![[GRAFIK]](56-1.jpg)
Content Security Systeme haben gegenüber Firewalls durch ihre regelbasierte Analyse eine erheblich größere Tragweite: Sie kennen Rollen (z. B. Officer) und Inhalte und versuchen, applikationsunabhängig die Bedeutung von Daten zu erfassen.
Die Geschichte der Computerviren feiert dieses Jahr ihr inoffizielles 20-jähriges Jubiläum. 1981 wurde auf einem Apple-II-System der erste dokumentierte, sich selbst fortpflanzende Programmcode entwickelt. Etwa zeitgleich entstand der Begriff des Computervirus. Zu jenem Zeitpunkt existierten solche Viren überwiegend in der Theorie oder höchstens in Laborumgebungen und stellten daher für die Arbeit mit dem Computer kein Problem dar.
Ein Computervirus ist per se lediglich ein Programmcode, der in jedem Fall ein Wirtsprogramm braucht, in das es sich einnisten kann, und der sich nach irgendeiner Logik selbst repliziert – ein Vorgang, der zwar ärgerlich, bis zu diesem Punkt aber nicht unbedingt spektakulär ist. Aufsehen erregend sind dagegen die möglichen Schadensteile eines Virus (auch Payload genannt). Sie verfügen über die gleichen Möglichkeiten wie ein Programm und können in einem ungeschützten System viel Schaden anrichten.
Der Wettlauf gegen die ersten Computerviren, die tatsächlich Computersysteme infizierten, begann jedoch erst 1986 mit dem Vienna- und dem Pakistani-Virus. Der Begriff der Computersicherheit beschränkte sich zu dieser Zeit bei vielen PC-Benutzern auf Backups und auf das Anketten von Hardware an die Tischplatte. Integritätsprobleme mit der Richtigkeit von Computercodes waren Stichworte, die lediglich einige wenige nachdenklich zu machen begannen, die ihrer Zeit voraus waren.
Später stieg die Zahl der Viren in immer kürzerer Zeit in immer größerem Maße. Mit den Makro-Viren wuchs ab Herbst 1995 das Gefährdungspotenzial stark an, da Office-Dokumente als ungefährlich galten und häufig weitergegeben werden, oft per E-Mail-Attachment. Heute müssen Virenautoren nicht einmal mehr selbst programmieren können: Virusgeneratoren aus dem Internet erstellen menügesteuert neue Schädlinge.
Um einige Jahre versetzt traten auch bei der Bekämpfung der Computerschädlinge neue Probleme auf: Ihre raschere Verbreitungsgeschwindigkeit ermöglichte Viren, ihre Schadensroutinen schneller als früher aktivieren und dennoch eine Vielzahl von Systemen zu infizieren. Die reine Virussuche, die vom Benutzer veranlasst (on demand) oder zeitlich vorgegeben (scheduled) durchgeführt wurde, reichte daher nicht mehr aus, um die Schädlinge zu bannen. Anti-Virus-Software musste eine standardmäßige Überprüfung auf Viren bei Dateizugriffen (Lesen, Schreiben, Starten etc.) einführen, so genannte "On Access"-Tests.
Bei zunehmendem Virenbestand wuchsen die Datenbanken mit den Virensignaturen stark an. Die Updates werden immer umfangreicher und müssen zudem in immer kürzeren Abständen erscheinen. Einige Hersteller stellen mittlerweile im Stundenzyklus Ergänzungen bereit. Die Administrierbarkeit von Anti-Virus Software stellt mittlerweise ein Kernproblem dar: Zentral gesteuerte Updateverteilung und Auswertung von Status- und Infektionsmeldungen sind im Unternehmensnetz unverzichtbar.
Die breite Öffentlichkeit kennt angesichts von wiederkehrenden Schlagzeilen wie "Computervirus verursacht Millionenschäden" Viren als ultimative Schädlinge und auch als Oberbegriff. Streng genommen haben jedoch Würmer die spektakulärsten Fälle der letzten Zeit verursacht. Anders als Viren befallen Würmer keine Wirtsdatei und verbreiten sich selbstständig über Netzwerkgrenzen. Auch weitere Gattungen von Computerschädlingen tragen seit einigen Jahren mehr oder weniger zum Gesamtschaden bei: Trojanische Pferde (oder kurz: Trojaner), Hintertür-Software (Backdoor Trojans), Hoaxes, Jokes und Mobile Code.
Da die Art der Gefährdung – und wie man ihr begegnen sollte – von der Art des Schädlings abhängt, lohnt eine Unterscheidung. Als Oberbegriff bietet sich Malware als Kurzform von Malicious Software, also bösartigem Programmcode, an. Dieser Begriffswechsel, der sich bereits seit Ende der 90er Jahre langsam vollzieht, steht jedoch nicht nur für neue Bedrohungen oder die Fähigkeit der Abwehrsoftware, auch andere Schädlinge außer Viren zu erkennen. Vielmehr unterstreicht dieser Begriffswechsel auch das Denken der Benutzer: Einem Anwender ist es egal, ob ein Virus, Wurm, Trojaner oder eine Mischung daraus seine Daten zerstört. Ihm geht es darum, solche Vorfälle zu verhindern.
