Foto: Michael Hirschka/Pixelio

Antimalware-Lösungen

Nutzen oder Nichtsnutz?

Ein Test von aktuellen Antimalware-Lösungen sollte zeigen, welche Erkennungsraten erzielt werden, wenn man die traditionelle signaturbasierte Erkennung eliminiert. Stattdessen warfen die Ergebnisse die Frage auf, ob Antimalware-Lösungen heute überhaupt noch nützlich sind.

Der klassische Ansatz von Antimalware-Lösungen ist seit jeher in fünf Schritte gegliedert. Erstens: Analysieren einer bisher unbekannten Malware. Zweitens: Finden einer charakteristischen Sequenz oder Erzeugen eines Hashwerts der Malware-Datei. Drittens: Hinterlegen dieser Sequenz/dieses Hashwerts in der Datenbank der Antimalware- Lösung. Viertens: Suchen in Dateien nach dieser Sequenz. Fünftens: Einleiten von Gegenmaßnahmen, sobald diese Sequenz entdeckt wird. Auch moderne Antimalware-Lösungen basieren in der Regel heute noch auf signaturbasierten Erkennungsverfahren auf. Eliminiert man nun die Möglichkeit von signaturbasierten Erkennungsverfahren, etwa in dem man sogenannte Zero-Day-Malware verwendet und zeitgleich die Signatur-Updates unterbindet, kann man die weiteren Erkennungsmethoden von Antimalware- Lösungen überprüfen, so wie es Consecur in einem intensiven Test getan hat.

Heuristische Erkennungsverfahren

Die am weitesten verbreitete Methode zur Erkennung unbekannter Malware ist die „Heuristik“. Nahezu jeder Hersteller von Antimalware-Lösungen benennt heuristische Verfahren als wirksamen Schutz gegen die sogenannte Zero-Day-Malware. In diesem Zusammenhang bedeutet Heuristik, dass aus gegebenen Indikatoren geschätzt wird, ob es sich um schadhafte Software handeln könnte. Beispiele sind etwa, dass die Software versucht, Zugriff zum Betriebssystem-Kernel zu erhalten oder sich im Datenheader Verweise auf unerwartete Stellen befinden. Je mehr solcher für Malware charakteristischen Attribute gefunden werden, desto höher ist die Wahrscheinlichkeit, dass es sich tatsächlich um Malware handelt. Consecur hat vier verschiedene Marktführer-Lösungen mit 30 unterschiedlichen Malware-Beispielen getestet.

Im Ergebnis hat keine Lösung alle 30 Beispiele ohne Signaturen erkannt, lediglich ein Hersteller konnte bis zu 93 Prozent erreichen. Zwei der Hersteller konnten fast ein Drittel der Malware, deren Auswirkungen wie bei „WannaCry“ dramatisch für die Sicherheit von Unternehmen sein kann, nicht detektieren. Die Ursache für die teilweise relativ geringe Rate liegt häufig tief im System selber. In der Softwareentwicklung ist es gängige Praxis, ausführbare Dateien zu komprimieren, was dazu führt, dass Antimalware-Lösungen solche Dateien erst entpacken müssen, bevor sie untersucht werden können. Dieses Problem wird in der Regel auf zwei Arten gelöst: Für gängige Komprimierungsverfahren entwickeln Hersteller dedizierte Entpacker, die die Komprimierung rückgängig machen. Entwickler von Malware sind sich dieser Tatsache bewusst und setzen vermehrt auf individuelle Komprimierungsverfahren, auf welche Hersteller mit Emulationen antworten. Beide Jobs, die Entwicklung von Entpackern und von Emulationsverfahren sind aufgrund ihrer Komplexität schwierig umzusetzen. Rechnet man den Kosten- und Zeitdruck, welche auf der Herstellerseite allgegenwärtig sind, hinzu, ist es nicht weiter wunderlich, dass das Konzept Security-by-Design in Sicherheitssoftware nicht in dem Maße berücksichtigt werden kann, wie man es vermuten würde. Das Resultat dieser Umstände sind Antimalware-Lösungen, die zum einen Schwächen in Erkennungsverfahren aufweisen und zum anderen für eine gefühlte Sicherheit sorgen, während sie tatsächlich weitere Vektoren für Angreifer öffnen. Im Juni 2016 untersuchte das Google Project Zero Antimalware-Lösungen und fand teils erschreckende Schwachstellen in der Software von namhaften Herstellern.

Veränderte Methoden

Es kommt erschwerend hinzu, dass das Konzept der „Endpoint-Protection“ aufgrund ihrer Funktionsweise andere Sicherheitskonzepte, wie zum Beispiel Ende-zu-Ende- Verschlüsselung, unter Umständen untergräbt. Bei der Endpoint Protection fungiert der Client als TLS-Proxy zwischen dem Browser und dem Webserver, um auch verschlüsselte Daten untersuchen zu können. Noch vor wenigen Jahren konnten dank Antimalware-Lösungen noch etwa 70 bis 80 Prozent der Cybersicherheitsvorfälle aufgedeckt beziehungsweise verhindert werden. Seit dieser Zeit haben sich Methoden, Techniken und Taktiken von Angreifern massiv verändert, die Funktionsweisen von Antimalware-Lösungen jedoch kaum. In einer zunehmend digitalisierten Welt sind nicht mehr Computersysteme das erste Angriffsziel, sondern der Faktor Mensch, der aus Sicht des Angreifers mit wesentlich weniger Aufwand zu „hacken“ ist. An dieser Stelle hilft aber keine Sicherheitssoftware der Welt. Rein funktional betrachtet sind Antimalware-Lösungen aber auch in der heutigen Zeit nicht wirklich nutzlos. Durch die Kombination von unterschiedlichen Erkennungsverfahren werden noch immer einige Cybersicherheitsvorfälle verhindert, wenn auch zu einem wesentlich geringeren Anteil. Des Weiteren bedeutet eine erkannte Malware nicht gleichzeitig auch, dass diese Infektion durch die Antimalware-Lösung bereinigt werden konnte. Das wirft die Frage nach dem Verhältnis von Kosten zu Nutzen auf. Erst recht, wenn man sich vor Augen führt, dass auch eine durch die Lösung erkannte Malware nicht zwangsläufig zur Bereinigung derselben führt. Mal werden sie in die Quarantäne verschoben, ein anderes mal passiert einfach nichts. Ersteres geschieht dann, wenn sich die Antimalware-Lösung nicht einhundertprozentig sicher ist, ob es sich um eine Malware handelt und letzteres, wenn die Lösung nicht tief genug in das System eingreifen kann, um die Malware entweder zu entfernen oder in Quarantäne zu schieben.

Monitoring gefragt

Es liegt auf der Hand, dass gerade solche Informationen für operative Sicherheitsteams wertvoller sind, als Antivirus-Meldungen von entfernten Malware-Infektionen. Um solche Informationen zu sammeln, auswerten und darauf reagieren zu können bieten sich Monitoring-Systeme an. Viele der modernen Lösungen bieten bereits eine Art zentrale Management-Einheit an, mit der nicht nur die Vielzahl an Antimalware-Clients verwaltet werden können, sondern die auch die Meldungen der einzelnen Clients zentralisiert anzeigen. Dieses Feature bieten natürlich auch Hersteller anderer Sicherheitslösungen an, wie zum Beispiel von Intrusion-Detection-Systemen, so dass man nicht den Fehler begehen sollte, Sicherheitsteams mehrere Managementkonsolen beobachten zu lassen. In einem solchen Fall bieten sich Security Information & Event Management (SIEM)-Lösungen zur effizienteren Abwehr von Cyber-Angriffen an.