Traffic-Monitoring und -Control mit Glasswire
Sicherheitskino für den PC
Mit welchen Kommunikationspartnern im Internet der unübersichtliche Anwendungszoo auf einem typischen PC mehr oder weniger heimlich Daten austauscht, bleibt dem Anwender normalerweise verborgen. Glasswire ändert dies, macht die Kommunikationsströme sichtbar und bewährt sich in Zusammenarbeit mit Firewall und Virenschutz als Sicherheits- und Awareness-Tool.
Es ist wohl kein Zufall, dass es der CISO eines Service-Anbieters für Zahlungsabwicklungen war, der mir Glasswire zum ersten Mal zeigte, und zwar als geschätztes Tool auf seinem eigenen Notebook. Wer für die IT-Sicherheit eines Unternehmens verantwortlich ist, gewöhnt sich daran, die Kommunikationsströme aus seinem Netzwerk heraus und wieder hinein permanent kritisch im Auge zu behalten. Dann kommt wohl ganz automatisch irgendwann der Wunsch auf, die gleiche Transparenz auch für die Aktivitäten des eigenen Computers zu reklamieren.
Glasswire, eine Freeware für alle gängigen Windows-Systeme, soll die nötigen Einblicke bieten. Das Programm ist keines der üblichen Sicherheitswerkzeuge für PCs, denn es bietet weder die Dienste eines Virenscanners noch die einer Firewall an. Die Software macht sich stattdessen als ausgefeilter und außergewöhnlich übersichtlicher Traffic-Monitor nützlich, der sehr schön darstellt, welche Programme auf einem PC mit dem Internet Kontakt aufnehmen, mit welchen Zielen sie kommunizieren, welche Bandbreite sie dabei verbrauchen und ob sie Veränderungen unterworfen sind. Im Gegensatz zu Programmen wie Net Speed Monitor erlaubt es Glasswire dem Anwender allerdings auch, unerwünschte Verbindungen sofort und ohne Umweg zu unterbinden.
Dynamische Netzverkehrs-Analyse
Wenn Glasswire läuft, gibt es viel zu sehen: Wer mag, kann den aktuellen Datenaustausch seines Computers in Form eines scrollenden Kurvendiagramms live überwachen.
Fällt dabei irgendetwas auf - etwa ein plötzlicher Anstieg der Aktivitäten - reicht ein Klick auf die entsprechende Stelle, um eine Fülle detaillierter Informationen abzurufen. Glasswire verrät, welche Prozesse das Datenaufkommen verursachen, wie hoch dasübertragene Datenvolumen ist, welche Protokolle verwendet werden und vor allem, mit welchen Hosts an der Computer gerade in Verbindung steht, wobei häufig auch direkt deren geografische Lage erscheint.
Natürlich gibt es diese Übersicht nicht nur für den aktuellen Moment. Die Anzeige lässt sich so einstellen, dass sie die letzten fünf Minuten, drei Stunden, 24 Stunden oder eine ganze Woche darstellt. Damit eignet sich das System auch vorzüglich dazu, bei einem permanent laufenden PC "forensisch" verdächtige Aktionen in der Vergangenheit ausfindig zu machen. Wer übrigens am PC sitzt und verhindern will, dass bestimmte von ihm initiierte Web-Aufrufe in dieser Weise mitgeschnitten werden, kann die Aufzeichnung jederzeit aussetzen und später wieder einschalten - eine willkommene Datenschutzfunktion. Die Kommunikationsdiagramme wiederum lassen sich auch gezielt für einzelne Prozesse anzeigen.
Die Möglichkeit, einen zeitweise allein gelassenen Computer auf Sicherheitsprobleme hin überwachen zu können, spielte eine besondere Rolle in diesem Test. Ich habe Glasswire auf einem Windows-7-PC installiert, der ein paar Hundert Kilometer vom Testort entfernt am Zweitwohnsitz als Kommunikationszentrale dient - wenn ich dort bin, als normaler PC, ansonsten meist als Skype-Terminal. Der PC ist mit Teamviewer ferngesteuert. Mit Glasswire kommt zur Remote-Kontrolle nun also auch eine aussagekräftige Ferndiagnose hinzu, die es erlaubt, den Sicherheitszustand des PCs einzuschätzen - und notfalls auch einmal einzugreifen. In einem LAN kann Glasswire übrigens von sich aus die Situation auch auf einem zweiten Computer anzeigen, auf dem das Tool ebenfalls installiert ist. Die Übertragung zwischen beiden Rechnern ist dann verschlüsselt. Neben dem Diagrammfenster bietet das Werkzeug auch eines, das den Bandbreitenverbrauch einzelner Programme anzeigt.
