Spyware hat sich in den vergangenen Monaten zu einem Topthema im Bereich IT-Sicherheit entwickelt. Das hat auch die Softwareindustrie erkannt: Bislang orientierten sich die Hersteller von Anti-Spyware-Tools vor allem am Bedarf der Heimanwender. Doch fast alle namhaften Anbieter versuchen inzwischen, mit Spyware-Schutz in die großen Unternehmen zu gelangen - und finden hier offene Türen: Laut einer aktuellen Studie von Forrester Research steht bei 55 Prozent der IT-Entscheider Schutz vor Spionagesoftware ganz oben auf der Prioritätenliste, 53 Prozent gaben an, in Anti-Spyware-Produkte investieren zu wollen. Dass jedoch nahezu die Hälfte der Befragten nicht plant, hierfür Geld auszugeben, mag daran liegen, dass die angebotenen Lösungen noch nicht hinreichend ausgereift sind, um im Firmeneinsatz ein optimales Ergebnis zu erzielen: Sie können nur einen Teil der notwendigen, vor allem in großen Infrastrukturen geforderten Aufgaben erfüllen.

Unübersichtlicher Markt

Zudem ist der noch junge Markt für Spyware-Schutz auf Enterprise-Niveau sehr uneinheitlich. Hier tummeln sich viele Spezialisten, die sich ausschließlich dem Aufspüren und Entfernen von Spyware am Client widmen. Darüber hinaus versuchen Virenschutz-Anbieter wie Symantec oder Trend Micro, den Markt für sich zu gewinnen. Auch erweitern die Hersteller von URL-Filtern ihre Produkte zunehmend um Anti-Spyware-Fähigkeiten.

Zu den bekannteren Spezialanbietern gehört das Unternehmen Webroot, das für Firmen "Spy Sweeper Enterprise" offeriert. Wie ein Virenscanner arbeitet die Client-Komponente auf Basis stets aktualisierter Signaturen. Die Lösung kann in Echtzeit nach Schnüffelsoftware suchen: Speicher, Registry oder Dateisystem werden fortlaufend überwacht, erkannte Schädlinge isoliert und der Administrator benachrichtigt. Das Produkt bietet ein zentrales Management und umfassende Möglichkeiten, die IT-Abteilung über den aktuellen Stand der Clients auf dem Laufenden zu halten.

Vom Endkunden ins Unternehmen

Wichtig im Unternehmenseinsatz ist das Reporting. Schließlich müssen die Administratoren wissen, ob Scans wie geplant erfolgten und welche Ergebnisse sie brachten. Hier liegt eine Stärke von Spy Sweeper Enterprise, das im Gegensatz zu vielen anderen Lösungen Reporting ermöglicht. Allerdings liefert der Hersteller nur wenige vordefinierte Berichte mit.

Vor allem im Endkundenbereich sehr bekannt ist "Ad-Aware" von Lavasoft. Auch dieser Hersteller bietet eine Unternehmenslösung an, die aus der "Professional"-Version der Client-Komponente und der "Ad-Axis" Management-Konsole besteht. Allerdings scheint die Lavasoft-Lösung noch nicht ganz ausgereift zu sein. So fehlt ihr laut Gerhard Langer, Consulting Engineer des IT-Security-Dienstleisters Ampeg GmbH aus Bremen, etwa die Möglichkeit, das Produkt für das Deployment in bestehende Active-Directory-Infrastrukturen zu integrieren. Auch sind Logs und Reporting nur in der Ad-Axis-Konsole möglich. Positiv sind dagegen die einfache Installation sowie das übersichtliche Browser-Interface. Für große Client-Landschaften ist Ad-Aware dem Ampeg-Berater zufolge aufgrund der genannten Schwächen jedoch nur bedingt geeignet.

Unbekannte Spione identifizieren

Einen interessanten Ansatz verfolgt der Anbieter Tenebril. Dessen "Spy Catcher Enterprise" arbeitet nicht nur auf der Basis von Signaturen, sondern berücksichtigt auch das Verhalten und den Kontext unbekannter Anwendungen. Dazu gehört etwa das Starten des Internet-Browsers durch eine andere Applikation. Diese als "Spyware Profiling Engine" bezeichnete Technik soll es ermöglichen, auch unbekannte Schnüffelprogramme aufzufinden und zu isolieren. Um das Einnisten von Spyware von vornherein zu verhindern, verfügt der Spy Catcher über einen Echtzeitschutz, der die Installation unterbindet. Allerdings bringt dieser in Realtime ein grundsätzliches Problem mit sich: Im Gegensatz zum Virenschutz sind bei der Spyware-Abwehr viele Systemparameter zu beobachten wie etwa Registry, Autostart-Einträge oder das Dateisystem. Echtzeit-Scans erzeugen dadurch häufig eine hohe Systemlast.

