Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Und täglich grüßt das Murmeltier

Und täglich grüßt das Murmeltier

27. September 2007, 11:06 Uhr |

Endpunktsicherheit – Das Gros der Hersteller zeigt Produkte und Strategien, die den Zugang auf Ressourcen für Clients abhängig vom Integritätsstatus des jeweiligen Rechners gestalten. Ein PC darf nur auf Ressourcen zugreifen, wenn er beispielsweise die aktuelle Virensignatur installiert hat.

Die Franzosen haben den Begriff »Déjà vu« geprägt. Er beschreibt den Eindruck, Gegenwärtiges schon einmal erlebt zu haben. Das gleiche unangenehme Gefühl mag einen beim Thema IT-Security ereilen. Da taucht wieder eine neue Schädlingsgeneration auf, die gefährlich ist, Clients korrumpiert und Daten stiehlt. Und schon wieder steht die gleiche Gruppe von Anbietern in Reih und Glied parat, manchmal ergänzt durch ein, zwei Startups, und präsentiert Gegenmaßnahmen in Appliance- oder Software-Formaten.Mit den gleichen Argumenten, sie seinen schneller als die Konkurrenz, genauer, intelligenter, oder ihr Ansatz sei umfassender.Wie bei dem Murmeltiertag, mit dem Unterschied, dass jedes Mal ein anderer Wurm, ein anderes Schadensprogramm zum Antagonisten der Geschichte aufgebaut wird.

Der Gegenheld dieser Cebit ist Spyware. Aus gutem Grund, haben fast alle Antiviren-Hersteller doch in den vergangenen zwei Monaten gut drei Viertel ihrer Signaturen für Varianten dieses Typus entwickelt. Die Frage ist nur, ob Spyware alleinstehende, dezidierte Gegenmittel erfordert, wie es einige Anbieter den Markt glauben machen wollen. Eine Software allein nur, um Spyware abzufangen? Eine schwer zu vertretende Position, wird Spyware doch mit den gleichen Mitteln erkannt wie Viren, Würmer und Trojaner. Eine klassische Antiviren-Engine wird, sofern sie das entsprechende Muster kennt, Spyware auf jeden Fall auch einfangen. Nutzt sie doch die gleichen Verbreitungsmedien – die Mail oder den Webdownload. Was den Kampf gegen die Spyware allerdings erschwert, ist ihre Resistenz gegen Säuberungsversuche. Oder anders gesagt: Die Anbieter von Sicherheitsprogrammen müssen weitaus mehr in die Gegenmaßnahmen investieren, damit ihre Removal-Tools alle Spuren beseitigen und dabei das Betriebssystem des Clients nicht zerstören.Wer sich vor Spyware schützen will, sollte sich auf der Cebit die Removal-Optionen nicht entgehen lassen.

Natürlich werden die Hersteller ihr aktuelles Lieblingsthema »Zugang zu Netzressourcen abhängig vom Zustand des Endsystems« auf der Messe stark propagieren. Hier engagieren sich alle wichtigen Anbieter und schließen Allianzen. Zu den bedeutenden zählen die Microsoft- Gruppe »NAP«, die Cisco-Idee »NAC« und die mehr oder weniger unabhängige »Trusted Computing«-Gemeinde. Die Idee hinter ihren Konzepten ist durchaus interessant: So genannte Endpoint-Agenten, in der Regel kombinierte Antiviren-PC-Firewalls mit IPS-Intelligenz, prüfen den Status des Clients, indem sie auch die Patch-Version mit dem aktuellen Stand abgleichen. Ihr Ergebnis schikken sie an ihre eigenen Management-Server, der es an ein Policy-System sendet. Letzteres übersetzt das Resultat in einen Switch-Parameter, demnach der Client direkt am Port auf gewisse Ressourcen zugreifen darf, oder eben nicht. Alle diese dynamischen Prozesse sind in ihrer Gesamtheit definitiv nicht standardisiert, obwohl die Hersteller gerne erklären, sie nützten doch Standardverfahren wie Radius oder 802.1X. Es kommt auf ihre Implementierung im Detail an. Und auf die Flexibilität des Konzepts, ist doch nicht jedes System im Netz in der Lage, 802.1X zu sprechen oder die Endpunkt-Software zu implementieren. Es wird schwer sein, diesem Thema auszuweichen, vor allem in Halle 7.

Auf Appliance-Seite sind zwei Trends prägnant. Die einen Hersteller haben große Firewall-Boxen entwickelt, die mehrere GBit/s-Ports in sich vereinen und entsprechend viel Durchsatz auf die Leitung bringen. Damit reagieren sie auf die Konsolidierungstrends der Unternehmen, in deren Zug sie Server in größeren Farmen vereinen.Wer bei solchen Installationen per Stateful-Inspection analysieren möchte, braucht eine Box, die die großen Volumina verdauen kann.

Die anderen setzen die Entwicklung der vergangenen eineinhalb Jahre fort und platzieren Zusatzdienste auf ihre Appliance. Die von Analysten als Unified-Threat-Management gekennzeichneten Plattformen beherrschen neben Antivirus, Antispam, Intrusion-Prevention und Content- Scanning natürlich auch Antispyware. Das wird gerne herausgestellt, obwohl technisch nichts Neues auf die Box gespielt wurde. Auch hier setzen die Hersteller auf die bereits eingebundene eigene Antiviren-Engine oder das Pendant eines Partners.Was in diesem Zusammenhang aber interessant ist:Wie geschickt sind die Anbieter darin, die Zusatzfunktionen miteinander zu koppeln, um beispielsweise Hinweise auf erfolgreiche Infektionen zu gewinnen? Ein Beispiel: Clients, die mit Spyware infiziert sind, greifen auf gewisse URLs zu, um von dort aus die jüngsten Werbe-Popups zu laden. Kennt die Appliance dank eines integrierten URL-Filters diese feindlichen Adressen, würde der Client-Request eindeutig zeigen, dass dieser Rechner infiziert ist. Die Cebit bietet ausreichend Gelegenheit, die Hersteller zu diesen vielversprechenden Nebenwirkungen zu befragen.

Michael Piontek
pm@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Dahua Technology GmbH

Dahua Technology GmbH
NFON AG

NFON AG
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
Softing IT Networks GmbH

Softing IT Networks GmbH