Mythen der IT-Security: Virenscanner bieten grundlegenden Schutz
8. September 2017 in IT
Mit diesem Beitrag beginne ich eine Reihe von Beiträgen zum Thema IT-Security, bzw. zu Mythen in diesem Bereich. Ich glaube hier gibt es eine Menge Missverständnisse und fehlleitende Vorgaben von Leuten oder Institutionen, die kein wirkliches Verständnis der grundlegenden Problematik haben.
Ich beginne mit den allgegenwärtigen Virenscannern. Aber warum habe ich ein Problem mit Virenscannern? Virenscanner machen inzwischen viel mehr als sie sollen. Statt einfach nur nach unerwünschtem Schadcode zu suchen, wofür die Virenscanner eigentlich gedacht sind, versuchen die Hersteller dieser Software eine allumfassende Securitylösung dem Endkunden vorzugaukeln. Dabei möchten die Lösungen am liebsten die Steuerung des Rechners vollständig übernehmen. Um dies zu erreichen müssen teilweise Sicherheitsvorkehrungen des Betriebssystems umgangen werden. Als Angreifer würde ich mir diesen Umstand zu nutze machen und die Sicherheitslücken in den ganzen bunten ungewollten Ergänzungen der Virenscanner ausnutzen. Genau dies wird auch von den „bösen Jungs und Mädels“ zum großen Teil gemacht.
Meine Hauptkritik an dem Einsatz von Virenscannern trifft aber das Konzept dieser Lösungen. Die Scanner durchsuchen Daten nach bekannten Signaturen und/oder auffälligen bekannten Verhaltensweisen in einer Sandbox. Es bedarf also immer erst mindestens eines bekanntgewordenen Vorfalls damit weitere Systeme nach zeitnaher Aktualisierung der Virensignaturen und co. vor dem Schadcode geschützt werden. Das Konzept ist reaktiv und läuft damit den Entwicklungen auf dem Markt der Schadsoftware immer hinterher.
Ein deutlich besserer Ansatz müsste proaktiv sein um sich auch vor neuer unbekannter Schadsoftware zu schützen. Der potentielle Schadcode kommt im Allgemeinen als Download von Webservern oder teilweise auch noch per Anhang in Mails. Was ist Schadcode? Schadcode steckt nahezu immer in Dateien die vom Betriebssystem oder einer Anwendung ausführbar sind. Es handelt sich also um Programmcode, um Anwendungen. Nun stellt sich die Frage wozu, vor allem im Kontext eines Unternehmensnetzwerkes, Nutzer Programme von Webservern laden oder per Mail erhalten müssen. Normaler Weise dürfen Programme hier nur von der zuständigen IT im internen Netz bereitgestellt werden. Der Datenverkehr per Internet und Mail muss somit nur nach ausführbarem Code durchsucht werden. Abhängig vom Betriebssystem und installierten Runtimes gibt es immer nur eine Hand voll bekannte Signaturen von ausführbarem Code. Wenn man die betreffenden Datentransfers blockiert kann kein Nutzer ungewollt Schadcode ausführen.
In einem Unternehmensnetzwerk kann man hier Webproxys und Mailgateways einsetzen, die eine Tiefenanalyse des Traffic durchführen und entsprechend blockieren. Ich habe sehr gute Erfahrungen mit den Lösungen von Clearswift gemacht. Im Privaten und in Kleinunternehmen sieht es allerdings düster aus mit den Möglichkeiten. Hierzu müssten Browser und Betriebssysteme diese Aufgabe übernehmen. Ich habe bisher leider noch keine geeigneten Erweiterungen oder ähnliches gefunden.