Dabei wird häufig übersehen, dass der letztendliche Schutz von Unternehmensressourcen nicht nur eine technische, sondern in immer stärkerem Maße eine organisatorische Herausforderung darstellt. Der Benutzer von Anti-Malware-Software kann durch unbedachte Annahme oder Aussendung einer E-Mail immer noch großen Schaden anrichten: Bis die Schutzsoftware das neueste zerstörerische E-Mail-Attachment erkennt, setzt der Doppelklick auf den Anhang ungebremst die bösartige Fracht frei. Und ob ein Trojaner Firmengeheimnise ausspioniert oder ein Mitarbeiter gutgläubig auf eine gefälschte E-Mail-Anfrage seines vorgeblichen Kollegen antwortet und so zum Opfer eines Social-Engineering-Angriffs wird – das Ergebnis bleibt dasselbe.
Oft fehlt es an der Kommunikation zwischen der Technik oder Sicherheitsadministration und dem Anwender, der die Grenzen der Sicherheitsmaßnahmen nicht kennt. Gezielte Mitarbeitersensibilisierung von Artikeln in der Hauszeitschrift bis hin zu Bühnenshows zum Thema Sicherheit kann einen Großteil des Gefährdungspotenzials ausschalten. Die Mitarbeiter müssen einfache Regeln kennen, mit deren Hilfe sie beispielsweise E-Mails als unplausibel erkennen können, und Regeln, die ihnen vorgeben, wie man auf unplausible E-Mails reagiert und welche Aktionen zu ergreifen sind, falls ein Schaden auftritt.
Solche Regeln greifen naturgemäß nur, wenn sie auch unternehmensweit eingesetzt werden, das heißt wenn eine Anti-Malware-Policy als Teil der IT-Security-Policy existiert. Häufig fehlt in Unternehmen eine solche Richtlinie oder sie ist veraltet. Als Ergänzung sollte zusätzlich ein Notfallplan vorliegen, der beim Eintritt eines Malware-Schadens zum Tragen kommt. Auch hier ist es von großer Wichtigkeit, genau wie bei jedem anderen Notfallplan, regelmäßig den Notfall zu simulieren, um die Wirksamkeit zu testen.
Eine notwendige Ergänzung von klassischen Anti-Malware-Produkten stellen so genannte Content Security Systeme dar. Diese Systeme verarbeiten den ein- und ausgehenden Datenverkehr nach einem Regelwerk, das für bestimmte Mitarbeiterrollen, beispielsweise nach Abteilungen oder Hierarchie geordnet, bestimmte Berechtigungsszenarien ermöglicht, zum Beispiel:
Content Security Systeme haben gegenüber Firewalls durch ihre regelbasierte Analyse eine erheblich größere Tragweite: Sie kennen Rollen (z. B. Officer) und Inhalte und versuchen, applikationsunabhängig die Bedeutung von Daten zu erfassen.
Anti-Malware ist zwar auch hier ein wichtiges Element, die Stärke des Systems liegt jedoch im Regelwerk. Ein zentrales Content Security System stellt die logische Erweiterung einer Firewall am Netzwerkperimeter dar, da es die Kommunikation inhalts- statt verbindungsorientiert analysiert. Auch das Reporting solcher Systeme liefert interessante Erkenntnisse. Eine zentrale Auswertung in Bezug auf sicherheitsrelevante Ereignisse auf Gatewaysystemen dürfte künftig noch an Bedeutung gewinnen, da dort Management-Informationen anfallen, die zeitkritisch und erfolgsrelevant sind.
Ein Problem für zentrale Lösungen – egal ob Content Security System oder zentrale Anti-Malware-Produkte auf Servern, Firewalls und Mailsystemen – ist bereits heute der verschlüsselte Datenverkehr, etwa in Form von E-Mails. Eine Prüfung chiffrierter Daten auf schädliche oder unerwünschte Inhalte ist dort meist nicht möglich. Da aber gerade im E-Mail-Verkehr die Ansprüche an Vertraulichkeit zunehmen dürften, ist davon auszugehen, dass Verschlüsselung sich als Standard durchsetzen wird. Um weiterhin regelbasierte Content Security Systeme einsetzen zu können, werden sich voraussichtlich verstärkt client-basierte Content Security Systeme etablieren, die bereits heute ansatzweise in einigen Personal Firewalls zu finden sind.
Die Herausforderung an derartige Produkte wird erneut in der Administrierbarkeit und der Verteilung des aktuellen Regelwerkes liegen. Außerdem müssen Anti-Malware-Policies künftig speziell auf die Anforderungen von Mobile Clients eingehen (PDAs, Mobiltelefone etc.). Das bedingt unter anderem eine Verlagerung von dynamischen Informationen an zentrale Server im Internet, da nur auf diese Weise die unabdingbare Aktualität gegenüber Bedrohungen zu gewährleisten ist.
Bei Nutzung von Anti-Malware- und Content-Security-Systemen darf man im Übrigen die betriebliche Mitbestimmung durch den Betriebsrat nicht ußer Acht lassen, sobald Informationen über Personen erhoben und ausgewertet werden. Dies ist auch bei Anti-Malware-Produkten bereits dann anzunehmen, wenn bei den Administratoren Nachrichten über Virenvorfälle auf Anwendersystemen eingehen. Die Inhaltsprüfung von E-Mails sollte man unbedingt durch eine Betriebsvereinbarung regeln.
Angriffe durch Malware und Mitbewerber werden wohl weiter zunehmen. In dieser Richtung ein durchgängiges, zukunftsweisendes Konzept umzusetzen, dürfte daher einen klaren Wettbewerbsvorteil bedeuten.
Jochen Brunnstein ist Productmanager IT-Sicherheit
bei der ![[externer Link]](../../../../images/link.gif)
INFO
AG, Hamburg.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2001, Seite 56
