Abwehr auf der ersten Angriffsebene

Warum Unternehmen weiter Antiviren-Software brauchen

04.05.2018
Von 


Maria Korolov berichtet seit über zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.
Welche Antivirensoftware ist für Unternehmen am besten? Kaspersky konnte sich in den jüngsten Tests durchsetzen, auch Symantec und Trend Micro sind vorne mit dabei. Aber vielleicht ist eine andere Frage wichtiger: Was bringt ein signaturbasierter Virenschutz überhaupt noch, wenn ihn Ransomware und andere Bedrohungen immer häufiger durchdringen?

Das AV-TEST Institute testete kürzlich die beliebtesten Antivirus-Produkte für Windows-10-Clients anhand von drei Hauptkriterien: Schutz, Performance und Benutzerfreundlichkeit. Die Kaspersky-Produkte "Endpoint Security 10.3", "Small Office Security 5" sowie "Endpoint Protection 14.0" belegten Spitzenplätze, ebenso "Endpoint Protection Cloud 22.11" von Symantec und "Office Scan 12" von Trend Micro.

Gegen Ransomware hilft Antivirensoftware nicht. Aber sie filtert bekannte Malware aller Art und entlastet somit tiefergehende Sicherheitslösungen, die sich der neuen, unbekannten Bedrohungen annehmen.
Gegen Ransomware hilft Antivirensoftware nicht. Aber sie filtert bekannte Malware aller Art und entlastet somit tiefergehende Sicherheitslösungen, die sich der neuen, unbekannten Bedrohungen annehmen.
Foto: supimol kumying - shutterstock.com

Die genannten Lösungen haben sich auch deshalb im Wettbewerb behauptet, weil Antivirus hier nur noch ein Bestandteil in einem ganzen Paket von Endpoint-Security-Lösungen darstellt. Damit sind diese Pakete auch in der Lage, Schutz vor Zero-Day-Malware oder Ransomware zu bieten, was klassische Virenscanner allein nicht vermögen. Generell bleiben aber Antivirenprodukte - ob in solchen Paketen oder Stand-alone - eine wichtige erste Verteidigungsebene. Sie stoppen das Gros der Malware-Attacken und entlasten so die zusätzlich benötigten Endpoint-Sicherheitslösungen.

Viele Security-Profis halten nichts von Antivirensoftware

Eine Umfrage unter den Teilnehmern der diesjährigen Black-Hat-Konferenz zeigte, dass fast drei Viertel (73 Prozent) herkömmliche Antivirenprogramme für irrelevant oder veraltet halten. "Die Blockier- und Schutzfunktionen von Antivirenprogrammen werden als immer weniger tauglich wahrgenommen", sagt Mike Spanbauer, Vice President of Strategy and Research bei NSS Labs, Inc.

Neuere Forschungsergebnisse unterstützen diesen Standpunkt. Im Dezember 2017 veröffentlichte das Sicherheitsunternehmen WatchGuard Technologies Testergebnisse zum traditionellen Virenschutz. Sie hatten verglichen, wie ein führendes traditionelles Antivirenprodukt bei der Erkennung von Zero-Day-Bedrohungen abschneidet und wie gut sich dagegen eine Kombination aus Antivirensoftware und einem Endpoint-Security-Produkt der nächsten Generation schlägt. Es zeigte sich, dass das herkömmliche Antivirenprogramm 9.861.318 Malware-Varianten abfing, aber 3.074.534 andere Varianten durchließ, die dann aber von der Next-Generation-Plattform mit verhaltensbasiertem Ansatz erfasst wurden.

Das traditionelle Virenschutzprodukt in diesem Test stammte von AVG Technologies, einem anerkannten Produkt. In einem Ende 2017 von AV Comparatives veröffentlichten Bericht hatte AVG sehr gut abgeschnitten, es gehört zu den zehn besten Produkten am Markt.

Vor allem wenn es gilt Ransomware abzufangen, eine der größten Bedrohungen für Unternehmen, ist Antivirensoftware nicht gut geeignet. In einer Umfrage unter 500 Unternehmen im März 2017 stellte der Anti-Phishing-Anbieter KnowBe4 fest, dass nur 52 Prozent der Unternehmen in der Lage waren, einen simulierten Ransomware-Angriff zu vereiteln. In allen anderen Fällen konnte die Ransomware die installierten Antivirenlösungen überwinden.

