Der Kampf gegen Malware muss mit neuen Mitteln geführt werden

Ein Kommentar von Christoph Brecht, Regional Manager DACH bei Stormshield

Der Kampf gegen Malware muss mit neuen Mitteln geführt werden

Christoph Brecht, Regional Manager DACH bei Stormshield

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat seinen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2016 vorgelegt. Demnach ist die Lage „weiterhin angespannt“. Täglich sichtet das BSI nach eigenen Angaben 380.000 neue Varianten von Schadprogrammen. Im August 2016 waren insgesamt 560 Millionen Malware-Arten bekannt. Aufgrund der Geschwindigkeit, mit der neue schädliche Software auf der Bildfläche erscheint, haben viele klassische, signaturbasierte Anti-Viren(AV)-Programme Schwierigkeiten, einen ausreichenden Schutz für Unternehmen zu gewährleisten. Um den immer ausgeklügelteren Cyberthreats schlagkräftig entgegenzutreten, müssen neue Ansätze gewählt werden.

Schadsoftware gibt es in vielen verschiedenen Formen. Das gemeinsame Ziel ist stets, auf einem infizierten Rechner für Nutzer unerwünschte und für das System schädliche Aktionen auszuführen. Ob unentdeckt oder offensichtlich, hängt von der Angriffstaktik ab. Banking-Trojaner beispielsweise wollen unentdeckt bleiben, um Zugangsdaten für Internetbanking ungehindert auszuspionieren. Eine andere Strategie nutzen Ransomware-Varianten wie Locky, Cerber und Co., die 2016 die Berichterstattung beherrschten: Sie wollen gesehen werden. Denn sie verschlüsseln wichtige Daten und fordern ein Lösegeld von den Eigentümern.
Je nachdem, welcher Rechner wie infiziert wurde, kann bei betroffenen Unternehmen ein immens hoher Schaden entstehen. Leider können in der Unternehmenskommunikation die Hauptangriffswege der Cyberkriminellen nicht komplett vermieden werden, denn zu den häufigsten Infektionswegen zählen nach wie vor E-Mail-Anhänge. An zweiter Stelle stehen Drive-by Downloads, also Infektionen durch den Besuch schadhafter Webseiten. Auch Werbebanner, die auf eigentlich vertrauenswürdigen Seiten angezeigt werden, sind immer häufiger Ursache von Infektionen.

Infektionen sind nicht per se zu vermeiden, aber …
Rechner, Laptops und andere Geräte, die mit einem Firmennetzwerk verbunden sind, vor diesen Infektionen und anderen Cyberbedrohungen zu schützen, ist Teil der Endpoint Security. Viele klassische Sicherheitslösungen und Antivirenprogramme setzen dafür auf Signaturen. Das heißt, jeder Variante eines Schadprogramms wird nach eingehender Analyse eine Signatur zugewiesen. Anhand dieser Signatur kann ein Virenscanner die Schadsoftware erkennen und gegebenenfalls entfernen. Neuere Varianten von Schadprogrammen werden aber schneller erzeugt, als sie analysiert werden können. So geraten klassische signaturbasierte Lösungen immer häufiger in Verzug. Sogenannte Zero-Day-Exploits – also Angriffe, für die noch keine Gegenmaßnahmen bekannt sind – verschärfen diese Situation zusätzlich.

Um hier vorzubeugen, verfolgen wir bei Stormshield als europäischer Hersteller von IT-Sicherheitslösungen einen neuen Ansatz bei der Endpoint Security: Anstatt den Datenbestand von Virenscannern auslesen zu müssen, wie es bei signaturbasierten Verfahren der Fall ist, führt Stormshield detaillierte und tiefgehende Verhaltensanalysen im Netzwerk durch. Diese Analysen sind nicht nur schneller als signaturbasierte Ansätze, wir setzen mit unseren Analysen auch deutlich früher an als andere verhaltensbasierte Lösungen. Zusätzlich lässt unser Ansatz auf dem Endpoint nur das zu, was ausdrücklich erlaubt wird, andere Programme dürfen nicht ausgeführt werden. Dieses „Deny all“ genannte Verfahren schützt Systeme spürbar zuverlässiger vor Zero Day Exploits, denn unsere Gegenmaßnahmen eingeleitet werden, bevor schädlicher Code ausgeführt wird. Das ist besonders wichtig, wenn die Firewall einmal versagt hat und infizierte Dateien zum Beispiel über E-Mail-Anhänge ins Netzwerk gelangt sind. Mit diesem doppelten Schutz hat Malware keine Chance.

