Phishing und kein Ende

Jochen Koehler

Die Gefahrenlage rund um Cyber-Attacken nimmt langsam beängstigende Ausmaße an. Nahezu jede Woche sind neue Angriffe zu beklagen. Doch wie wird gegengesteuert? Reaktiv und fast hilflos mit herkömmlichen Sicherheitsverfahren, deren Unzulänglichkeit inzwischen mehr als deutlich zutage getreten ist.

Resignation ist allerdings nicht angebracht, man muss nur das Übel an der Wurzel packen. Und dazu sollte man eruieren, wo die größten Gefahren liegen. Die Antwort ist klar: am Endgerät des einzelnen Mitarbeiters. Das belegen auch zahlreiche aktuelle Studien zur IT-Sicherheit. Laut Untersuchung von NTT Security lassen sich beinahe drei Viertel (73%) der Malware in Unternehmen auf Phishing-Angriffe zurückführen. Zu ähnlichen Ergebnissen kommt eine Erhebung von Verizon, nach der 51% aller Sicherheitsvorfälle auf Malware zurückzuführen sind und 66% der Malware ein Unternehmen über infizierte E-Mail-Anhänge erreicht; bei 95% der erfolgreichen Phishing-Attacken wurde dabei Software installiert.

Das Endgerät der Mitarbeiter ist also die entscheidende Sicherheitsschwachstelle. Doch was machen Unternehmen zur Gefahrenabwehr? Sie setzen weiterhin vielfach ausschließlich auf klassische Maßnahmen wie Antiviren-Software. Völlig unverständlich eigentlich, da sich diese als unzureichend erwiesen hat. Natürlich wissen das auch die Hersteller, die deshalb das Zeitalter der Next-Generation-Antiviren (AV)-Lösungen einläuten. Sie wollen unter Nutzung von maschinellem Lernen und Künstlicher Intelligenz Angriffe aufspüren. Durch Code-Analysen vor der Ausführung von Aktionen auf den jeweiligen Endpunkten soll potenzielle Malware erkannt werden, das heißt aber auch, Next-Generation-AV-Anwendungen sind nach wie vor auf die Detektion angewiesen. Sie stellen zwar eine Weiterentwicklung dar, aber letztlich bleiben sie Antiviren-Lösungen und damit ebenfalls unzulänglich.

Dass AV-Hersteller zunehmend mit ihrem Latein am Ende sind, zeigt sich auch an der wachsenden Nervosität in der Branche. Beispiel gefällig? Microsoft hat mit seiner neuen Software Windows Defender ein neues Sicherheitslevel erreicht, wie auch zahlreiche Tests belegen. Und wie reagiert die Branche? Ziemlich beunruhigt, wie die Beschwerde von Kaspersky bei der EU-Kommission gegen Microsoft wegen Wettbewerbsverstößen und Missbrauch der marktbeherrschenden Stellung zeigt.

An dieser Stelle muss aber einem möglichen Missverständnis begegnet werden. Antiviren-Lösungen sind keineswegs überflüssig. Natürlich müssen sie elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Aber – und das ist das Entscheidende – sie müssen komplementär ergänzt werden, und zwar durch Lösungen, die nicht auf die Erkennung von Schadsoftware angewiesen sind. Vor allem Virtualisierungslösungen rücken hier zunehmend ins Blickfeld. Viele Anbieter gehen im Bereich IT-Sicherheit mittlerweile den Virtualisierungsweg, prominentes Beispiel ist wieder Microsoft. Die Redmonder bieten bei der Enterprise-Edition ihres aktuellen Betriebssystems Windows 10 den Device Guard an, der Hardware- und Softwaresicherheitsfeatures kombiniert. Zentrale Komponente ist dabei die Virtualization-Based Security (VBS). Damit werden zentrale Betriebssystem-Services isoliert, so dass im Falle einer Kompromittierung des Betriebssystems kein Diebstahl von unternehmenskritischen Daten erfolgen kann. Zudem beabsichtigt Microsoft, auch bei seinem Browser Edge auf Virtualisierung zu setzen. So soll künftig die Option bestehen, den Browser in einer eigenen virtuellen Maschine auszuführen.

Auch Bromium verfolgt einen Virtualisierungsansatz. Zentrale Lösungskomponenten sind ein speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Durch Micro-Virtualisierung kann das Ausführen potenziell gefährlicher Anwendungen gekapselt werden. Bromium erweitert damit das auf Betriebssystem-Services bezogene VBS von Microsoft Windows 10. Die Bromium-Lösung ist aber auch schon unter Windows 7 und 8.1 einsetzbar und isoliert gängige Browser sowie Office- und PDF-Dokumente aus E-Mail-Anhängen oder portablen Speichermedien. Eine Kompromittierung des Endpunkts und des Unternehmensnetzes über diese Angriffspfade ist damit ausgeschlossen.

Die beiden Beispiele zeigen: Bei innovativen Ansätzen in der Endpunktsicherheit steht aktuell nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund, sondern der gezielte Schutz vor Malware durch Isolation. Cyber-Angriffe – wie neu oder „sophisticated“ sie auch immer sein mögen – laufen damit zwangsläufig ins Nichts.