Wenn Sie jetzt folgende Frage beantworten müssten, wie würden Sie Antworten?
Auf einer Skala von 0 bis 10, wo 0 keinen Virenschutz darstellt und 10 den maximalen heute möglichen Schutz, wie würden Sie Ihren Virenschutz einstufen?
Die meisten beantworten diese Frage mit einer Einstufung von 4-7, aber wissen Sie eigentlich was heute technisch möglich ist?
Wenn Sie nicht genau wissen wie heute die technischen Möglichkeiten aussehen, um ihr Netzwerk und somit ihr Wissen und ihre Daten zu schützen, dann sollten Sie sich damit einmal befassen. Ich kann ihnen helfen einen Überblick über die aktuellen Schutztechnologien zu bekommen. Mit diesem Wissen können Sie dann für sich entscheiden, wo Sie stehen und ob das für ihre Bedürfnisse ausreichend ist. Um Ihnen dieses Wissen zu vermitteln, ist es allerdings notwendig etwas ausführlicher zu werden. Am Ende dieser recht langen Seite, werden Sie aber ein guten Einblick in Antivirentechnologien haben und Sie werden auch Angebote und Berater hinterfragen können.
Im weiteren Verlauf werde ich einige Vorschläge geben und auch auf Technologien eingehen, die Ihnen bei der Einschätzung Ihrer Sachlage helfen können. Ich möchte auch einmal ausdrücklich darauf hinweisen, dass es hier nicht nur um Unternehmen geht, welche sich schützen sollten. Viele 1 Personengesellschaften und private Haushalte können sich auch sehr wirkungsvoll ohne große Kosten absichern.
Viele Unternehmer verfügen über eine Ertragsausfallversicherung, mit denen sie sich vor Schäden auf Grund von diversen Faktoren absichern wollen. Heute entstehen sehr viele Ausfälle auch auf Grund von IT Komponenten, welche von Viren angegriffen oder befallen sind. Die Versicherungen verweisen in ihrem „Kleingedruckten“ oft auf marktübliche Absicherungen, welche zu treffen sind, damit es überhaupt zu einer Auszahlung kommen kann. Sollten Sie eine solche Versicherung haben, ist es besonders wichtig, in angemessenen Abständen mit einer Überprüfung zu belegen, dass sie den für ihr Sicherheitsrisiko üblichen Schutz eingehalten haben. Dieses kann in Absprache mit ihrer Versicherung auf verschiedenen Wegen erfolgen. Sollten Sie dieses noch nicht geklärt haben, kann ich Sie auch dabei unterstützen.
Im BSI (Bundesamt für Sicherheit in der Informationstechnik) Grundschutz Handbuch gibt es sehr viele Hinweise und Empfehlungen, wie heute eine IT sicher zu betreiben ist. Einige Kapitel widmen sich hier auch den Vorkehrungen gegen Viren. Ich werde mich in einigen weiteren Ausführungen teilweise daran anlehnen. Jedem steht diese Lektüre offen zur Verfügung, sie müssen nur Google bemühen und sie werden fündig.
Was heute möglich ist und von Unternehmen zur Abwehr von Schadsoftware implementiert werden kann ist sehr mächtig. Aktuell wird hier in den neuesten Werbeaussagen der Hersteller schon von einer KI (künstlichen Intelligenz) gesprochen. Andere Hersteller sprechen noch von Maschinen Learning, die neue Richtung ist aber schon vorgegeben, der klassische AV Scanner muss um zusätzliche Komponenten erweitert werden. Einige Anbieter haben den normalen AV Schutz, rein basierend auf Erkennungsmustern auch schon beerdigt. Ich gehe aber zurzeit und auch für die nächsten 3-5 Jahre noch von Hybridlösungen aus. Hier geht es dann darum den klassischen Virenschutz um die neuen Technologien zu ergänzen. Ich glaube das beides zur Zeit Vorteile aber auch Nachteile hat. Die Kombination macht dieses Werkzeug aber sehr mächtig.