Kooperation mit Virenschutz und Firewall
Klickt man eines der Icons an, die die Prozesse repräsentieren, erhält man die bereits erwähnten weiterführenden Informationen zur jeweiligen Software, zum angesteuerten Host und zum Protokoll und kann, wenn die installierte Virenschutzsoftware mit Glasswire harmoniert, das Executable direkt auf Malware-Befall scannen lassen. Mit dem installierten "Avast" funktionierte dies einwandfrei.
Auf dem Testrechner war es beispielsweise interessant zu beobachten, wie "geschwätzig" sich einer der installierten komplexen Druckertreiber verhielt. Sein Treiben zielte definitiv nicht allein auf den via WLAN angesteuerten Printer, sondern er telefonierte auch sehr gern "nach Hause", wobei die Zieladresse außerhalb Deutschlands lag. Sicher ein Fall, der versuchsweises Unterbinden der Kommunikation oder einen Anruf bei der Hersteller-Hotline rechtfertigen könnte.
Zusammenspiel mit der Firewall
Wer eingreifen will, muss dazu Glasswire nicht verlassen. Im Fenster "Firewall" lässt sich die Kommunikation aller aufgefundenen Prozesse und Programme mit einem einzigen Mausklick entweder unterbinden ("erlaubt" ist hier sinnvollerweise die Standardeinstellung) oder auch wieder zulassen. Dabei agiert Glasswire nicht selbst als Firewall, sondern setzt und löscht Regeln in der integrierten Standard-Windows-Firewall, die es somit ergänzt. Auch dies gelang im Test mit diversen Prozessen anstandslos. Über eventuelle eigene Internet-Aktivitäten berichtete Glasswire während des Tests übrigens nichts. Dazu muss man sich auf die Aussage des Herstellers verlassen, dass das Produkt die von ihm ermittelten Daten über den eigenen PC nicht weitergibt, da die Software nicht quelloffen ist.
Warnungen vor Anomalien
Für eine Reihe besonderer, möglicherweise sicherheitskritischer Ereignisse generiert Glasswire automatisch Alarme. Dies gilt etwa für den Fall, dass eine bisher ruhige oder unbekannte Anwendung zum ersten Mal mit dem Internet Kontakt aufnimmt oder wenn sich bereits kommunizierende Programme plötzlich verändern. Beides kann plausibel, aber im Einzelfall auch verdächtig sein. Taucht beispielsweise unversehens ein völlig unbekannter Sender im System auf oder zeigt sich eine Versionsänderung an einem Executable, dass nicht offensichtlich aktualisiert wurde, könnte Malware im Spiel sein. Die Alarme oder Meldungen blendet Glasswire am unteren Bildschirmrand ein und hält sie in einem eigenen Fenster als Liste vor. Neben den genannten Auffälligkeiten erkennt das Programm auch ARP-Spoofing oder Verbindungen zu Hosts, die bösartiger Aktivitäten verdächtig sind. Wissen muss man dabei allerdings, dass das Programm nur eine begrenzte Zahl von gutartiger und bösartiger Software kennen kann - zu hoffen, dass hier elaborierte Malware wie Rootkits und jede Bootsektor-Vireninfektion in jedem Falle sichtbar und beherrschbar wird, wäre unrealistisch.
Insgesamt ist das Schöne an Glasswire nicht nur, was es kann, sondern auch, wie es seine Arbeit verrichtet. Einen spürbaren Leistungsverlust verursachte das Programm auf dem Test-PC nicht. Das Programm ist klein gehalten und schnell installiert, und es hat eine schnell durchschaubare, aufgeräumte Oberfläche. Werbung gibt es nicht. Überall funktioniert das Prinzip, angezeigte Elemente in den übersichtlichen Bildschirmen anzuklicken und auf diesem Weg Zusatzinformationen zu erhalten. So macht das Programm Neugier auf Sicherheitsaspekte und wird so ganz nebenbei zu einem schönen Awareness-Tool, das den Anwender nicht nur informiert und sensibilisiert, sondern ihn auch dazu befähigt, direkt etwas für die Sicherheit zu tun.
Grundwissen erforderlich
Wie eingangs schon angedeutet, eignet sich das Programm dabei vor allem für Personen mit einem gewissen Grundwissen in Sachen Computersicherheit. Dies gilt auch für das direkt aus der Software heraus erreichbare Internet-Forum, das nicht nur Themen diskutiert, die mit dem Tool selbst zu tun haben, sondern auch Sicherheitsfragen aufgreift.
.jpg)
.jpg)
.jpg)
Lesen Sie mehr zum Thema