IT-Security in der Industrie folgt eigenen Regeln
Solche Infektionen sind keine Seltenheit. Laut BSI-Lagebericht war ein Drittel der befragten Unternehmen in den vergangenen sechs Monaten von Ransomware betroffen. Man könnte nun annehmen, dass viele deutsche Unternehmen ihre IT-Sicherheit auf die leichte Schulter nehmen. Das ist aber nicht unisono der Fall. Es gilt vielmehr, einzelne Branchen zu betrachten. IT-Security in der Industrie beispielsweise funktioniert grundsätzlich anders als in Behörden. Firmen möchten in erster Linie nicht ihre Daten, sondern ihre operativen Prozesse schützen. Deshalb erfordert IT-Security in der Industrie eine neue Denkweise. Wenn technische Sicherheitsmaßnahmen, zum Beispiel eine Firewall, die Prozesse in einem Betrieb stören – etwa, weil sie eine bestimmte Art von Daten nicht mehr durchlassen -, kann das schnell finanzielle Folgen haben.
Ein signaturloser Endpoint Security-Ansatz bietet dagegen ein hohes Schutzniveau, ohne die täglichen Arbeitsprozesse zu behindern. Daher ist es notwendig, Firewalls an die Bedürfnisse der Industrie bzw. der jeweiligen Branche anzupassen. Doch in einer vernetzten Produktionsumgebung wie in der Industrie 4.0 reicht das allein nicht aus. Auch hier ist der signaturlose Deny all-Ansatz zur Endpoint Security als Ergänzung zur Firewall die bessere Alternative. Zum einen schützt er kompromisslos vor Datendiebstählen, denn ungewöhnliche Datenbewegungen werden sofort entdeckt und ggf. gestoppt. Zum anderen ist der verhaltensbasierte Ansatz eine perfekte Absicherung für vernetzte Industrieanlagen, denn es besteht nicht die Gefahr, dass die Lösung die falsche Art von Traffic blockiert und so die Produktion gestört wird. Geschäftlich relevante Anwendungen und der dazugehörige Traffic sind ja ausdrücklich im Deny all-Verfahren als erlaubt gekennzeichnet. Der Ansatz schützt also kompromisslos vor Datendiebstählen und eignet sich gleichzeitig perfekt dazu, vernetzte Industrieanlagen abzusichern.

Cyberattacken gehören seit 2016 zum Alltag für Unternehmen in Deutschland. Es ist zwar vereinzelt gelungen, Botnetze auszuschalten, die von Kriminellen für diese Angriffe genutzt werden, trotzdem werden sich Cyberattacken in Zukunft weiter ausbreiten und stets neue Wege suchen. Der Kreativität der Angreifer sind keine Grenzen gesetzt. Unternehmen sollten jetzt in eine zukunftsfähige IT-Sicherheitslösung investieren, bevor es zu spät ist.

Hochauflösendes Bildmaterial kann unter stormshield@sprengel-pr.com angefordert werden.

Über Stormshield:
Stormshield bietet innovative End-to-End-Sicherheitslösungen zum Schutz von Netzwerken (Stormshield Network Security), Workstations (Stormshield Endpoint Security) und Daten (Stormshield Data Security). Diese zuverlässigen Lösungen der neuesten Generation sind auf höchster europäischer Ebene zugelassen (EU RESTRICTED, NATO und ANSSI EAL4+) und gewährleisten den Schutz strategischer Informationen. Sie werden über ein Netz von Vertriebspartnern, Integratoren und Betreibern bereitgestellt und von Unternehmen verschiedenster Größe sowie von Regierungsstellen und Verteidigungsorganisationen weltweit eingesetzt.

Firmenkontakt
Stormshield
Christoph Brecht
Landsberger Straße 155
80687 München
+49 (0) 160-903 26845
dach@stormshield.eu
https://www.stormshield.eu

Pressekontakt
Sprengel & Partner GmbH
Marius Schenkelberg
Nisterstraße 3
56472 Nisterau
+49 (0)26 61-91 26 0-0
stormshield@sprengel-pr.com
http://www.sprengel-pr.com