Startseite > Security > Treff der Security-Branche

Ausblick auf it-sa 2016

Treff der Security-Branche

12. Oktober 2016, 10:07 Uhr | Daniel Dubsky

Fortsetzung des Artikels von Teil 4

Whitelisting statt Virenscanner

Schon länger indirekt unterwegs ist dagegen Seculution (Stand 647) aus dem nordrhein-westfälischen Werl. Der Hersteller will auf der it-sa neue Kunden und Partner gewinnen und seine Whitelisting-Lösung bekannter machen. Diese prüft beim Start von Programmen anhand des Hash-Wertes der Binärdatei, ob die Anwendung in einer Liste zugelassener Applikationen aufgeführt ist. Falls nicht, darf sie keinen Speicher allokieren und kann damit nicht ausgeführt werden. Unternehmen können auf diese Weise nicht nur genau regeln, welche Anwendungen ihre Mitarbeiter einsetzen, sondern insbesondere auch die Ausführung von Malware verhindern.

»Unser Ansatz ist, dass nur noch vertrauenswürdige Software läuft«, erklärt Seculution-CEO Torsten Valentin. Das ist zwar kein Allheilmittel, kann aber schon viele Angriffe verhindern, etwa wenn über Browser-Lecks eine Datei geladen wird und ausgeführt werden soll. »Wir und viele unserer Kunden haben keinen Virenscanner auf den Endpoints«, berichtet Valentin. Das spare Ressourcen und komme der Performance der Systeme zugute. Natürlich könne man auf dem Mailserver noch einen Virenscanner laufen lassen, wenn man das wolle.

Interessant ist das Whitelisting aber nicht nur für den klassischen Arbeitsplatz-Rechner oder für Server, sondern auch für Systeme in der Industrie oder im Healtcare-Bereich, aus dem viele der Seculution-Kunden kommen. Dort existieren viele Systeme, die schon recht alt sind, aber nicht ausgetauscht oder aktualisiert werden können und sich mit der Seculution-Lösung schützen lassen. Zudem erfolge der Abgleich mit der Liste freigegebener Software binnen Millisekunden und verursache anders als Virenscanner keine Verzögerungen, die eventuell Produktionsabläufe behindern, erklärt Valentin.

Die Whitelists liegen auf einem zentralen Server, allerdings halten die Clients eine lokale Kopie vor, falls sie sich nicht zu diesem verbinden können. Was der Benutzer von der Lösung zu sehen bekommt, kann detailliert angepasst werden. So lässt sich beispielsweise festlegen, dass er einen Hinweis erhält, wenn er ein bekanntes, aber in der Firmeninfrastruktur unerwünschtes Programm zu installieren oder zu starten versucht. An anderer Stelle würden ihn Warnmeldungen womöglich nur irritieren, weshalb sie für diese Fälle deaktiviert werden können. Der Administrator erhält jedoch Alarme und umfangreiche Reports über die geblockten Anwendungen.

Der Hersteller stellt seinen Partnern NFR-Lizenzen zur Verfügung, da er möchte, dass sie sich mit dem Produkt vertraut machen und es selbst nutzen. Neue Partner werden im Laufe der ersten Projekte, die mit Seculution gemeinsam abgewickelt werden, eingelernt – spezielle Schulungen oder Zertifizierungen gibt es nicht. Allerdings betont Valentin, es sei wichtig, dass die Partner eigene Kompetenzen aufbauen, damit sie die Lösung anpassen und bei ihren Kunden einführen können.

Zwar betreibt Seculution auch ein Direktgeschäft, vor allem mit größeren Kunden. Allerdings verspricht Valentin, man werde den Partnern damit keine Konkurrenz machen: »Der Partner hat immer Vorrang.«