IT-Sicherheitswegweiser
Security-Produkte: Die Last der schweren Auswahl

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Durch den Zugang zum Internet sind die Rechnersysteme vielfältigsten Gefahren ausgesetzt. Ebenso vielfältig ist auch das Angebot an Werkzeugen für die Rechnersicherheit. Im Begriffs-Chaos durchzublicken und die Lösungen der Anbieter noch unterscheiden zu können, ist eine Kunst.

Wachsende Gefahren

IT-Sicherheitswegweiser

Die Sicherheit der Rechnersysteme ist ein zentrales Anliegen. Mit der Öffnung der Rechner für das Internet und dessen Gefahren aber wird diese immer fragiler. Das Spektrum der Angriffe reicht von den traditionellen Viren über Spyware, Malware, Trojaner, Keylogger bis hin zu Rootkits. (Bahnhof? Kurz- Erklärungen zu diesen Begriffen finden Sie am Ende dieses Artikels).


Nicht nur Windows-Sicherheit ist problematisch bei der Auswahl der richtigen Tools (Bild: WT-Management)

Um diesen wachsenden Gefahren zu begegnen, liefern die Hersteller eine ebenso breite Tool-Palette zur Abwehr der Angriffe. Diese erstreckt sich von den Virenscannern über Tools zur Vermeidung von Spyware und Rootkits und anderer Malware bis hin zu Intrusion Detection- und Prevention-Systemen.

Je nach Gusto bündeln die Hersteller ihre Tools zu größeren Paketen, mitunter ergänzt um Portblocker oder Application-Blocker. Die Port- und Application Blocker sind oft zentrale Bestandteile von Firewalls.


Suites, Appliances und mehr

IT-Sicherheitswegweiser

Oft werden Firewalls und Virenscanner gemeinsam als “Security Suite” angeboten. Doch diese Suites unterscheiden sich oft stark in ihren Sicherheits- Levels – und in den Antivirenprogramen nutzen viele die gleichen Engines, ändern nur die Oberfläche und bauen vielleicht noch die eine oder andere Eigenentwicklung dazu.

So setzt die dänische Firma Bullguard auf seine eigene angeblich leicht zu bedienende Oberfläche und seinen kostenlosen Rund-um-die-Uhr-Support, nutzt aber die Antiviren-Engine von BitDefender. G Data wiederum verwendet die Kaspersky-Engine zur Virenerkennung und hat eine eigene Firewall sowie einen Live-Virenblocker. Letzterer ist recht sicher, aber die Nutzer müssen dafür auch Abstriche bei der Rechnergeschwindigkeit hinnehmen.

Die Sicherheitsprodukte für den Konsumenten kommen inzwischen mit marginalen Unterschieden, die Anbieter von Enterprise-Lösungen setzen vor allem auf den direkten Online-Service. Der Vorreiter der Security-as-a-Service-Angebote ist die finnische Firma F-Secure. Aber auch die britische Sophos war früh dran mit derartigen Diensten. Gleichwohl verkaufen alle Anbieter ihre Lösungen auch als klassische Antiviren-Produkte – die Käufer greifen hier eher zu als bei reinen Service-Verträgen; bei “Produkten” erwerben sie eben den Service im Paket mit. Eine Antivirenlösung ohne automatisches Update ist ohnehin nicht mehr zeitgemäß.


Methodische Sicherheits-Unterschiede

IT-Sicherheitswegweiser

Treten die vielen Sicherheitswerkzeuge in einer Gesamtkombination auf, so spricht man gerne auch von Unified Threat Management (UTM). Angeboten werden diese wiederum als reine Software-Produkte oder sind vorinstalliert auf einer speziellen Hardware: als Appliance.


All-in-one: Die meisten Security Appliances integrieren zahlreiche aufeinander abgestimmte Software-Funktionen in einem Gerät (Bild: eEye Security)

Ferner werden sie in unterschiedlichen Varianten als eigenständige Produkte für den Heimanwender, den SOHO-Markt, den mobilen Nutzer oder aber als Enterprise-Lösungen angeboten. Verschiedene Hersteller unterscheiden in viele Lösungen für jeweils andere Nutzergruppen. Sie passen die Preise meist der Anzahl der Nutzer an – früher oft nur als Enterprise-Lösungen für sehr viele Nutzer und in Einzel-Lizenzen als Endkundenprodukt – mittlerweile existieren vermehrt auch Versionen für kleinere Büros oder größere Heimnetzwerke. Mal bekommt man so eine Lösung für die Nutzung auf 3 Systemen, mal für 10 Systeme. Darüber beginnen die Preise meist wieder auf dem “Enterprise Level”.

