Viel versprochen – nicht alles gehalten

Ransomware-Attacken nehmen wieder in beängstigendem Maße zu. Allein von Januar bis April 2017 hat sich die Zahl der Infektionen verdoppelt – nach einer aktuellen Untersuchung von Microsoft von rund 100.000 auf mehr als 200.000 Attacken. Vor allem das Business-Modell Ransomware-asa-Service, das aktuelle Schadsoftware im Darknet verfügbar macht, hat sich als sehr „erfolgreich“ erwiesen. Dass mit herkömmlichen Sicherheitsmaßnahmen der wachsenden Cybergefahr nicht mehr beizukommen ist, hat vor einem Jahr „WannaCry“ bewiesen. Diese Erkenntnis hat sich inzwischen in der Sicherheitsbranche auch weitgehend durchgesetzt – abgesehen vielleicht von einigen Herstellern klassischer Antivirus-Lösungen. Weder mit Intrusion-Prevention-Systemen noch mit Antiviren-Software oder Next-Generation-Firewalls können neue Zero-Day-Attacken, Advanced Persistent Threats oder immer raffiniertere Ransomware-Trojaner zuverlässig aufgespürt werden. Der Grund: Diese Lösungen sind auf die Erkennung von Schadsoftware angewiesen und bei bisher unbekannter, neuer Malware stoßen sie an ihre Grenzen.

Unternehmen und auch Behörden setzen deshalb verstärkt zusätzliche Sicherheitsgateways ein, die vor allem den zentralen Angriffsvektor Browser schützen. En vogue sind dabei Remote-Controlled-Browser- Systeme („ReCoBS“). Charakterisiert sind sie durch den Aufbau einer Terminalserver-Umgebung. Der Webzugang erfolgt ausschließlich über Browser auf den Terminalservern, wodurch die Client-PCs geschützt werden sollen. Bis zu einem gewissen Grad sind solche Client-Server-Modelle erfolgreich, ihre Nachteile liegen aber auf der Hand. Erstens sind erfolgreiche Angriffe auf „ReCoBS“- Server nicht gänzlich auszuschließen, zweitens sind die Lösungen mit hohen Kosten verbunden, sowohl hinsichtlich des Hardware-Bedarfs für die Terminalserver als auch bezüglich der Betriebskosten, und drittens beeinträchtigen sie die Performance durch den erhöhten Bandbreitenbedarf für die Kommunikation zwischen Servern und Clients. Wie bei allen Client- Server-Architekturen kann eine Reduzierung des Nutzerkomforts die Folge sein. Noch keine größere Rolle im Umfeld von Secure-Browsing spielen zur Zeit Cloud-basierte Lösungen. Mit ihnen soll auf Basis von Container-Isolierung ebenfalls verhindert werden, dass Malware den Endpunkt erreicht. Für viele Unternehmen sind Cloud-Security-Lösungen aber aufgrund vorhandener Compliance-Vorgaben und interner Richtlinien kein gangbarer Weg für die Sicherung von Endpunkten.

Die Browser-Isolation steht auch bei einigen Lösungsansätzen im Vordergrund, die auf Virtualisierung basieren. Zu nennen ist etwa Software, die eine virtuelle „Surf umgebung“ mit getrenntem Webbrowser installiert. Ein zentrales Problem dabei ist, dass es sich um eine reine Softwarelösung mit den immer damit einhergehenden Sicherheitsgefahren handelt. Nachteil sind auch hier die Performance-Einbußen und verringerte Benutzerfreundlichkeit, da keine Standard-, sondern dedizierte Browser verwendet werden. Virtualisierung ist allerdings ein Lösungsweg, den im Hinblick auf IT-Sicherheit momentan viele Software-Hersteller einschlagen, so auch Microsoft. So soll künftig die Option bestehen, den Browser Edge in einer eigenen virtuellen Maschine auszuführen. Zwei generelle Mankos kennzeichnen aber alle angeführten Lösungen. Zum einen ist es der Funktionsumfang. Sie beziehen sich rein auf das Thema Internet- Browsing und ignorieren damit andere Sicherheitsgefahren für den Endpunkt wie E-Mails oder USB-Speichermedien. Zum anderen eint diese Lösungen ein weiterer gravierender Nachteil. Wird etwa ein aus dem Internet geladenes und zunächst isoliertes File dann doch in der Produktiv umgebung benötigt, muss es analysiert werden. Und hier sind solche Ansätze wiederum auf die Detektionsmöglichkeiten klassischer Antiviren-Lösungen mit den damit verbundenen Unzulänglichkeiten angewiesen.

Prinzipiell zeichnet sich aber ab, dass in der IT-Sicherheit die Virtualisierung zunehmend an Gewicht gewinnen wird, das heißt die Isolation endpunktbezogener Risiken mittels Virtualisierung. Auch Bromium geht mit seiner Lösung Secure Platform den Virtualisierungsweg, allerdings einige entscheidende Schritte weiter. Zentrales Merkmal der Lösung ist die Hardwareisolierte Micro-Virtualisierung. Sie basiert auf dem Bromium Microvisor, einem speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Eine hohe Sicherheit ist gerade durch die Hardware-Virtualisierung gewährleistet, denn eine CPU-Kompromittierung wäre für einen potenziellen Angreifer mit einem beträchtlichen Aufwand verbunden.

Bei der Bromium-Lösung werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Im Unterschied zu Secure-Browsing- Lösungen zielt die Bromium-Lösung nicht nur auf den Browser als Sicherheitsschwachstelle ab, vielmehr können damit alle potenziell gefährlichen Aktivitäten gekapselt werden, also nicht nur das Aufrufen einer Webseite, sondern auch das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums. Eine Kompromittierung des Endpunkts und letztlich des Unternehmensnetzes über einen dieser Angriffswege ist damit gänzlich ausgeschlossen. Generell zeigt sich, dass bei den erfolgversprechendsten Ansätzen in der Endpunktsicherheit nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund steht, sondern die Isolation, dass heißt ein gezielter Schutz vor Malware, ohne dass sie zwingend als solche erkannt werden muss. Dies markiert einen neuen Meilenstein in der IT- Sicherheit. Cyber-Angriffe – wie neu oder „sophisticated“ sie auch immer sein mögen – laufen damit unweigerlich ins Leere.

Jochen Koehler ist Regional Director DACH bei Bromium