Warum Unternehmen neue Sicherheitskonzepte finden müssen
Antivirus ist tot!?
Fortsetzung des Artikels von Teil 1
Die Geburtsstunde einer Sicherheitslücke
Die erste Antivirus-Software wurde im Jahr 1987 hergestellt, um eine bestehende Infektion zu beseitigen. Bemerkenswert ist, dass der grundlegende Ansatz von den meisten Scannern bis heute verwendet wird. Sie entfernen bereits bestehende Infektionen. Logisch betrachtet ist dieser Ansatz jedoch grundlegend fehlerhaft. Denn solche Scanner vergleichen jede Datei mit einer Signatur-Datei von bekannten Viren auf einer sogenannten „Schwarze Liste" oder „Blacklist“. Hier gibt es eigentlich nur drei Möglichkeiten:
Das bedeutet, der Ansatz, lediglich auf das zu vertrauen, was wir bereits wissen, ist die Geburtsstunde jeder Sicherheitslücke, die Hacker einfach ausnutzen können. Sicherheitsexperten weltweit wissen natürlich um diese Gefahr und arbeiten an neuen Konzepten, die das Auftreten von Sicherheitslücken eindämmen sollen. So entstand beispielsweise der heuristische Ansatz, der sich nicht nur auf die Blacklist verlässt, sondern das Verhalten einer Datei bzw. des dort enthaltenden Schädlings beobachtet. Das Problem: Auf diese Weise wurden etliche saubere Anwendungen geblockt, schlicht weil sie „verhaltensauffällig“ waren. Viele Unschuldige wurden verurteilt – und der Richter revidierte sein Urteil äußerst selten.
Die Auferstehung
Es gibt keine 100-prozentig zuverlässige Erkennungsmethode. So hart diese Erkenntnis klingt, so wahr ist sie. Malware-Autoren werden immer einen Weg finden, Viren zu kreieren, die mit herkömmlichen Scan-Methoden nicht oder zu spät entdeckt werden. Das liegt schon in der steigenden Motivation der Cyberkriminellen: Warum eine Bank ausrauben, wenn ich von meiner Wohnung aus per Botnet die Kontrolle über Rechner und Netzwerke gewinnen kann, in denen ein wahres Vermögen schlummert? Doch die Situation ist nicht aussichtslos – im Gegenteil. Es liegt fast schon in der Natur der Sache, dass wenn ein Sicherheitsansatz stirbt, ein neuer geboren wird. Frei nach dem Motto: Antivirus ist tot – es lebe Antivirus. Denn clever sind nicht nur die Angreifer. Auch die Verteidiger haben ein Ziel vor Augen.
Ein Beispiel sind die bereits erwähnten Sicherheitsexperten des amerikanischen Herstellers von IT-Sicherheitslösungen Comodo. Anders als andere Anbieter setzt Comodo beim Virenschutz nicht nur allein auf Erkennung mittels Blacklisting, sondern vertraut vielmehr auf Prävention und Isolierung. Die Idee: Nur bekannte Dateien erhalten einen Zugriff auf das Netzwerk. Sprich, das althergebrachte Prinzip wird auf den Kopf gestellt. Als erste Verteidigungsebene ("line of defense") dient eine soenannte Whitelist. Bekannt gutartige Dateien werden ausgeführt, bekannt bösartige gestoppt und unbekannte Dateien automatisiert in eine virtuelle Betriebsumgebung übergeben ("Automated Sandoxing"). Der User kann ungefährdet mit ihnen arbeiten, selbst wenn sie infiziert sind. Erst wenn die Datei zu 100 Prozent als sauber anerkannt wird, wird der Netzwerkzugriff gewährt. Diese Containment-Technologie hat Comodo zum Patent angemeldet. Zwar gibt es bereits ähnliche Sandbox-Verfahren, jedoch erfordern diese nach wie vor die Malware-Erkennung und Interaktion des Users. Sie arbeiten meist mit Containern, in denen Webbrowser-basierte Applikationen abgeschirmt von der Host-Umgebung ausgeführt werden können. Auf diese Weise dämmen sie mögliche Infizierungen auf eine virtuelle Umgebung ein. Der Host gilt als vertrauenswürdig, der Container nicht. Analog zu einem Gefängnis sammeln diese Lösungen bösartige Anwendungen etc. in einer abgeschlossenen Umgebung, um sie an der Kompromittierung des umliegenden Systems zu hindern.
- Antivirus ist tot!?
- Die Geburtsstunde einer Sicherheitslücke
- Der Feind ist stets präsent
Lesen Sie mehr zum Thema
