Sicherheitssoftware 2017

Sicherheitssoftware: Schlangen-Öl oder Böses?

Manche dieser Analytiker stellen gleichzeitig Dienstleistungen zum Schutze dieser Infrastuktur zur Verfügung, so dass sie diese Scan-Methoden auch als Marketing-Tools nutzen und sensible Daten als Werbung verschicken können. Darüber hinaus werden Millionen von E-Mails mit bösartigen Anhängen verschickt, um Malware zu verteilen. Jüngste Trojaner-Kampagnen haben klar gemacht, dass selbst die Medienaufmerksamkeit den Menschen nicht ausreichend aufteilen kann, um die Verbreitung solcher Malware langfristig zu unterbinden.

Um dem entgegenzuwirken, hat die Branche Antivirus-Software und ähnliche Programme mit unterschiedlichen Schwerpunkten auf den Markt gebracht. Manche Geräte befassen sich mit der Netzsicherheit, andere mit der Internet-Kommunikation, wieder andere mit dem Schutz von Kommunikationsendpunkten. Sie alle haben die Gemeinsamkeit, dass sie ankommende Datensätze oder -pakete nach gewissen Unterschriften absuchen und, wenn die Unterschrift übereinstimmt, die verdächtigen Datensätze zur Überprüfung in eine Quarantäne-Zone bringen oder den Verkehr aufheben.

Bei vielen Produkten wird auch eine Form der vorausschauenden Malware-Erkennung eingesetzt, die darauf abzielt, die installierten Applikationen und deren Netzwerk-Kommunikation auf allgemeinere Charakteristika hin zu überprüfen, die die Charakteristika der bekannten Malware widerspiegeln (Heuristik). Das ist nützlich für die Entdeckung von Gefahren, die noch nicht in den Datenbeständen der Software-Hersteller zu sehen sind für sogenanntes'Snake Oil' wurde wirbt.

Den gewünschten Malwareschutz, der unbeabsichtigt oder vorsätzlich auf das Endbenutzersystem gelangt, erwirbt hier jedoch eine hochprivilegierte Sicherheitssoftware, die die komplette Verbindung zwischen den damit ausgestatteten Systemen aufzeichnet. Bei der signaturbasierten Überprüfung von auf dem Rechner befindlicher Hardware und Daten muss sichergestellt sein, dass Schädlinge bereits weitgehend als solche anerkannt und überprüft wurden.

Nur dann werden Signatur-Updates durchgeführt, um sicherzustellen, dass die Schädlinge auch vom Endverbraucher aufgedeckt werden. Die Sicherheitssoftware kann nur dazu beitragen, dieses Fenster zu verkleinern. Für die Endbenutzer, mit denen die Hersteller von Antivirenprogrammen zu kämpfen haben, ist es ein großes Hindernis, dass die Benutzung dieser Programme zu einem falschem Sicherheitsempfinden führt. Das ist zum einen auf die immer schnellere Zunahme der neuen Schädlinge zurückzuführen, zum anderen auf die Tatsache, dass Schädlinge speziell in der Lage sind, audiovisuelle Programme zu umfahren.

Trotzdem fühlt sich jeder Benutzer geborgen, obwohl gerade neue Schädlinge oft mehrere Tage lang nicht aufgedeckt werden. Auch die häufig von der Virenschutzsoftware als Nachweis der Arbeit über die Meldemechanismen der Betriebsysteme gesendeten Statusnachrichten haben für den Benutzer eine gewohnte Wirkung: Meldungen werden oft ungeachtet ihrer Schwere und ihres Inhalts vernachlässigt, geklickt oder ausblendet.

Um Sicherheitssoftware in einer Unternehmensumgebung zu implementieren, ist in der Regel ein zentrales Management der Sicherheitssoftware erforderlich, um ein einheitliches Sicherheitsniveau im gesamten Unternehmen zu garantieren, sowie die Fähigkeit, mit dem Anbieter zu kommunizieren, um auf das Auftreten von neuen Gefahren zu antworten. Typischerweise findet die Verbindung zu einer Management-Konsole über proprietäre, nicht auditierbare Kommunikationsprotokolle statt, und die dafür erforderlichen freien Schnittstellen bergen zusätzliche Sicherheitslücken.

