schreiben. Periodischer ClamAV-Vollscan (woechentlich, über Cronjob) erkennt eingeschleuste Malware. Wichtig für Compliance-Audit: Scan-Reports in Loki/Wazuh dokumentieren.

Container-Image-Scanning in CI/CD: jedes Docker-Image, das in Produktion deployt wird, sollte vor Deployment auf Malware gescannt werden. Trivy ist Mai 2026 das Standard-Tool, mit ClamAV-Plugin als zusätzliche Layer-7-Engine. Besonders wichtig für Drittanbieter-Images aus Docker Hub.

Brevo-/Postmark-Outbound-Mail: hier ist ClamAV nicht nötig, weil Brevo/Postmark eigene Antivirus-Schicht haben. Für rein ausgehende Mail-Setups ist ClamAV überflüssig.

Für Workstations und Notebooks ist ClamAV Mai 2026 nicht ausreichend. Windows Defender (eingebaut, kostenlos) ist die richtige Schicht für Mitarbeiter-PCs. Bei Compliance-Pflicht (ISO 27001, Banken/Pharma-Mandanten) bezahlte XDR wie CrowdStrike, SentinelOne, Sophos Intercept-X einsetzen -- diese liefern auch EDR-Funktionalität, die ClamAV nicht bietet.

Wann ClamAV nicht reicht

Drei Fälle, in denen ClamAV Mai 2026 unzureichend ist.

Workstation-Schutz für Mitarbeiter-PCs: ClamAV hat keine Echtzeit-Datei-Wachung (kein Filesystem-Hook unter Windows), keine Web-Browser-Integration, keine EDR-Funktionalität. Auf Workstations 2026 ist Windows Defender (kostenlos, eingebaut) das absolute Minimum. Bei Compliance-Pflicht XDR-Lösung mit Echtzeit-Verhaltens-Erkennung: CrowdStrike Falcon, SentinelOne Singularity, Sophos Intercept-X -- alle ab CHF 50 pro Endpunkt pro Jahr.

Zero-Day-Schutz und polymorphe Malware: ClamAV ist primär Signatur-basiert. Bei brandneuer Malware (Zero-Day) oder polymorphen Familien mit häufiger Mutation kann die Detection-Rate auf unter 50 Prozent fallen. Hier liefern moderne EDR-Lösungen mit ML-basierter Verhaltens-Erkennung deutlich besseren Schutz. ClamAVs experimentelles ML-Modul (clamav-ml) ist Mai 2026 noch nicht produktionsreif.

Hochrisiko-Branchen mit gezielten Angriffen: Anwaltskanzleien mit Hochrisiko-Mandaten (Geld-Wäsche-Verfahren, Wirtschaftsspionage, M-and-A-Beratung) sind Ziele gezielter Angriffe mit Custom-Malware. ClamAV-Signatur-Datenbank hat solche unbekannten Samples nicht. EDR-Lösung plus SOC-Service (24/7-Überwachung durch Sicherheits-Analysten) ist hier Pflicht.

Generelle Fallen bei ClamAV-Deployments: (a) freshclam-Updates nicht eingerichtet -- Datenbank veraltet, Detection-Rate sinkt drastisch. (b) clamd-Socket auf 0.0.0.0:3310 öffnen statt 127.0.0.1 -- Angreifer können Scan-Anfragen senden und Daten exfiltrieren. (c) Keine Quarantäne konfiguriert -- Virus-Fund wird einfach gelöscht, kein Audit-Trail für Compliance. (d) ClamAV-Logs nicht in SIEM gespiegelt -- bei Compliance-Audit fehlt der Nachweis. (e) Container-Bild der falschen Version verwenden -- clamav/clamav:latest kann Breaking-Changes haben, lieber pinned auf 1.4.

Performance-Hinweis: clamd belegt etwa 1 GB RAM für die Datenbank. Auf einem Mini-VPS mit 1 GB RAM ist das nicht praktikabel -- mindestens 2 GB Total-RAM einplanen.