Eine neuere Bedrohung namens "Process Doppelganging" nutzt das Transaktions-Feature im NTFS-Dateisystem von Windows aus und erlaubt es der Malware, Dateien so zu verändern, dass sie für Sicherheitssoftware unsichtbar werden. Damit werden korrekte Dateiscans und auch das Handling von Transaktionen schwieriger, sagt Udi Yavo, Forscher bei enSilo, das das Process Doppelganging entdeckt hat.

"Das wichtigste Ergebnis unserer Forschung ist aber, dass eine einzige Verteidigungslinie nicht ausreicht. Manchmal ermöglichen auch schon kleinere Tricks Bypässe - selbstbei ausgereiften Produkten. Unternehmen sollten auf Lösungen umsteigen, die dateilose Angriffe blocken können und sowohl vor als auch nach der Ausführung wirksam sind", empfiehlt Yavo.

Das Problem der unsicheren Antivirensoftware verschärft sich noch einmal, wenn es sich um Schädlinge handelt, die sich besonders schnell im Unternehmen ausbreiten, und außerdem dort, wo Firmen ihre Software nicht schnell und regelmäßig genug updaten. Zudem wächst laut AV-Test die Menge an Malware exponentiell, so dass selbst, wenn ein bestimmtes Produkt eine hohe Erkennungsrate aufweist, doch immer mehr Malware durchsickern wird. Und wenn die Angreifer bemerken, dass eine bestimmte Art von Malware alle Schranken passiert, können sie schnell mehr von diesem Typ einschleusen. Solche Faktoren haben dazu beigetragen, dass die jüngste WannaCry-Ransomware mehr als 400.000 Geräte infizieren und einen Schaden von bis zu acht Milliarden Dollar anrichten konnte.

Antivirus ist auch ein Compliance-Thema

Das bedeutet nun allerdings nicht, dass herkömmliche Antivirenprogramme überflüssig geworden sind. Sie haben immer noch ihren Platz im Unternehmen, sagen Experten. Nach wie vor sei es effektiv, bekannte Bedrohungen schnell, effizient und mit minimalen menschlichen Eingriffen zu erkennen und zu blockieren. Hinzu komme, dass in manchen Branchen die Kunden einen traditionellen Virenschutz schlicht erwarteten und dieser auch Teil der Compliance-Anforderungen sei.

So muss zum Beispiel die National Mortgage Insurance Corp. im kalifornischen Emeryville auf jeden Fall auch Antivirensoftware einsetzen. "Unsere Kunden sind Banken. Sie erwarten von uns, dass wir ein traditionelles, signaturbasiertes Antivirenprogramm als Teil unserer Verteidigung nutzen", sagt Bob Vail, Direktor für Informationssicherheit des Unternehmens. Sophos, der Antivirenhersteller seiner Wahl, biete eine gute Erkennungsrate und sei einfach zu verwenden. Damit sei die Software für eine "erste Verteidigungsebene" gut geeignet, aber das sei natürlich nicht genug.

"Das Prinzip der Antivirensoftware ist, dass in der Regel nur bereits Bekanntes entdeckt wird", sagt Vail. "Jemand muss bereits infiziert und eine Signatur bereits entwickelt worden sein. Die Software schützt also vor erwartbaren Angriffen." Sein Unternehmen nutze deshalb zusätzlich eine zweite Schutzmauer gegen Malware, ein verhaltensbasiertes System von enSilo. Die beiden Produkte harmonieren laut Vail gut miteinander. "Wenn ein bekannter Virus auftritt, wird Sophos die Datei unter Quarantäne stellen, bevor sie ausgeführt werden kann. Alles was die Barriere unentdeckt überwindet wird von enSilo verfolgt. Das ist dann die klassische Verteidigung in der Tiefe."

Traditioneller Virenschutz ist also als Ergänzung zu neueren Technologien, darunter Verhaltensanalyse, Sandboxing und Machine Learning, weiter gefragt. "Die erste Verteidigungsebene wird immer eine Art signaturbasierte Verteidigung sein", meint auch Raja Patel, Vice President für Unternehmensprodukte bei McAfee. "Wenn man schon weiß, dass etwas schlecht ist, kann man es abfangen ohne einen zusätzlichen Schutz-Layer."

Ohne ein erstes signaturbasiertes Screening müssten Unternehmen viel mehr Zeit, Mühe und Geld aufwenden, um mit der schieren Menge der Bedrohungen fertig zu werden, sagt er. Wenn daher eine Bedrohung direkt am Einfallstor entdeckt und gestoppt werden könne, sei das immer noch die billigste Option. "Signaturbasierte Antivirensoftware spart menschlichen Aufwand und reduziert Fehlalarme und Zeitverzögerungen", sagt Patel.

