Die Bromium-Lösung kapselt alle Anwenderaktivitäten in eigenen Micro-VMs und macht Schadsoftware unwirksam.
Foto: Bromium

IT-Sicherheit

Wie Schadsoftware wirkungslos wird

Unternehmen werden zunehmend Opfer von Schadsoftware, der klassische IT-Sicherheitstechnik oft nicht mehr gewachsen ist. Neue Lösungen sind gefragt.

Gefälschte E-Mails kursieren in immer größerem Umfang, es vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Aktuell macht etwa die E-Mail-Spam-Kampagne mit dem Onlinebanking-Trojaner Emotet von sich reden. Er infiziert E-Mail-Postfächer und Rechner und kann gesamte Netzwerke lahmlegen. Auch Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt momentan im Trend und stellt eine große Gefahr für jedes Sicherheitssystem dar.

Vor allem aber stellt Unternehmen wie Behörden das sichere Downloaden und Öffnen von Dokumenten aus unbekannten Quellen zunehmend vor ein großes Problem. Aus dem Arbeitsalltag vieler Mitarbeiter ist das Downloaden von Dateien nicht wegzudenken.

Dabei besteht aber immer die Gefahr, Opfer von Malware zu werden: sei es durch das Klicken auf Weblinks, durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffswege der Hacker sind dabei äußerst vielfältig, zu den aktuellen Varianten zählen etwa Fake-Updates, URL-Weiterleitungen, DNS-Manipulationen, fingierte Treiber und Systemtools oder Watering-Hole Attacks („Wasserloch-Attacken“).

Firewalls, Filter und Antivirenprogramme stoßen an ihre Grenzen

Ein Ding der Unmöglichkeit ist, den durch E-Mails und Downloads bestehenden Gefahren mit klassischen Sicherheitslösungen wie Firewalls, Web- und E-Mail-Filter oder Antiviren (AV)-Programmen erfolgreich zu begegnen. Ihr Problem besteht darin, dass sie unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden auf die Malware-Erkennung angewiesen sind.

Bisher unbekannte Schadsoftware wie einen neuen Virus in einem E-Mail-Anhang können sie mit solchen Verfahren kaum aufspüren. Selbst wenn Lösungen wie die Next-Generation-AV-Produkte eine Erkennungsrate von 99 Prozent bieten, bezieht sich auch das nur auf bereits bekannten Schadcode. Was bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.

Unternehmen und Behörden sind sich oft der Begrenztheit ihrer Abwehrmaßnahmen bewusst und versuchen deshalb die Nutzer für die Gefahren durch E-Mails und E-Mail-Anhänge zu sensibilisieren. Es ist zwar richtig, greift aber zu kurz. Ebenso wichtig ist, dass die E-Mail-Nutzer mit einer technischen Lösung entlastet werden.

Virtualisierung und Isolation statt Detektion lauten die neuen Schlagwörter

Dabei rücken verstärkt neue Sicherheitslösungen ins Blickfeld, die einen gänzlich anderen methodischen Ansatz als herkömmliche Tools wählen. Sie setzen auf „Isolation statt Detektion“, und das technische Fundament dafür bildet vielfach die Virtualisierung.

Nicht auf die Detektion, sondern auf die Isolation zielen etwa Secure-Browsing-Lösungen ab. Sie werden aktuell in Ergänzung zu klassischen Sicherheitslösungen als zusätzliche Sicherheitslayer eingesetzt, um den zentralen Angriffsvektor Browser zu schützen. Sie gehen mit der Isolation von Gefahrenherden in die richtige Richtung, greifen aber mit ihrer Browser-Fokussierung zu kurz, da sie andere Sicherheitsgefahren für Endgeräte wie E-Mails oder Downloads unberücksichtigt lassen.