Gateway-Lösung

Etwas fortgeschrittener als bei den Spyware-Spezialisten ist der Ansatz, den Surf Control, traditionell ein Anbieter von URL-Filtern, mit seinem "Enterprise Threat Shield" verfolgt. Die Lösung kann Anwendungen aller Art erkennen und ist durch ihre vollkommen andere Arbeitsweise kaum mit den spezialisierten Spyware-Scannern vergleichbar. So lassen sich neben Schnüffelprogrammen auch Tauschbörsen-Software oder Spiele von den Rechnern fernhalten sowie Musik- und Videodateien beschränken. Hierbei arbeitet Enterprise Threat Shield mit vier verschiedenen Datenbanken für diverse Softwarekategorien. Individuelle Datenbanken lassen sich zusätzlich aufbauen. Das Produkt ist laut Hersteller sowohl in Active Directory als auch in Novells Verzeichnisdienst eDirectory einzubinden. Der Client läuft für den Anwender unsichtbar im Hintergrund und kann von diesem nicht beendet werden - ein Vorteil, falls ein Schädling versucht, den Schutzmechanismus am PC zu deaktivieren. Am Server lassen sich individuelle Regeln definieren, wie sich die Lösung zu verhalten hat.

Ebenfalls aus dem URL-Filter-Bereich kommt Websense. Die "Web Security Suite" des Herstellers ist ein klassischer URL-Filter, der den Zugriff der Clients auf bestimmte Websites verhindert. Dabei kommen Black-Lists einschlägiger Seiten zum Einsatz, die Spyware verbreiten. Fast alle Anbieter von URL-Filtern haben diese Sites mittlerweile auf ihren Listen. Der Websense-Filter sitzt am Gateway, eine Client-Komponente ist daher nicht notwendig. Zusätzlich kann er den Datenverkehr einer installierten Spyware zu ihrem Ziel-Host unterbinden.

Einfachere Administration

Der Vorteil dieses Ansatzes ist, dass die Administration durch den Verzicht auf eine Client-Komponente recht einfach ist. Nachteilig wirkt sich aus, dass sich bestehende Spyware im Unternehmen nicht entfernen lässt - was zum Beispiel angesichts mobiler Clients oder USB-Sticks zum Problem werden kann. Zudem hinken die Black-Lists der Realität meist etwas hinterher, da die Verbreiter von Spyware und anderem schädlichen Code ihre Adressen im Internet häufig ändern.

Ein weiteres Websense-Produkt, der "Client Policy Manager", löst das Problem von der anderen Seite her: Hier basiert die Unterdrückung von Spyware und anderen unerwünschten Programmen auf White-Lists. Ist eine Software nicht bekannt und in einer Positivliste vermerkt, wird ihre Ausführung blockiert. Technisch ist dieses Verfahren optimal, da es ausschließlich die vom Systemverwalter freigegebenen Programme auf dem Client erlaubt. Die Implementierung der Positivlisten hingegen ist sehr komplex, da der Bedarf jedes Mitarbeiters erfasst werden muss. Praktikabel ist dieser Weg somit nur in Unternehmen mit vielen identisch konfigurierten PCs.

Viren- und Spyware-Schutz vereint

Einen anderen Weg gehen die klassischen Virenschutzanbieter wie Symantec oder Trend Micro. So hat Trend Micro den Schutz vor Spyware in seine Client-Sicherheits-Suite "Office Scan Client Edition" integriert und in die Virenschutz-Funktion eingebaut - ein sinnvoller Ansatz im Rahmen eines umfassenden Sicherheitsprodukts, da sowohl die Suche nach Viren als auch die Spyware-Jagd am Client grundsätzlich auf Basis von Signaturen erfolgt. Für Unternehmen hat dies den Vorteil, dass keine zusätzliche Client-Komponente am PC installiert werden muss und keine weitere Administrationskonsole der IT das Leben erschwert. Die Trend-Micro-Lösung kann aber noch keinen Schutz in Form eines Shields bieten - dies ist für die Folgeversion geplant. Symantec wiederum hat sich bei der Integration von Spyware-Abwehr in seinen Virenschutz von vornherein für eine Shield-Komponente entschieden.

Kein Tool bietet alles

Die sehr unterschiedlichen Ansätze und das Fehlen einer verbindlichen Definition, was Spyware genau ist, machen einen direkten Vergleich der verfügbaren Produkte schwierig. Die Leistung beim Auffinden von Spyware lässt sich kaum bewerten. Tests haben laut Ampeg-Berater Langer gezeigt, dass jedes Tool bei der Erkennung andere Ergebnisse bringt und individuelle Stärken zeigt. Gravierender für den Einsatz in Unternehmen sind aus Sicht des Consultants die Administrationsmöglichkeiten: "Es gibt meines Wissens kein Client-Tool, das sich wirklich gut zentral verwalten lässt, vor allem bei einer zentralen Administration über mehrere Standorte hinweg." Zudem hätten viele Lösungen noch Schwächen im Monitoring und Reporting. (kf)