Die Werkzeuge wachsen zusammen.

Im Markt für Sicherheitsprodukte sind diese Tatsachen akzeptiert. Das Angebot an Schutzsoftware für Unternehmen wird insgesamt reifer und vollständiger. Anbieter können zunehmend die gesamte Palette an Malware-Schutz anbieten. Gleichzeitig erweitern traditionelle Antiviren-Anbieter ihre neuesten Softwaregenerationen um moderne Endpoint-Security-Lösungen, während andererseits die Anbieter neuester Produkte auch signaturbasierten Schutz in ihre Suiten integrieren. Laut einer Umfrage des SANS-Instituts aus dem Jahr 2017 erwarten rund 95 Prozent der Befragten, dass der Virenschutz weiter Bestandteil ihrer Endpoint-Security-Lösung der nächsten Generation sein wird.

Traditionelle Antivirus-Anbieter arbeiten inzwischen häufig an Tools der nächsten Generation oder kaufen sie zu, um auch solche Angriffe abfangen zu können, die signaturbasierte Abwehrmaßnahmen passieren. "Antivirus würde aussterben, wenn sich die Anbieter nicht weiterentwickelten", meint Luis Corrons, Technical Director bei Panda Security, einem traditionellen Antivirus-Anbieter. Panda sei schon seit Jahren im Bereich der verhaltensbasierten Malware-Erkennung tätig, aber auch das reiche nicht aus. Oft würden Angriffe gar nicht durch bösartige Software ausgelöst.

"Ein traditioneller Virenschutz ist gegen solche Attacken nutzlos, da keine Malware im Spiel ist", sagt Corrons. Beispielsweise könnten Angreifer Lücken in eingesetzter Altsoftware nutzen. Das Unternehmen hat deshalb kürzlich Tools in sein Portfolio aufgenommen, die das Verhalten aller aktiven Anwendungen im Unternehmen monitoren. "Damit haben wir volle Transparenz darüber, was in unserem Netzwerk passiert", sagt Corrons.

Auch McAfee hat neue Schutz-Layer hinzugefügt, sagt Vice-President Patel. "Signaturbasierte Abwehrmaßnahmen schützen ja nicht für den Zeitraum zwischen der ersten Infektion und dem Einsatz der entsprechenden Signaturen", sagt er. Mit zwei neuen Schutzfunktionen wolle McAfee dem begegnen: mit maschinellem Lernen und der dynamischen Separierung auffälliger Anwendungen.

Vor allem Kleinbetriebe verlassen sich auf Antivirus

Die hohe Rate der Ransomware-Infektionen zeigen, dass es vielen Unternehmen noch immer an einem ausreichenden Endgeräteschutz mangelt. IBM will in einer Umfrage herausgefunden haben, dass 2016 fast die Hälfte aller Unternehmen Opfer von Lösegelderpressern wurden und dass zwei von drei Opfern auch zahlten. Auch kleine Unternehmen sind betroffen, und oft nehmen sie den Schutz von Endgeräten nicht so ernst wie große Konzerne. Eine Umfrage des Ponemon-Instituts aus dem Jahr 2017 ergab, dass 51 Prozent der kleinen und mittleren Unternehmen einen Lösegeldangriff erlebt haben.

Laut einem Bericht des Endpoint-Security-Spezialisten VIPRE Security vom Mai 2017 geben 48 Prozent der IT-Manager aus kleinen und mittleren Unternehmen an, ein Unternehmen ihrer Größe benötige keine erweiterten Malware-Abwehrfunktionen. Das sei falsch gedacht, warnt Spanbauer von NSS Labs. Es gibt heute viele gute Optionen auf dem Markt und durchaus attraktive Preise. Kein Unternehmen müsse nurmehr signaturbasierte Antivirensoftware verwenden und sonst nichts.

"Es gibt weder ein Preis- noch ein Sicherheitsargument, die heute noch traditionelle Antivirenprogramme zur ersten Wahl oder zur bevorzugten Empfehlung für eine bestimmte Umgebung machen", so Spanbauer. Umfassender Schutz sei leichter zu finden als je zuvor, da selbst Einsteigerprodukte fortschrittliche Kontrollfunktionen anböten, fügt er hinzu. Aber ein reines Antivirenprodukt zu finden, das ausreichend Schutz biete, sei nahezu unmöglich. (hv)