„Die Security-Industrie macht keinen guten Job“

CW: Wie ist es heute um die IT-Sicherheit in Unternehmen bestellt?

Vigoroux: Die Cyberkriminalität ist seit 2007 um mehr als 400 Prozent gestiegen, was selbst konservativen Schätzungen zufolge einen Schaden von 100 Milliarden Dollar verursacht hat. Einige Quellen sprechen sogar von bis zu 1 Billion Dollar. Man kann demnach sicherlich von einer „globalen Cyberkriminalitäts-Misere“ sprechen.

Die Security-Industrie macht keinen guten Job. Sie ist nicht in der Lage mit den Cyberkriminellen Schritt zu halten. In der Vergangenheit haben Antiviren- und Firewall-Technologien 97 bis 99 Prozent der Malware geblockt, während sich Sicherheitsfirmen wie M86 auf die übrigen 1 bis 3 Prozent der eingegangenen Malware konzentrierten. Das Bild hat sich jedoch dramatisch verändert. Heute können die Antiviren, Firewall, URL-Filter und andere Reputationsdatenbank-basierte Lösungen nur noch weniger als 40 Prozent der Angriffe blocken. Dies bedeutet nichts anderes, als dass 60 Prozent der Malware unentdeckt bleibt und die Unternehmen ungeschützt trifft. Diese Malware-Lücke verschafft den Cyberkriminellen bequemen Zugang zu den Unternehmen, ihren Netzwerken und Daten.

Die Online-Kriminalität hat sich als Geschäftsmodell etabliert. Das Problem besteht auf drei Ebenen:

1. Die Malware ist so raffiniert, dass sie mühelos traditionellen Sicherheitssystemen entkommt.

2. Die Exploit Kits sind für jeden im Internet downloadbar und einsetzbar.

3. Die Schattenwirtschaft hat sich mittlerweile so spezialisiert, dass es für Hacker sehr einfach ist, in diesem Bereich aktiv zu werden und Geld zu verdienen. Das alles ohne viel Risiko oder die Gefahr, erwischt zu werden.

CW: Warum machen Sicherheitsfirmen einen schlechten Job?

Vigoroux: Zunächst einmal wächst die Cyberkriminalität ziemlich schnell. Hinzu kommt, dass die Wirtschaft auf traditionelle Sicherheitstechnologien setzt, die 20 Jahre alt sind und signaturbasiert arbeiten. Heutzutage sind die Angriffe gezielter und schneller, haben jedoch lang anhaltende, kostenintensive Folgen. Signaturbasierte Lösungen können nicht vor diesem täglichen Malware-Ansturm schützen.

Der wichtigste Unterschied ist, wie effektiv, dynamisch und proaktiv M86 seine Kunden schützt. Im Vergleich zu unseren Mitbewerbern sind wir in der Lage, bisher neue Attacken, wie dynamische oder polymorphe Malware und Zero-Day-Attacken, zu erkennen. Die Web-Sicherheitslösung von M86 verlässt sich nicht auf Signaturen oder Datenbanken, um Malware zu identifizieren. Stattdessen analysiert sie automatisch in Millisekunden die Absicht bei der Ausführung des Codes und identifiziert, ob diese bösartig ist oder nicht. M86 kann somit auch brandneue bösartige Codes erkennen und blocken, bevor sie den Anwender erreichen.

Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor.

Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben.

BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden.

Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden.

Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist.

F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.

Code-Analyse in Echtzeit

CW: Warum scheitern signaturbasierte Analysen bei Malware?

Vigoroux: Gezielte Attacken dauern manchmal nur wenige Sekunden. Datenbankbasierte Lösungen adressieren diese fortlaufende Ausbreitung der Angriffe nicht, weil sie die Malware stets mit einer Datenbank von verfügbaren Signaturen vergleichen, die aus früheren Updates zusammengestellt wird.

CW: Könnten Cloud-basierte Datenbanken es besser machen?