Ein modernes Netzwerk sollte so gestaltet sein,dass eigentlich kein User direkt mit dem Internet kommunizieren kann. Der Browser des Anwenders sendet seine Daten und Fragen zu einem Proxy Server, dieses wird von jedem aktuellen Browser und auch schon von fast jeder Software unterstützt. Der Proxy kontrolliert die Seiten die der User aufrufen möchte auf die erlaubten Kategorien in ihrem Netz. Hierbei entsteht oft der Eindruck den User reglementieren zu wollen, das kann, muss aber nicht das Ziel sein. Vielmehr kann man auch einfach nur Kategorien wie Viren verseuchte Webseiten, SPAM URLs, verschlüsselungs Viren und ihre Kontrollserver oder Musik und Film Sharing Dienste verbieten. Auch ist das eine gute Möglichkeit Systemen die zweckgebunden sind, nur dieses zu erlauben. Ein Drucker eines Herstellers X muss zum Nachbestellen von Verbrauchsmaterial nur auf einige wenige Webseiten im Internet, den Rest kann ich ihm ruhig vorenthalten. Warum das sehr sinnvoll sein kann, lesen sie später noch.
Welchen Schutz ein Proxy Server alleine in Bezug auf SPAM Mail leisten kann, möchte ich jetzt einmal kurz erklären. Angenommen ich bekomme eine Mail in der mir irgendetwas verkauft werden soll, integriert ist ein Link zu einem Bild. Öffne ich nun diese Mail wird das Bild von dem Server abgerufen. Der Link ist nur leider eine einmalige URL, welche mit meiner eMail Adresse verbunden ist. Wird das Bild geladen, dann weiß der Spammer das ich bzw. meine eMail Adresse existent sind und gelesen werden. Das steigert den Verkaufswert dieser Mail Adresse. Die Folge wird sein, dass ich noch mehr Werbung bekommen werde.
Hätte der URL Webfilter den Aufruf des „Bildes“ von einer Webseite die als SPAM Betreiber eingestuft ist verhindert, dann würde ich nicht jeden Tag ab jetzt immer mehr unerwünschte Werbung bekommen.
Bei den Druckern ist es zum Beispiel so, dass es schon Geräte gegeben hat, welche Ausdrucke oder Scans zusätzlich an Seiten im Internet gesendet haben. Egal ob Fehler des Herstellers oder Virus, wenn ich das ausschließen möchte, kann ich dem Drucker diese Möglichkeit nehmen und seine Zugriffe einschränken.
Ein weiterer sehr angenehmer Nebeneffekt von einem Proxy Server ist, dass er alleine schon dadurch Übertragungsvolumen spart, teilweise ist das ja ein Thema. Der nächste angenehme Effekt ist das ein Proxy Daten speichert, die Daten werden nur beim ersten Zugriff aus dem Internet geladen, der nächste bekommt sie dann aus dem lokalen Cache des Proxyservers. Das kann z.B. bei den täglichen Antiviren Updates deutlich die Performance steigern.
Meistens hat der Proxy aber auch zusätzlich noch einen Virenscanner an Board, wenn man genau sein möchte meistens sogar zwei. Der Zugriff auf Webinhalte die als verseucht eingestuft werden, werden ja schon vom Content Filter blockiert. Zusätzlich wird aber noch jeder Download durch zwei unterschiedliche AV Scanner nacheinander geschoben. Wird ein Virus erkannt, dann wird die Verbindung unterbrochen. Moderne Erkennungen beruhen aber kaum noch alleine auf Erkennungen von Virenmustern in den Dateien. Sie beziehen Bewertungen aus dem Internet von dem Anbieter der Produkte mit in die Analyse ein. Jede Datei hat einen eindeutigen MD5 Hash Wert, kann auf Seiten wie onlineMD5 berechnet werden. Diese Ergebnisse werden in Millisekunden für jede Datei ermittelt und mit einer millionen von Einträgen umfassenden Internetdatenbank abgeglichen. Hier gibt es Bewertungen wie virenfrei oder aber virenbehaftet. Real ist aber, dass es noch viele Zwischenstufen gibt, auf die ich jetzt hier aber nicht eingehen kann. Auf dieser Basis kann der Proxy schon eine gute Entscheidung treffen ob er die Datei zu Ihnen durchlässt oder aber blockiert.