Allerdings kann auch die Verständigung zwischen der Anwendung und den eigenen Updateservern des Herstellers Probleme bereiten. Zum Beispiel stellt der Anbieter keine verschlüsselte Verbindung für das automatisierte Upgrade von Endpoint (Antivirus) zur Verfügung. Dies kann die Funktionalität der Anwendung aufheben. Spionageprogramme, um sich vor Schadprogrammen zu schützen? Mit vier herausragenden Softwarebeispielen haben Sicherheitswissenschaftler außerdem aufgezeigt, dass Cloud-fähige Antivirenprogramme ( "Software, die für Analysezwecke fragwürdige Daten an Remoteserver sendet") zur Extraktion von Daten missbraucht werden können.

Sie verwenden lokale Schadsoftware, die die gesammelten Daten so bündelt, dass sie von Anti-Viren-Software als gefährlich erachtet werden. In diesem Zusammenhang hat auch das Sicherheitsunternehmen Carbon Black, dessen Sicherheitsprodukte auf Whitelist statt Blacklisting basieren, also auf der Entdeckung von "guten" anstelle von bösartigen Programmen, jüngst Aufmerksamkeit erregt. Zudem werden seit vielen Jahren schwerwiegende Sicherheitslücken in Produkte aller Hersteller von Sicherheitssoftware publiziert und zum Teil ausgenützt.

Daher hat sich Sicherheitssoftware aller Couleur seit langem als attraktive Zielscheibe für Angriffe erwiesen. Normalerweise muss die Anwendung mit Admin- oder Root-Rechten ausgeführt werden und ist fest im Netzwerk integriert. Weil es sich hierbei um kaufmännische Applikationen handele, stehe der Quelltext der Anwendung in der Praxis für ein mögliches Auditing nicht zur Verfügung.

Hier können Sicherheitsforscher wie Tavis Ormandy, der schnell für die Portierung von Windows Dynamic Link Libraries (DLLs) auf Linux schrieb, um Microsofts'Windows Defender'-Sicherheitstool mit Hilfe von Softwarentests wie Fuzzing zu erforschen, helfen. Zur Jahresmitte führten diese Ermittlungen zur Aufdeckung gravierender Schwachpunkte in diesen und anderen Werkzeugen, auch bei anderen Anbietern von Sicherheitssoftware, und führten so zu einer allgemeinen Debatte über das seit Jahresbeginn auch in der Bevölkerung immer häufiger auftretende Thematik.

Die Verwendung von Sicherheitssoftware muss nicht unbedingt zu einem erhöhten Sicherheitsstandard führen und sollte immer gegen die inhärente Zunahme der Angriffsoberfläche des zu sichernden Rechners abwägen. Wo der Endnutzer das Hauptziel dieses Angriffs ist, können sowohl simple Informationskampagnen als auch die Herstellung von Klarheit im Schadenfall - vor allem die gemeinschaftliche Bearbeitung von Sicherheitszwischenfällen bei gleichzeitiger Verhinderung von Opfertatbeständen - hilfreich sein.

Die inzwischen sehr gut durchgeführten E-Mail-Kampagnen zur Verbreitung von Malware würden wahrscheinlich scheitern, wenn der generelle Stress und Druck in der Arbeitsumgebung auf ein allgemein akzeptables Maß gesenkt und die Beschäftigten besonders auf die IT-Sicherheit am Arbeitsplatz aufmerksam gemacht würden. Beginnend mit der Einplanung und einschränkenden Zuordnung von Benutzerrechten nach den Prinzipien'Need to know' und'Least privilege', über die tägliche Sicherung aller betrieblich relevanten Anlagen bis hin zu regelmässigen, aber kontinuierlichen Sicherheitsaktualisierungen aller eingesetzten Software-Produkte, gibt es viele Einflussmöglichkeiten auf das Sicherheitslevel in Netzwerksystemen.

Ausschlaggebend ist die Wahl der geeigneten Sicherheitsmechanismen von der Verwendung von restriktiven, lokalen Firewall auf dem Endgerät bis hin zu zentralisierten Sicherheitsmassnahmen auf Proxys und Gateway's. Ob eine eventuell defekte, zusätzliche Virenschutzsoftware das Sicherheitslevel eines Rechners steigert, auf dem z. B. ein Flash Player läuft (bereits mehr als 50 Sicherheitslücken im Jahr 2017), bleibt offen.