Vigoroux: Cloud-basierte Datenbanken verbessern eine im Großen und Ganzen ineffektive Technologie, indem die Signaturen nun nicht mehr den ganzen Weg bis zum Endverbraucher zurücklegen müssen. Der Computer des Anwenders, auf dem die Antiviren-Software läuft, ist mit der Cloud verbunden, und reduziert so nur die Gesamtzeit, um die Signatur herauszubekommen.

CW: Viele Anbieter setzen auf einen Multi-Layer-Sicherheitsansatz. Kann eine verhaltensbasierte Technologie am Ende all diese Techniken ersetzen?

Vigoroux: Die beste Methode ist ein Multi-Layer-Ansatz, der auch heute noch zweckmäßig ist. In der Vergangenheit bedeutete dieser Ansatz, dass ein Antivirus-Programm an dem Gateway und ein weiteres auf dem Desktop liefen.

Gegenüber heutigen Webangriffen ist diese Vorgehensweise nutzlos, da man nichts anderes tut, als zwei Lösungen zu implementieren, die auf der gleichen Technologie basieren. Was Sie jedoch in Betracht ziehen sollten, ist, die verschiedenen Technologien, die Sie im Einsatz haben, zu schichten. Wie zum Beispiel mit einer Kombination aus Antiviren-Scannern – die zwar schnell und akkurat arbeiten, doch nur 40 Prozent der Angriffe abfangen – und einer neuen, proaktiven Technologie, wie die Code-Analyse in Echtzeit. Dieser Multi-Layer Ansatz ist nach wie vor angebracht, allerdings nur unter Einsatz von Technologien, die Malware auf unterschiedliche Weise erkennen.

CW: Die Anzahl von mobilen Geräten in Unternehmen nimmt zu. Wie reagieren Sie darauf?

Vigoroux: Das ist wahrscheinlich eine der größten Schwachstellen in der Sicherheitsstruktur vieler Unternehmen. Alles geht gut, sofern die Anwender in den Firmenbüros arbeiten, da sie sich hinter einer Sicherheitswand befinden. Aber was passiert, wenn dieses Unternehmen Leute beschäftigt, die um die Welt reisen oder auf öffentliche WiFi-Netzwerke zugreifen? Sobald die Geräte der mobilen Angestellten infiziert sind und die Malware ins Unternehmensnetzwerk transferieren, kann es auf das ganze Firmennetzwerk übergreifen und das Unternehmen kann in ernsthafte Schwierigkeiten geraten. M86 Security bietet eine Web-Hybridlösung an, die den Sicherheitsschutz auch auf mobile Mitarbeiter ausweitet, die sich außerhalb der Firmenbüros bewegen. Die M86 Secure Web Service Hybrid, kombiniert mit der M86 Secure Web Gateway-Lösung, basiert auf Cloud Computing. Diese Kombination stellt sicher, dass die Anwender geschützt sind – unabhängig davon, wo sie sich gerade befinden und ohne Einfluss auf die Leistungsfähigkeit.

CW: Und Smartphones?

Vigoroux: Smartphones werden immer häufiger Opfer gezielter Cyberattacken. Es gibt relativ wenige Sicherheitsanwendungen, die man momentan implementieren kann. Die Nutzer solcher Smartphones speichern immer mehr persönliche Daten auf ihren Geräte. Zudem steigt die Zahl verfügbarer Applikationen und auch Unternehmensdaten werden verstärkt abgerufen und gespeichert. Unterschiedliche Betriebssysteme haben unterschiedliche Angriffsprofile. Eine große Gefahr besteht womöglich auch bei einer sehr offenen Plattform wie Android. M86 arbeitet an einer Sicherheitslösung für diesen Bereich.

CW: Warum ist die Anzahl an Malware, die Sie erkennen können, denn so viel größer als die anderer Anbieter?

Vigoroux: Andere Anbieter versuchen, das Problem mit Hilfe der Erkennung aller bösartigen Applikationen oder der Analyse des Netzwerkverkehrszu lösen. So funktionieren Antiviren-Scanner und IDS/IPS-Lösungen. Allerdings ist das reine Volumen an bösartigen Angriffen außer Kontrolle geraten. Ein weiterer Ansatz versucht, die zulässigen Applikationen und den ungefährlichen Datenverkehr zu identifizieren. Doch auch mit dieser Methode ergibt sich eine schier endlose Liste. Das kann sich negativ auf die Geschäftsprozesse auswirken.

