Next-Generation-Antiviren-L\u00f6sungen liegen im Trend. Sie versprechen ein deutlich h\u00f6heres Ma\u00df an Sicherheit als herk\u00f6mmliche Tools. Ein Trugschluss, meint Sicherheitssoftware-Anbieter Bromium, schlie\u00dflich bleiben sie Antiviren-L\u00f6sungen und damit limitiert.<\/p>\n
<\/p>\n
L\u00f6sungen wie Intrusion-Prevention-Systeme, Antiviren-Software, Webfilter-Programme oder Next-Generation-Firewalls sind in den meisten Unternehmen Sicherheitsstandard. Ihr Ziel ist, Angriffe beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden zu erkennen und Attacken zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden. Der wesentliche Nachteil ist, dass sie keinen zuverl\u00e4ssigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten k\u00f6nnen, weil sie auf die Erkennung von Schadsoftware angewiesen sind. Bisher unbekannte Malware kann mit solchen L\u00f6sungen nicht gefunden werden.<\/p>\n
Auch die gegenw\u00e4rtig im Trend liegenden Next-Generation-Antiviren (AV)-L\u00f6sungen weisen eine identische Unzul\u00e4nglichkeit auf. Sie wollen unter Nutzung von maschinellem Lernen und K\u00fcnstlicher Intelligenz Angriffe aufsp\u00fcren. Damit tragen sie zun\u00e4chst dem Umstand Rechnung, dass rein signaturbasierte Verfahren unzureichend sind. Durch Code-Analysen vor der Ausf\u00fchrung von Aktionen auf den jeweiligen Endpunkten soll potenzielle Malware erkannt werden, das hei\u00dft aber auch, Next-Generation-AV-Anwendungen sind nach wie vor auf die Detektion angewiesen. Sie stellen zwar eine Weiterentwicklung dar, aber letztlich bleiben sie Antiviren-L\u00f6sungen und damit ebenfalls unzul\u00e4nglich.<\/p>\n
In die richtige Richtung gehen laut Bromium eher L\u00f6sungen, die nicht auf die Detektion, sondern auf die Isolation fokussieren. Zu nennen sind etwa Secure-Browsing-L\u00f6sungen, also L\u00f6sungen, die vor allem den zentralen Angriffsvektor Browser sch\u00fctzen. Ein Beispiel hierf\u00fcr sind Remote-Controlled-Browser-Systeme (ReCoBS), die auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) empfiehlt. Sie basieren auf einem Client-Server-Modell, das hei\u00dft, der Webzugang erfolgt ausschlie\u00dflich \u00fcber Browser auf Terminalservern, wodurch die Client-PCs gesch\u00fctzt werden sollen. Nachteil solcher L\u00f6sungen ist, dass es dabei nur um das Internet-Browsing geht und andere Sicherheitsgefahren f\u00fcr den Endpunkt wie E-Mails unber\u00fccksichtigt bleiben.<\/p>\n
Auf Isolation setzen auch Virtualisierungsl\u00f6sungen, die zunehmend Verbreitung finden. Den Virtualisierungsweg beabsichtigt zum Beispiel Microsoft bei seinem Browser Edge einzuschlagen. So soll k\u00fcnftig die Option bestehen, den Browser in einer eigenen virtuellen Maschine auszuf\u00fchren. Auch Bromium nutzt bei seiner L\u00f6sung Secure Platform die Virtualisierung, das hei\u00dft konkret eine Hardware-isolierte Micro-Virtualisierung. Damit werden alle potenziell gef\u00e4hrlichen Anwenderaktivit\u00e4ten gekapselt, also nicht nur das Aufrufen einer Webseite, sondern auch das Downloaden eines Dokuments, das \u00d6ffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums. Eine Kompromittierung von Client-Rechnern ist damit ausgeschlossen.<\/p>\n
„Mit traditionellen und auch neuen Next-Generation-AV-L\u00f6sungen kann es keine hundertprozentige Sicherheit geben. Das ist klar, ein Restrisiko bleibt immer“, erkl\u00e4rt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn. „Folglich ist es zwingend erforderlich, neue L\u00f6sungswege einzuschlagen, wie sie mit Virtualisierungsl\u00f6sungen auch zur Verf\u00fcgung stehen. Damit wird letztlich ein Meilenstein in der IT-Sicherheit eingeleitet, und zwar weg von der Detektion hin zur Isolation. Alle Angriffsversuche laufen damit unweigerlich ins Leere.“<\/p>\n