Zur Erkennungen von Angriffen, wie sie etwa durch Viren oder sonstige Malware auftreten, bestehen prinzipiell zwei Techniken. Bei der einen Methode werden Muster (Virenpattern, etc) eingesetzt. Das Tool vergleicht den Angriffscode dann genau mit diesem Muster. Bei der zweiten Variante untersucht und beobachtet man das Verhalten des Codes. Die Methode nennt sich Heuristik, doch nicht alle Heuristiken sind intelligent genug.

Der Vorteil der verhaltensbasierten Untersuchung ist jener, dass eben keine Patterns notwendig sind. Da die Angriffsmuster immer erst nach Bekanntwerden des Angriffscode erstellt werden können, hinkt die Pattern-basierte Erkennung dem Angriff immer hinterher. Des Weiteren kann durch die Untersuchung des Verhaltens der Software jeglicher schädliche Angriff, egal welcher Form, abgewehrt werden.


Das reine E-Mail-Sicherheits-Tool Mail Washer von Firetrust lässt den Nutzer die Lernfunktion der Heuristik übernehmen
Moderne Heuristiken für Netzwerksicherheit und Virenjagd lernen schon selbst.

Nicht verschwiegen werden soll aber auch, dass es natürlich nicht einfach ist, aus dem Verhalten von Code einen Angriff herzuleiten. Ein Abrechnungsprogramm, das beispielsweise nur zum Monatswechsel verwendet wird und dann spezielle Operationen ausführt und TCP-Ports belegt, könnte so leicht zum Angreifer abgestempelt werden – das nennt sich dann “false positive“. Hierbei argumentieren die Hersteller der Sicherheits-Tools, dass ihre Programme eben just das Verhalten der Programme erlernen. Dies gilt aber ebenso für einen Schadcode – auch er kann lernen und aktiviert sich dann eben nur periodisch.


Exploits und teure Lösungen

IT-Sicherheitswegweiser

Moderne Bedrohungen wie Viren, Würmer und Trojaner lenen also von selbst – und sind dabei den Sicherheitsfirmen immer einen Schritt voraus. Mikko Hypponnen von F-Secure betont in seinen Vorträgen immer wieder, dass Cyber-Kriminelle inzwischen so viel Geld ergaunert haben, dass sie die besten Programmierer der Welt finanzieren können, um neuen Schadcode zu produzieren. Oder um gezielt nach Schwachstellen in Software zu suchen.

Die Programme, die nach dem Entdecken einer Lücke herauskommen und per Huckepack-Funktion in Würmern und Viren mitkommen oder von Trojanern gezielt später über das Netz nachgeholt werden, nennen sich Exploits. Einige Sicherheitsanbieter haben ihr eigenes Tool “metaspoit” entwickelt, um Sicherheitslücken früh zu finden und bösartige Exploits zu vermeiden. Das Metasploit-Programm ist allerdings frei verfügbar – und wird auch von “Unbefugten” verwendet, um frühzeitig Lecks auszunutzen, bevor die Netzwerk- und Software-Anbieter ihre Patches bereistellen können.
t
Im Metasploit-Projekt wollen Sicherheiseinrichtungen frühzeitig Lücken entdecken. Dumm nur: Angreifer nutzen es auch (iled: Metasploit).

Wer mit der großen Bandbreite von Schädlingen und dazu nötgen Programme jnicht mehr zurechtkommt, der sollte sich also eine komplette Security Suite für Einzelplatzrechner oder kleine Netze kaufen (bei den meisten Antivirenherstellern “[Firmenname] Internet Security” genannt, egal ob Sophos, Symantec, Panda oder wie sie auch alle heißen.