Was M86 macht, ist anders. Wir inspizieren zu 100 Prozent den Webinhalt, den unsere Nutzer herunter- oder hochladen wollen (92 Prozent aller Malware-Infektionen innerhalb eines Unternehmens stammen aus dem Web). Wir analysieren dann die Absicht bei der Ausführung des Webcodes und finden so heraus, was das Ziel ist. Für die zahlreichen Muster von Malware da draußen existiert eine überschaubare Auswahl an Methoden, mit denen man PC-Arbeitsplätze infizieren und kompromittieren kann. Auf diese Auswahl konzentrieren wir uns. Deshalb sind wir auch so effektiv im Erkennen neuer dynamisch-infizierender Inhalte und Zero-Day-Attacken.

Security-Checkliste: Smartphone im Business
Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten.

Punkt 1:
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen

Punkt 2:
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.

Punkt 3:
Sichere Konfiguration der Endgeräte berücksichtigen.

Punkt 4:
Sichere Integration in Unternehmens-IT umsetzen.

Punkt 5:
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden

Punkt 6:
Benutzerrichtlinien für den Umgang mit Endgeräten definieren.

Lösungen für schmale Budgets

CW: Herr Thalmeier, verhaltensbasierte Erkennung verspricht also große Vorteile gegenüber herkömmlicher signaturbasierter Erkennung. Erfordert es für IT-Verantwortliche nicht sehr viel Mut, von ihrem vertrauten Konzept abzuweichen?

Thalmeier: Ja, in der Tat. Wenn der Fokus für die IT allerdings Security und der Schutz des Unternehmens sowie der Anwender ist, dann werden sie neue Wege gehen müssen. Die Formen der Bedrohungen verändern sich fortwährend, daher müssen IT-Verantwortliche auch Lösungen einsetzten, die mit der Evolution der Malware mithalten können, beziehungsweise im besten Fall sogar einen Schritt voraus sind. Unternehmen müssen optimale Strategien und Verhaltensregeln definieren, um die entstehenden Sicherheitsrisiken proaktiv zu bekämpfen.

CW: Was passiert, wenn sich ein Virus in bisher nicht gekannter Weise verhält?

Thalmeier: Aufgrund der verhaltensbasierenden Technologie ist M86 in der Lage, auch neue Verhaltensmuster zu erkennen und zu blocken. Zudem erhalten wir ständig aktualisierte Daten über neue Bedrohungen von unseren Security Labs.

CW: Kleine und mittlere Unternehmen haben oft schmale Security-Budgets. Welche Lösung können Sie diesen anbieten?

Thalmeier: Unser Produktportfolio besteht aus Hardware, Virtual Appliances, Software und Cloud-basierten Lösungen. Diese umfangreiche Palette bietet somit auch Sicherheitslösungen für kleine und mittlere Unternehmen. Unser SWG ist als Hardware sowie als VMWare basierende Virtual Appliance verfügbar, welche die Hardwarekosten senkt.

Des Weiteren bieten wir eine SMB Security Suite an. Die neue Suite besteht aus unseren Software-basierenden Produkten M86 MailMarshal Secure Email Gateway (SEG), M86 WebMarshal, M86 Filter List und M86 Marshal Reporting Console (MRC). Zudem können die Nutzer unter verschiedenen Virenschutz-Modulen wählen.

CW: Sie bieten auch eine Lösung an, die komplett ohne Hardware auskommt. Welche ist das und wie funktioniert sie?

Thalmeier: Unser SWG ist auch als VMWare basierende Virtual Appliance verfügbar. Unsere Lösung für die Malware-Erkennung in Echtzeit kann somit als Appliance oder Virtual Appliance eingerichtet werden. Die Kunden sind jetzt in der Lage, das SWG auf ihrer eigenen VMWare Hardware zu installieren.