Vor- und Nachteile

STÄRKEN

  • GPL-2 OSS seit 2001, in allen Linux-Repos enthalten
  • Cisco-Talos-Update-Hub mit 8 Mio Signaturen, mehrere Updates pro Tag
  • Native Integration mit Postfix, Nextcloud, Samba
  • Container-Image-Scanning via Trivy-Plugin in CI/CD

SCHWÄCHEN

  • Detection-Rate 80 Prozent -- deutlich unter EDR/XDR (95-99 Prozent)
  • Auf Workstations unzureichend -- Defender oder XDR Pflicht
  • 1 GB RAM Bedarf für clamd -- nicht für Mini-VPS unter 2 GB Total
  • ML-Modul (clamav-ml) Mai 2026 noch experimentell, nicht produktionsreif

Häufige Fragen

Reicht ClamAV als einzige Antivirus-Lösung?

Nur für Mail-Server und Upload-Endpunkte. Workstations brauchen zusätzlich Windows Defender (kostenlos) oder XDR (CrowdStrike, SentinelOne, Sophos). ClamAV-Detection-Rate ist Mai 2026 bei etwa 80 Prozent für bekannte Malware, deutlich unter EDR-Lösungen (95-99 Prozent). Defense-in-Depth ist Pflicht: Mail-Gateway-Layer mit ClamAV plus Workstation-Layer mit Defender/XDR.

Wie hoch ist die False-Positive-Rate?

Sehr niedrig bei der Cisco-Talos-Standard-Datenbank: unter 0.1 Prozent. SaneSecurity-Feed erhöht die Rate auf 0.5-1 Prozent (mehr Phishing-Patterns, mehr false positives). Empfehlung: erst Standard-Datenbank produktiv schalten, nach 4 Wochen Beobachtung Sane-Secret aktivieren mit "Quarantine"-Modus statt "Reject" und Review-Routine.

Lohnt sich Trivy plus ClamAV für Container-Scanning?

Mai 2026 ja. Trivy alleine erkennt CVEs in installierten Paketen (apt, npm, pip), aber keine eingeschleuste Malware in Custom-Layern. ClamAV-Plugin scannt jede Datei im Image gegen die Virus-Datenbank. Build-Step in CI/CD: trivy image --exit-code 1 plus clamscan über den extrahierten Layer. Verhindert Supply-Chain-Angriffe via kompromittierte Docker-Hub-Images.

Wie aktuell ist die Virus-Datenbank?

Cisco Talos pushed Mai 2026 mehrere Updates pro Tag. Bei Checks 24 in freshclam.conf wird die Datenbank alle Stunde aktualisiert. Neue Malware-Familien erscheinen Mai 2026 typisch innert 2-6 Stunden nach Erst-Sichtung in der Datenbank. Im Vergleich zu kommerziellen AV-Lösungen (Update alle 5-15 Minuten) etwas langsamer, aber für Mail-Gateway-Use-Case ausreichend.

Verwandte Themen

SECURITY-VERGLEICH · TOOL-VERGLEICHSecurity-Hardening-Tools im Vergleich: CrowdSec, Fail2ban, Wazuh, UFW, Vault, Authentik, WireGuard, Lynis, rkhunter, ClamAVCROWDSEC · TECHCrowdSec: Open-Source-WAF mit kollaborativer Blocklist für KMU-ServerWAZUH · TECHWazuh: SIEM, EDR und Compliance-Plattform für regulierte MittelstandFIREWALL · SICHERHEIT & BETRIEBFirewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026AUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibtrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutet

Quellen

  1. ClamAV -- official documentation · 2026-05
  2. ClamAV GitHub -- v1.4 release notes · 2026-04
  3. SaneSecurity -- third-party ClamAV signature feeds · 2026-03
  4. Aqua Trivy -- container image scanning · 2026-04
  5. ISO/IEC 27001:2022 -- Annex A.12.2 protection from malware · 2026-02

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen