Startseite > Datacenter & Verkabelung > Proaktive IT-Sicherheit durch Application-Whitelisting

Alternative zu Antivirenprogrammen

Proaktive IT-Sicherheit durch Application-Whitelisting

13. März 2015, 10:55 Uhr | Jürgen König, Chief Marketing Officer Nexus, Geschäftsführer Nexus Technology

Tag für Tag werden unzählige neue Viren, Trojaner und Spyware-Applikationen in Umlauf gebracht. Zu viele, als dass sie von herkömmlichen Blacklisting-Technologien zuverlässig aufgespürt und beseitigt werden könnten. Der Application-Whitelisting-Ansatz stellt eine sichere Alternative dar.

Mehrere Milliarden Dollar verlieren Unternehmen jährlich durch den Schaden, den Malware an ihren Systemen anrichtet. Viren, Trojaner und Spyware können Informationen stehlen, Computerprozesse verändern oder sogar die Produktion stoppen. Als übliche Gegenmaßnahme kommen Blacklisting-Technologien zum Einsatz, die nach bekannter Malware suchen und diese vom Rechner oder Server entfernen. Angesichts der Menge an tagtäglich neu entwickelter Malware und der Geschwindigkeit, mit der sie sich in aller Welt ausbreitet, wird es jedoch zunehmend aussichtsloser, eine Prüfung auf alle bekannten Viren und Würmer durchzuführen. Und sie sind nicht die einzigen Problemverursacher – ungetestete Software oder auch Computerspiele können Unternehmen Millionenbeträge kosten. Wie also können Unternehmen das Virenrisiko ausräumen?

Der Application-Whitelisting-Ansatz bietet eine Alternative zu traditionellen Antivirenprogrammen. Beim Whitelisting wird definiert, welche Anwendungen auf einem Gerät oder System laufen dürfen. Antivirensoftware muss ständig Ausschau nach Hunderttausenden von bekannten Gefahren halten. Whitelisting ist dagegen wesentlich schneller – es muss lediglich die jeweilige Software mit einer übersichtlichen Liste zugelassener Anwendungen abgleichen. Nur wenn eine Datei zu einer zugelassenen Anwendung gehört, wird ihre Ausführung zugelassen. Eine Datei, die nicht Bestandteil einer genehmigten Anwendung ist, darf dagegen nicht gestartet werden – das Prinzip der standardmäßigen Ablehnung („Default Deny“).

Infolgedessen wird unzulässige Software konsequent blockiert und stellt damit zu keiner Zeit eine Gefahr für das Unternehmen dar.

Authentifizierung zulässiger Software: Anwendungszertifikate

Zur Authentifizierung von Anwendungen, die auf der Whitelist enthalten sind, stellt die Whitelisting-Software sogenannte Anwendungszertifikate („Application Certificates“ – „AppCerts“) aus. App-Certs sind elektronische Ausweise für Software und Anwendungen. Sie identifizieren ein bestimmtes Programm mit allen seinen Komponenten – nach demselben Prinzip, nach dem ein elektronischer Ausweis eine Person identifiziert. Wird ein neues Programm auf dem geschützten Rechner gestartet, prüft die Whitelisting-Software, ob es über ein AppCert verfügt. Ist das nicht der Fall, wird es als unzulässiger Content behandelt und aus der geschützten Zone entfernt beziehungsweise für diese nicht zugelassen. App-Certs, die nach dem PKI (Public-Key-Infrastructure)-Standard mithilfe von asymmetrischer Verschlüsselung und dem Hash-Verfahren erstellt werden, sind ebenso stark und sicher wie elektronische Ausweise. Darüber hinaus können sie flexibel, nachvollziehbar und skalierbar verwaltet werden.

Eine Whitelisting-Lösung besteht typischerweise aus zwei Komponenten. Zum einen wird ein Softwaremodul auf allen Systemen installiert, die von der Lösung geschützt werden sollen. Nach der Installation fängt die Software alle Versuche ab, ein Programm auszuführen. Sie prüft die betreffende Software anhand einer Liste zulässiger Applikationen, für die ein App-Cert vorliegt. Wird keine Übereinstimmung gefunden, verhindert die Software den Start des Programms. Dieses Softwaremodul sollte dabei als Standalone-System agieren können, sodass es auch in Echtzeit- und Embedded-Systemen sowie in Umgebungen ohne Netzwerkanschluss ein Höchstmaß an Sicherheit gewährleisten kann. Zum anderen braucht es eine Software zum Ausstellen von Anwendungs- und Richtlinien-Zertifikaten. Ein solches Tool analysiert, welche Komponenten zu welchen vertrauenswürdigen Applikationen gehören und ordnet diese entsprechend zu. Es dient auch zur Definition der Sicherheitsregeln, die die White-listing-Software auf den zu schützenden Systemen anwendet.

Den möglichen Einsatzszenarien von Whitelisting-Lösungen sind dabei kaum Grenzen gesetzt: Sie reichen von herkömmlichen Büro-PCs und Servern über Industrieroboter, Prozesssteuerungs- und Überwachungssystemen bis hin zu militärischen Systemen, POS-Systemen im Einzelhandel sowie Geldautomaten oder medizinischen Ausrüstungen.