In den letzten Monaten zeigte sich aber, dass GUT oder BÖSE zu bewerten nicht reicht. Der Grund ist das milliarden von UNBEKANNTEN Dateien in das Internet gepumpt werden und auf dem Weg zu Ihnen sind. Sie kommen per Mail, oder Download Link und verstecken sich so gut hinter einer perfekt gemachten Täuschung, dass viele sie nicht als Bedrohung erkennen. Es gibt mittlerweile ein Geschäftsmodell von den Herstellern dieser Schadsoftware, das jede einzigartig ist. Kleine Manipulationen erlauben z.B., dass jede Datei immer einen neuen MD5 Hash Wert bekommt und somit obwohl derselbe Inhalt enthalten ist, sich kein BÖSE als Bewertung ergibt. Deswegen werden heute Dateien die unbekannt sind an Sandboxen weitergeleitet und dort ausgeführt. Das passiert alles automatisch, man gibt den „Probanden“ eine Umgebung in der sie sich wohl fühlen und wartet ab was sie so anstellen. Das Ganze dauert meistens nur Sekunden und das vermeintliche Bewerbungsschreiben oder die Rechnung fängt an in der Sandbox bzw. einer virtuell nachgebauten Umgebung sein Unwesen zu treiben. So kann man sehr viele Dateien herausfiltern, welche sonst per eMail oder Download auf Ihrem PC angekommen wären.
Was besonders nachdenklich macht, ist das wirklich „echte“ Korrespondenz von Geschäftspartnern mit dabei ist. Das liegt daran, dass dieser „Partner“ sich einen Virus eingefangen hat und das noch nicht weiß. Diese Mails würden Sie immer öffnen und wären dann der nächste Betroffene in einer sehr langen Liste.
Solch einen Sandbox Service können Sie selbst betreiben, oder aber Sie verlagern diesen Service in die Cloud. Da gibt es meistens mehrere Optionen die dann gleich einen sauberen SPAM Filter und die Schadcode Analyse machen. Diesen Service sollte man im Übrigen in beide Richtungen einsetzen, eingehend wie auch ausgehend, denn Sie wollen ja nicht negativ auffallen und einen Geschäftspartner „verseuchen“.
Wie sie bemerkt haben werden, haben wir bis jetzt noch nicht von einer clientbasierten Sicherheit gesprochen, bis jetzt ist alles an dem Übergangspunkt von Ihrem Netzwerk zum Internet passiert. Das ist auch deswegen so wichtig, weil es ein zentrales Gerät ist, welches gut zu warten und auch zu kontrollieren ist. Desweiteren würde eine solche Firewall nicht von Viren befallen, sie kann sich deswegen die Dateien auch ohne Folgen für Ihr Netzwerk ansehen.
Dieses „Gateway“ ist nicht nur für Industriebetriebe besonders sinnvoll, es ist auch angebracht für private Haushalte und hier gleich ein Beispiel warum es nirgends fehlen sollte.
In Firmen wie auch privaten Haushalten, ziehen aktuell mehr und mehr Geräte der IoT (Internet of Things — Internet der Dinge) Klasse ein. Zurzeit sind das Solarwechselrichter, Heizungssteuerungen, Fernseher, Überwachungskameras, Fitnessgeräte, Kinderspielzeug oder Systeme die sich um die Stereoanlage oder Fernseher gesellen. In Firmen sind es Sensoren für Maschinen, Zugangskontrollen, Drucker, komplette Produktionssysteme oder aber einfach der Kaffeeautomat, welcher eigenständig einen Service bestellen möchte.
All diese Systeme haben eines gemeinsam, Sie können nirgends einen Virenscanner installieren, meistens bekommen sich nicht einmal Zugriff auf die „root“ und wissen oft nicht einmal welches Operating System nun genau auf diesem Gerät läuft.
Wenn Sie einen Fernseher haben mit dem Sie auch surfen können, oder ein anderes Terminal wo das mit das möglich ist, dann besuchen Sie doch einmal die Webseite www(punkt)eicar(punkt)org, hier gibt es unter dem Menüpunkt „Anti-Malware Testfile“ und dann links auf Download Testviren. Das sind harmlose Dateien, welche auf Ihrem System keinen Schaden anrichten können. Hier haben sich alle Antivirus Hersteller zusammengetan und entschlossen, diese harmlosen Dateien als Virus zu erkennen. So können sie ihren Virenschutz überprüfen. Die oberste Reihe wird über einen unverschlüsselten Zugang bereitgestellt, die untere Reihe ist SSL also https: verschlüsselt.
