Connected Security: Woher Antivirensoftware die Signatur-Updates hat

Beinahe täglich wird sie länger, die Liste der prominenten Malware-Opfer. PCs und Server werden trotz Antivirensoftware infiziert. Um ihre Sicherheitslösungen zu beschleunigen und die Erkennungsraten bei neuen Schädlingen zu verbessern, setzen die Hersteller verstärkt auf die Cloud. Uli Ries sagt, wie das funktionieren soll.

Die Cloud koordiniert den Virenschutz

Von Uli Ries

Schon seit geraumer Zeit spielt die Cloud bei Antivirenlösungen eine Rolle: Die auf den Endgeräten installierten Agenten holen sich Informationen über unbekannte Dateien und ziehen sich die allgegenwärtigen Signatur-Updates aus der Datenwolke. Die Kommunikation ist also beschränkt auf die Kommunikation zwischen einzelnen Maschinen und der Wolke. Auf Basis der übermittelten Informationen entscheiden die eigenständigen Komponenten wie Virenscanner, Firewall oder Webfilter, ob ein Download oder eine aufzurufende URL gefährlich oder harmlos ist. Ein Zusammenspiel z.B. zwischen Virenscanner und Webfilter findet quasi nicht statt. Hersteller wie Sophos wollen das ändern und in Zukunft mehr Nutzen aus der Cloud ziehen.

Die kommende Generation von Schutzprodukten macht die Cloud zu einer Art zentralen Intelligenz, die Entscheidungen trifft. Auch die Management-Infrastruktur der ganzen Lösung soll samt Reporting-Funktion in die Wolke wandern. Die Hersteller versprechen ihren Kunden durch diese Konstruktion nicht nur Kostenvorteile, sondern auch mehr Schutz.

Intelligentes Patch-Management

Denn dadurch, dass alle Informationen an einem Knotenpunkt zusammenlaufen, soll sich die Schlagkraft erhöhen. Die Anfang 2013 von Kaspersky vorgestellte Lösung für kleine und mittlere Unternehmen (Kaspersky Endpoint Security for Business) soll z.B. intelligenter mit dem Thema Softwareupdates umgehen: Die zum Paket gehörende Komponente für das Patch-Management knüpft die Priorität für die anstehenden Updates auf Wunsch an die aus der Cloud übermittelten Informationen über gerade aktuelle Angriffe. Stellen die Kaspersky-Sensoren einen raschen Anstieg von Angriffen fest, die eine bestimmte Sicherheitslücke missbrauchen, wird das zum Stopfen der Lücke verantwortliche Update mit hoher Priorität installiert.

Datenverkehr in der Analyse

Sophos wiederum hofft darauf, dass in Zukunft dank zentraler Intelligenz und mehr Austausch auch bislang schwierig zu entdeckende oder zu stoppende Angriffe unterbunden werden können: Zahlreiche Schädlinge bauen nach der Infektion von PC oder Server eine verschlüsselte Verbindung zu ihrem Command-and-Control-Server-Server im Internet auf. Über diesen verschlüsselten Kanal schaffen sie später auch die von den PCs abgesaugten Daten nach draußen.

Serie: IT-Sicherheit im Mittelstand
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risiko­katalog bis hin zu den Haftungs­fragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Com­pliance-Vor­schriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.

Auch moderne Netzwerkgateways, die prinzipiell die Analyse des Datenverkehrs von Web-Anwendungen beherrschen (Next Generation Firewalls), können die Verschlüsselung nicht aufheben und den Datentransfer somit nicht analysieren. Werden unbekannte, verschlüsselte Verbindungen von innen nach außen nicht per se unterbunden, umschiffen die Angreifer den Schutzmechanismus. Nur wenn das Gateway vor der Verschlüsselung des Transfers Informationen vom (infizierten) Endpunkt über die Art der übertragenen Daten erhält, kann es die Kommunikation gezielt unterbrechen.

Fazit: Wolkenzug nach Rechtslage

Gerhard Eschelbeck, CTO von Sophos, sieht außerdem eine andere Art der Cloud-Infrastruktur kommen: Nicht zuletzt aufgrund von Datenschutzbedenken der Kunden werden Cloud-Anbieter in Zukunft weniger auf einzelne, riesige Superdatenwolken setzen. Stattdessen sollen verstärkt regionale Clouds in einzelnen Ländern entstehen. Die Endpunkte und Webfilter eines deutschen Kunden würden ihre Daten somit nicht in die USA, sondern an die regionale, deutsche Cloud übermitteln.

MittelstandsWiki 12.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.

Bevor es so weit ist, müssen Anbieter wie Sophos diese Regionalwolken jedoch erst einmal schaffen. Und auch ein anderes technisches Problem gilt es zu lösen: Insbesondere die auf mobilen Endgeräten wie Smartphones oder Laptops installierten Agenten müssen zuverlässig auch bei schlechter Netzwerkverbindung, wie sie gerne mal in Mobilfunknetzen vorherrscht, mit der zentralen Intelligenz kommunizieren können. Andernfalls verpuffen die Vorteile des Konstrukts in einer (Rauch-)Wolke.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links