Wie zahlreiche Tests des IT-Security-Dienstleisters ergeben haben, können Antiviren-Lösungen (AV) aufgrund der hohen Fehleranfälligkeit ihrer Parsing-Engines das Einschleusen und Ausführen von Schadcode ermöglichen (siehe Virenscanner öffnen Hackern die Türen). Als besonders kritisch bewerten die Sicherheitsexperten die Schwäche der AV-Programme nicht zuletzt, weil Virenscanner mittlerweile nahezu an allen zentralen Schaltstellen – häufig auch im Verbund mit mehreren Engines - im Firmennetz laufen, wo die kritischsten Unternehmensdaten gespeichert und verarbeitet werden.

Für die AV-Hersteller sei es sowohl technisch als auch betriebswirtschaftlich kaum möglich, das Problem ganz zu beheben, statuiert n.runs. Zwar ließen sich einzelne, gemeldete Sicherheitslücken in den jeweiligen Lösungen abdichten, nicht aber die inhärente grundsätzliche Parsing-Problematik der AV-Produkte beheben, so die Argumentation des primär auf Consulting in den Bereichen Security und Netzinfrastruktur spezialisierten Unternehmens. Da das Parsing als Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge jedoch unverzichtbar ist, sah n.runs nur eine Möglichkeit: Eine weiterhin hohe Virenerkennungsrate durch parsende AV-Systeme, eingebettet in eine sichere Architektur, die unter anderem erfolgreiche Angriffe auf die gesamte AV- und Mail-Infrastruktur verhindert. Ziel sei daher eine Lösung gewesen, die unter Einbindung der beim Anwenderunternehmen etablierten AV-Hersteller als Technikpartner hohe Sicherheit und Verfügbarkeit sowie Investitionsschutz gewährleiste, indem die bestehenden Virenschutzlösungen weitergenutzt werden können.

Genau dies soll das "Application Protection System – Antivirus" (aps-AV) ermöglichen, mit dem der in Oberursel ansässige IT-Dienstleister sein Debüt als Lösungsanbieter gibt. "Die langjährigen Erfahrungen aus unserem Consulting-Geschäft haben eine zielorientierte Umsetzung von aps-AV möglich gemacht", kommentiert Andreas Bruns, Gründer und Vorstandsvorsitzender der n.runs AG, die Markteinführung der Lösung.

Bei dem Produkt handelt es sich um eine speziell für die Absicherung von AV-Programmen in Unternehmen konzipierte Three-Tier-Hochsicherheitsarchitektur, die laut Anbieter mit ihren Kontroll-, Abschottungs- und Vernichtungsmechanismen einem BSL-Klasse-4-Virenlabor (Biosafety Level) nachempfunden ist. Mit aps-AV wendet sich n.runs insbesondere an Großunternehmen und regierungsnahe Organisationen, aber auch an Firmen mit hohen Sicherheitsanforderungen, die sich gegen Industrie- und Wirtschaftsspionage schützen wollen.

Die modular skalierbare und kundenspezifisch erweiterbare Lösung besteht aus drei Teilen: Die I/O-Frontend-Komponente generiert Aufträge für das Middle-Tier, die "Distribution Engine", die nach zuvor definierten Regeln die für den jeweiligen Scan-Vorgang zuständige AV-Engine beziehungsweise -Engines (bei Mehrfach-Scanning) bestimmt. Neben dem Scheduling und Spooling ist diese aps-AV-Komponente für die Überwachung und Steuerung des abgeschotteten "Execution Environment" verantwortlich.

Sicherheit durch "No-Parsing"

Dabei werden die potenziell bösartigen Daten nicht inspiziert oder interpretiert (geparst), bevor sie in die abgesicherte Ausführungsumgebung gelangen. "Auf diese Weise sind erfolgreiche Parsing-spezifische Angriffe nicht möglich", erklärt Thierry Zoller, Senior Security Engineer bei n.runs. Erst im Execution Environment, das über ein gehärtetes Hochsicherheits-Betriebssystem, aber keinerlei Netzschnittstellen verfügt, kommen demnach die verwundbaren AV-Engines zum Zug und scannen den Mail-Anhang auf Schadcode. "Wird dort bei der Untersuchung eine Anomalie festgestellt, wird die abgeschottete Umgebung samt Betriebssystem komplett gelöscht und der Vorgang als Angriff auf das AV-Produkt markiert", so der Security-Experte. Die Distribution Engine gibt dem Mail-Server dann entweder grünes Licht oder veranlasst das Blockieren der E-Mail. Darüber hinaus wird der Vorgang zentral geloggt und gemeldet.

Um Angriffe auf aps-AV selbst zu verhindern, wurde die Lösung in vollständig überprüfbarem typisiertem C# entwickelt. Zudem, so der Anbieter, seien alle Prozesse innerhalb der Three-Tier-Architektur gegeneinander in beide Richtungen authentifiziert und die Kommunikation zwischen den drei Kernkomponenten durch Signaturen und ein spezielles Mehrwegeprotokoll abgesichert.

Laut n.runs bietet aps-AV nicht nur Schutz vor unbekannten Attacken (Zero-Day) auf die AV-Infrastruktur, sondern ermöglicht sicheres, beliebig skalierbares Mehrfach-Scanning und damit höhere Malware-Erkennungsraten, ohne dadurch - wie bisher beim Einsatz mehrerer hintereinandergeschalteter Virenschutzsysteme - die Angriffsfläche zu vergrößern. Als weitere Vorteile seiner Lösung hebt der Anbieter deren Aktualisierung im laufenden Betrieb sowie einfache Überwachung durch zentralisiertes Logging hervor. Die Lizenz-basierende Sicherheitslösung ist ab sofort verfügbar. (kf)