IT-Sicherheitsexperte Bromium analysiert Schadsoftware detailliert

Der eingeschränkte Funktionsumfang von Secure-Browsing-Lösungen wird ohnehin der aktuellen Bedrohungslandschaft nicht mehr gerecht. Eine Studie des IT-Sicherheitsunternehmens Bromium hat ergeben, dass Browser-basierte Attacken an Bedeutung verloren haben und File-basierte Angriffe gegenwärtig die größte Gefahr darstellen.

Bromium hat für seine Untersuchung die bei seinen Kunden im Jahr 2018 aufgetretene Schadsoftware detailliert analysiert – und zwar diejenige, die von klassischen Sicherheitslösungen wie Antiviren-Software, Webfilter-Programmen oder Firewalls nicht erkannt wurde. Das Ergebnis ist eindeutig: Rund 90 Prozent aller Attacken sind File-basiert und nur zehn Prozent Browser-basiert. Bei der File-basierten Malware entfallen jeweils circa 50 Prozent auf Downloads und auf E-Mail-Anhänge. Die für die Angriffe am häufigsten genutzten Dateitypen sind *.doc, *.xls, *.pdf und *.exe.

Virtualisierung macht Schadsoftware harmlos und entlastet Mitarbeiter

Das Ergebnis zeigt, dass Browser-Schutz alleine nicht ausreichend ist. Eine umfassende Sicherheitslösung muss alle riskanten Anwenderaktivitäten mit Daten aus unbekannten Quellen berück-sichtigen.

Diesen Weg geht Bromium mit seiner Lösung Secure Platform, die ebenfalls auf Isolation statt Detektion setzt – und zwar unter Nutzung der Virtualisierungstechnologie, der sogenannten Micro-Virtualisierung. Sie kapselt jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs, das Downloaden eines Dokuments oder das Aufrufen einer Webseite in einer eigenen Micro-VM, die nach Beendigung jeder Aktion wie dem Schließen eines Files automatisch gelöscht wird.

Das heißt: Es ist völlig egal, ob Schadprogramme einen Rechner erreichen oder nicht. Eine Infizierung des Endgeräts und damit des Unternehmens- oder Behördennetzwerkes mit neuer, bisher unbekannter Schadsoftware ist somit ausgeschlossen. Nicht zuletzt entlastet die Lösung die Mitarbeiter, da sie nicht mehr jeden Klick auf einen E-Mail-Anhang überdenken müssen. Sie erhöht damit nicht nur die Sicherheit, sondern verhindert auch eine Produktivitätsbeeinträchtigung.

Jochen Koehler, Regional VP Sales Europe bei Bromium in Heilbronn

Foto: Bromium

Secure-Browsing

Viel versprochen – nicht alles gehalten

Unternehmen und Behörden setzen verstärkt auf die Browser-Isolation zur Abwehr von Cybergefahren – ein prinzipiell richtiger Ansatz, alle Risiken können damit aber nicht ausgeschlossen werden. Hierzu müssen alle Endpunktaktivitäten isoliert werden. Die Lösung heißt: Sicherheit durch Virtualisierung.

Foto: Gerd Altmann/ Pixelio.de

Schadsoftware

BSI warnt vor Verschlüsselungs-Trojaner

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes weisen auf eine neue Variante von Schadsoftware hin. Kriminelle versuchen damit, Geld von PC-Besitzern zu erpressen.

BKA

Warnung vor Schadsoftware im E-Mail-Anhang

Das Bundeskriminalamt warnt vor einer Schadsoftware, die über den Versand von E-Mails in Umlauf gebracht wird. Die E-Mails verschiedenen Inhalts tragen unter anderem den Hinweis: BKA erdrückende Akte gegen [„Name des Empfängers"].

Foto: Fotolia/ masterzphotofo

E-Mail-Verkehr

Mit Sicherheit mehr Kommunikation

Der wichtigste Trend des Jahres 2013 dürfte die Absage an die Abgesänge auf das Medium E-Mail sein: E-Mail ist und bleibt das primäre Business-Kommunikationsmedium. Dadurch allerdings ergeben sich auch neue Herausforderungen an die Sicherheit.