Wenn Sie auf etwas von beiden Zeilen klicken (egal was) sollten Sie immer die Meldung bekommen das dort ein Virus enthalten ist. Bekommen Sie die nicht, sollten Sie überlegen was Sie so mit diesem System machen und ob das gut ist. IoT Geräte bieten keinen integrierten Schutz, das ist schon aus Kostengründen nicht angedacht, diesen müssen Sie sozusagen um das Gerät herum bauen. Das ist jetzt nicht so schwer wie Sie sich das eventuell vorstellen, es müssen nur einige Dinge beachtet werden.
Für zu Hause bieten einige Hersteller von professionellen Lösungen sogar kostenlose Lizenzen an, damit Sie sich absichern können. Sollten Sie viele IT Komponenten zu Hause haben, z.B. für Hausautomatisierung oder Überwachung könnte es sehr sinnvoll sein sich einmal mit diesen Themen zu befassen.
Sie müssen also in allen Ihren Betrachtungen die Geräte in zwei Gruppen aufteilen, die bei denen Sie einen zusätzlichen Schutz installieren können und die wo das nicht der Fall ist. Die Geräte ohne installierbaren Virenschutz oder Firewall, werden meistens auch Geräte sein, welche keine richtige Oberfläche haben, auf der Sie administrieren können. Für mich gehören diese Systeme in eine eigene Sicherheitszone, welche diesen Geräten einen kontrollierten Zugriff auf die notwendigen Ressourcen bietet, welche zum Betrieb dieses Gerätes notwendig sind und nicht mehr.
Hier mal ein Beispiel für eine WLAN Kamera:
Einschränken der Kommunikationswege
- eine WLAN Kamera muss von sich selbst aus betrachtet nicht auf jeden Server im Internet, es kann auf folgende Systeme eingegrenzte werden
- wo Firmware Updates liegen
- wo Daten abgelegt werden sollen
Eine WLAN Kamera muss nur 2-3 Recourcen im Zugriff haben, alles Weitere kann ihr entzogen werden. Auch in dem privaten Netz muss sie von sich selbst aus keine Verbindungen zu anderen PCs, dem NAS einen SQL Server ect aufbauen können.
Auch muss sie eventuell nicht von jedem erreicht werden, so kann ich die PCs oder Systeme in meinem Netz festlegen, die überhaupt die WLAN Kamera erreichen dürfen. Vom Internet aus gesehen muss das eventuell niemand!
Über die Netzwerk-Ports kann ich dann noch genau festlegen, wer welchen Service an der Kamera ansprechen darf. Der Admin eventuell alle Ports für eine Firmware Update, der User aber nur einen https:\ Port wo das Bild der Kamera zu sehen ist. So schützen Sie sich vor vielen Angriffen und Ihr Netz davor ausspioniert zu werden, falls die Kamera doch schon einen Gast mitgebracht hat. Die sensiblen Daten (Bilder der Kamera) habe ich nachweislich vor Zugriff durch Unbefugte geschützt. Die Firewall wird die Zugriffe protokollieren und wenn ich Wert darauf lege, kann ich auch in den Logs sehen ob meine Kamera mehr versucht als ich von ihr erwarte.
Wenn gewünscht kann ich die Kommunikation von und zu der Kamera noch auf Viren überprüfen.
Das ganze Thema ist so heikel, weil es diverse Angriffsvektoren gibt, ein Hacker kann auch versuchen den Server zu „kapern“ auf dem die Firmewareupdates liegen und in diese einen Schadcode einbauen. So können tausende von Systemen infiziert werden, ohne in Ihr Netzwerk einzubrechen. Deswegen ist es gut wenn man bei Verdacht das Sende und Empfangsverhalten von Geräten einfach und schnell überprüfen kann. Dieses ist diverse male in den letzten Monaten in anderen Bereichen passiert. Auch waren z.B. Kameras in Hochsicherheitsbereichen wie Flughäfen mit Viren verseucht.