Wer ein größeres Netz hat, dem sind Appliances anzuraten, die bereits am Gateway des Netzes
zum Internet und zu außenstehenden Netzen die schlimmsten Bedrohungen abschwächen können. Bei multinationalen Großnetzen aber sind sehr teure und sehr schnelle Firewalls und Security-Appliances angesagt, wie sie etwa Cisco anbietet.. Deren teuerstes Gerät ist eigentlich “nur” ein Netzwerkswitch und kostet eine Viertelmillion Dollar – kann dafür abr auch extrem viele und schnelle Verbindungen aufbauen und überwachen. Dort integriert sind vor allem Intrusion Detection und Firewall. Was dann nocdh an Schädlingen durchkommt, muss trotzdem noch weitere Security-Stationen durchlaufen.

Was es alles an Schädlingenund Lösungen gibt, zeigt unser kompaktes Security-Lexikon auf de kommenden Seite.


Kleines Security-Lexikon

IT-Sicherheitswegweiser

Immer wieder treten neue Fachbegriffe rund um die vielfältigen Möglichkeiten auf, Computer zu sabotieren oder abzuhören. Wir haben allen, die mitreden wollen, eine recht minimalistische Kurzbeschreibung der Begriffe zusammengestellt.

Firewall
Sie soll all die ungebetenen Gäste fernhalten, die durch Netzwerkverbindungen hereinschneien können – ob durch offene Ports oder über unbekannte Programme. Die Firewall ist also eine Art Türsteher. Personal Firewalls sind nur für Einzel-PCs gedacht während große Firewalls für Unternehmen sehr komplex sein können und Unternehmens-Policies zulassen, die bestimmte Datenstränge an bestimmte Empfänger zulassen, an andere nicht.

Viren und Würmer
Der klassische Computervirus ist ein Programm, das sich selbst einschleusen und modifizieren kann. Es ist allerdings, anders als beim Wurm, immer ein Wirt nötig, also ein Nutzer, der etwas tut oder ein Wirtsprogramm. Der Wurm dagegen greift von sich aus selbständig an und kann sich auch ohne Nutzertätigkeit vervielfältigen oder Schaden anrichten.

Spyware
Wie der englische Name schon ssgt, spioniert Spyware den Nutzer aus. Ob das Surfverhalten, die Kaufgewohnheiten oder bestimmte Dokmente – ausspähen lässt sich Vieles mit verstecktem Schadcode. Cookies über den Browser zu hinterlegen ist dazu längst schon “out”, denn der Nutzer kann dies sofort erkennen.

Malware
Ein Gesamtbegriff für alle Schädlingsprogramme, die sich nicht nur selbst verbreiten und Nachrichten hinterlassen wie in den Anfangs-Hackerzeiten, sondern auch bösartig agieren, also etwa Daten ausspähen oderr Informationen löschen.

Trojaner
Programme, die etwas anderes tun, als sie vorgeben – also zum Beispiel Spionage-Software oder Wirtsprogramme für Viren.

Keylogger
Ein Leylogger liest mit, was der Nutzer tippt – und sendet die Daten gegebenenfalls an einen Interessierten weiter. Häufig Teil von Trojanern, die über Viren und Würmer eingeschleust werden. Beliebt bei Cyber-Kriminellen für deren Jagd nach Banking-Zugangsdaten und Betiebsgeheimnissen.

Rootkits
Bekannt geworden durch das Sony-Rootkit, mit dem Raubkopierer von Musik-CDs erkannt werden sollten: Ein Rootkit versteckt eine Spionage- oder Schädlings-Software mit “Root”-Rechten (also Administrator-Privilegien) vor Security-Software und den Nutzern.

Intrusion Detection System
Ein Intrusion Detection System überwacht allen eingehenden Datenverkehr und anlysiert ihn auf Angriffsmuster. Die meisten IDS sind mit Firewalls gekoppelt, um erkannte Angriffe per Firewall gleich abzublocken. Manche IDS püfen in einer “Sandbox” (einem geschützten virtuellen Raum), was die eingehenden Daten bewirken.

Unified Threat Management
Hier werden viele Lösungen zu einer Gesamtpaket zusammengefasst, meist als Appliance, die direkt an das Netz-Gateway eines Unternehmens gesetzt wird.