Nach diesem beispielhaften Konzept kann ich alle meine IoT Geräte zusammenfassen und ihre Zugriffe einschränken und somit auch kontrollieren.
An dieser Web Seite schreibe ich jetzt schon einige Tage und während dessen kam heute am 01.03.2017 auf Heise-Security die folgende Meldung raus. Sinnhaft gekürzt, kann man es wie folgt zusammenfassen: “ Laut einer aktuellen Studie sind in Spanien 5,3 Millionen IoT Systeme unzureichend geschützt, darunter 150.000 Webcams und davon alleine in Barcelona 22.000.“ Das ist für die Hacker ein willkommener Spielplatz und für den Normalbürger kann es irgendwann so sein, das sein Netz entweder gerade langsam ist weil es angegriffen wird oder weil es gerade Angriffe ausführt. Im Ergebnis bedeutet beides für Sie ein langsames Netz. Wenn man jetzt noch an den Artikel von Heise aus dem letzten Jahr denkt, wo gezeigt wurde, dass eine neue WLAN Kamera nach dem Anbinden an das Internet in 40 Sekunden mit Schadsoftware verseucht war, sollten Sie spätestens nachdenklich werden.
Deswegen sollten Sie Ihre Netze einmal überprüfen.
Auch wenn meine Ausführungen hier sehr stark auf WLAN Kameras fokussiert sind, das ist nur ein Beispiel in der IoT Welt.
Nun aber wieder zurück zu unserem ursprünglichen Thema, wie sieht der perfekte AV Schutz in einem Netzwerk aus. Das Thema Firewall haben wir nun soweit fürs Erste abgeschlossen und nun geht es weiter zum Client.
Der Client also ein PC oder Server mit einem Windows, Linux oder Apple OS sollte immer einen eigenen Virenschutz haben. Man kann hier noch zwischen mobilen und stationären Systemen unterscheiden. Mobile Systeme also Notebooks zum Beispiel können die gesicherte Zone hinter der Firewall verlassen, das bedeutet sie sind aus dem Schutzschild des Webfilter verschwunden. Deswegen benötigen diese Systeme auch einen eigenen lokalen Webfilter. Im idealen Fall erkennt dieser wenn das System nicht hinter der Unternehmensfirewall steht und fährt erst dann seine eventuell leicht abweichenden Regeln hoch.
Dieser Virenschutz verfügt über ähnliche Aspekte wie der der Firewall, nur zusätzlich kommt eine verhaltensbasierte Erkennung hinzu. Der Client analysiert nicht nur die Dateien (und kann sie je nach System auch zu Analysezwecken an eine Sandbox übergeben), er kann auch sehen welche Prozesse auf dem System was machen. Es ist etwas Anderes, wenn ich ein Programm als User direkt starte, als wenn der Prozess Winword beim Aufruf einer Bewerbung eine neues Programm auf die Festplatte schreibt, was dann etwas macht. Dieses Wissen zusammen mit dem Bezug zu den Daten erlaubt eine viel genauere Einschätzung, ob es sich hier um Viren handelt. Der PC kann so auch mit der Firewall kommunizieren und die Firewall kann erkennen, ob der Client eine aktuelle Virenschutzdatei hat, ob er gerade einen aktiven Virus reportet oder einfach welche Anwendung denn jetzt surfen möchte. Ist es der Browser der jetzt die Daten ins Internet laden will, kann das OK sein, ist es aber der PDF Reader der jetzt die Unternehmensdatenbank zu einer Seite im Ausland lädt, dann kann das unerwünscht sein.
Sie können also Regeln für den Internetverkehr, basierend auf den Anwendungen, aufbauen, was ein sehr großer Fortschritt ist. Elster z.B. muss nur auf einige wenige Seiten, das können Sie genauso festlegen.
Stellt der Client jetzt aber fest, dass etwas Neues trotzdem ihren PC verschlüsselt, kann der Virenschutz das erkennen. Das macht er, indem er die Dateien auf die Lesbarkeit des Inhaltes überprüft. Ein verschlüsseltes Bild ist kein Bild mehr und auf diese Veränderung kann der PC reagieren. Er baut sich eine Art Verzweigungskette mit Bezug zu allen Veränderungen auf, welche bei der Nutzung des PCs entstehen. Dadurch ist er fast immer in der Lage die Verschlüsselung zurückzufahren und alle Dateien wieder durch die Originale zu ersetzen, dabei stellt er auch den PC, der den Virus bekommen hat, wieder her. Bis das passiert ist, sperrt er automatisch den Client in der Firewall und erlaubt erst den Zugriff ins Internet wieder, wenn der Client gesäubert ist.
Und da sind wir bei dem angekommen, was heute als künstliche Intelligenz bei dem AV Scanner bezeichnet wird.
Das Wichtige hierbei ist, dass es sich um lokale Intelligenz in ihrem Netzwerk handelt und die ohne zeitliche Verzögerung selbst dann Viren erkennt, wenn sie der Erste oder sogar der Einzige sind, der diesen Virus bekommen hat.
Aktuell sieht es bei rein signatur gestützten Erkennungen wie folgt aus. Irgendwo in der Welt hat jemand einen neuen Virus, der treibt auf dem System dieses Users sein Unwesen, dieser merkt das dann und leitet das an einen AV Hersteller weiter. Hier schaut sich dann ein Analyst den Virus an und versucht eine Erkennung (Signatur) zu schreiben, sobald diese fertig ist wird die dem AV-Pattern File hinzugefügt. Aber das kommt nicht direkt zu Ihnen, weit gefehlt. Einmal am Tag wird normalerweise dieses Pattern File mit allen neuen Erkennungen von den Analysten genommen und einem Qualitätsprozess zugeführt. In diesem durchläuft das Signaturenupdate dann einigen Stunden einen Test. Hiermit soll vermieden werden, dass es zu Inkompatibilitäten mit Software oder Betriebssystemen kommt. Danach wird es dann für alle zur Verfügung gestellt. Es kann also im schlimmsten Fall 24 Stunden dauern, bis ihr PC der nur über eine Signatur gestütze Erkennung verfügt, gegen eine neue Bedrohung abgesichert ist.
Jetzte noch einge Fakten, basierend auf den Veröffentlichungen von dem Antivire-Testlabor AV-Test. Jeden TAG! werden 390.000 neue Schadprogramme registriert, das sind 16.000 Stunde. Der klasische Virenschutz hinkt fast immer 24 Stunden hinterher, betrachten Sie jetzt Ihre Systeme noch als sicher?
Deswegen haben die Hacker so ein leichtes Spiel und es werden so viele verschlüsselt!
Bei den meisten Herstellern ist es im Übrigen ein fester täglicher Zeitpunkt wann dieses Signatur File von den Analysten in den QA Prozess kommt. Nur wenn globale Auswirkungen befürchtet werden, gibt es in kürzeren Abständen Updates. Bei einigen Herstellern bekommen sie diese aber nur wenn sie auch einen zusätzlichen Service gebucht haben.
Jetzt wird auch deutlich warum viele Viren an den Wochenenden erscheinen, Analysten wollen auch mal frei haben und deswegen arbeiten da weniger, folglich dauert es länger bis Sie geschützt sind.
Deswegen sollten sie auf Erkennungen umsteigen, welche nicht nur auf Signature basieren. Machen Sie ihr Geschäft sicherer, informieren Sie sich über die neuen Optionen.
Zum Schluß möchte ich auch noch darauf hinweise, dass es zusätzlich zu dem technischen Schutz auch noch den Schutz gibt, der in Ihnen oder Ihren Mitarbeitern liegt. Sehr vielen Computeranwendern ist nicht bekannt wie ein Link in einer Mail zu lesen ist, um schon vor dem „Klick“ erkennen zu können, dass dieses eine Finte ist. Hier reicht es oft aus, mit kurzen Seminareinheiten, das notwendige Wissen zu vermitteln. Dieses kann in Präsenzveranstaltungen oder aber in online Seminaren erfolgen, welche mit konkretem Bezug zu Ihren Systemen und Anforderungen durchgeführt werden können.
Ich berate Sie gerne bei allen Fragen um diese Themen.
zurück zur Startseite