Strategien und Ausblicke | Teil:1

Unbestrittenes Faktum ist, dass sich in den letzten vier bis fünf Jahren die Malwareszene zunehmend kriminalisiert und kommerzialisiert hat. Man kann mit recht von "Crimeware" sprechen, die nichts mehr mit "klassischen" Virenprogrammen zu tun hat. Heute geht es vor allem darum, finanziell möglicherweise lukrative Informationen auszuspionieren oder Computer und Webseiten heimlich für kriminelle Zwecke zu nutzen. "Das Internet gleicht vom Gefahrenpotential mittlerweile eher einem Minenfeld", beschreibt etwa Matthias Malcher, G DATA Countrymanager Österreich, die aktuelle Situation.

Belebt wird diese "Szene" von einem Schwarzmarkt, auf dem Personaldaten ebenso zu haben sind wie Kreditkartennummern, Bankaccounts oder praktikable Toolkits, um im Internet Geld zu machen. Es hat sich eine Milliarden Euro schwere Schattenwirtschaft entwickelt, arbeitsteilig durchorganisiert und global tätig, die auch die Ressourcen hat, um vielversprechende Objekte sehr gezielt und raffiniert unter Beschuss zu nehmen.

Für spezielle Anforderungen entwickelte "Designer-Malware" und für den Massengebrauch entwickelte "Wegwerf"-Trojaner schaffen zusammen mit der unermüdlichen Spamflut eine Bandbreite an Bedrohungen und Belästigungen, die noch vor wenigen Jahren undenkbar gewesen ist. "Auch die millionenfachen Penny-Stock-Spam-E-Mails versprechen den Spammern eine gigantische Einnahmequelle - selbst dann, wenn auch nur eine Promille-Anzahl den Aktienempfehlungen der Spammer nachkommt", analysiert Andreas Kroisenbrunner, Avira Country Manager Österreich, die Einnahmemöglichkeiten der Crimeware- und Spam-Branche.

Paradigmenwechsel mit weitreichenden Konsequenzen

Diesen Paradigmenwechsel spürt auch die Security-Branche. "Vor zwei Jahren konnten wir noch 90% aller Schädlinge mit rund 250.000 Signaturen erkennen", erläutert dazu Axel Diekmann, Managing Director Central Europe, Kaspersky Lab, der für 2008 damit rechnet, dass hier die Millionengrenze durchbrochen wird.

Aber nicht nur diese Flutwelle an "bösem Code" ist eine Herausforderung, auch der Infektionsweg beginnt sich zu verändern: neben E-Mail-Attachments treten zunehmend "Drive-By-Infektionen" auf. Dazu Diekmann: "Im schlimmsten Fall infiziert der User seinen Rechner allein durch das Ansurfen einer Website, ohne bewusst etwas herunterzuladen oder die Ausführung einer Datei zu bestätigen. Der dafür notwendige Schadcode wird oft auf Webseiten eigentlich harmloser Anbieter eingeschmuggelt."

Die installierte Schadsoftware verhält sich dann so unauffällig wie möglich. "Dies beinhaltet auch automatische Updates im 5-Minuten-Takt, um den neuesten Antiviren-Signaturen zu entkommen!", wie Rainer Link, Senior Security Specialist Anti-Malware bei Trend Micro ergänzt. "Heutige Malware ist weniger auffällig, da sie für Cyberkriminelle die wirtschaftliche Grundlage ist."

Die Konsequenzen sind vielfältig und betreffen die globale Wirtschaft ebenso wie einzelne Unternehmen und Anwender. "Global entstehen Milliardenschäden durch den Missbrauch gestohlener Informationen. Langfristig könnte das Vertrauen in Online-Geschäfte, egal ob es sich um Online-Banking oder den Kauf und Verkauf von Gütern handelt, nachhaltig beschädigt werden", fasst Toralv Dirro - McAfee Security Strategist EMEA zusammen.

Umfassende Security-Konzepte sind gefragt

Unternehmen müssten sich bewusst sein, dass sie möglicherweise mit einem Wahrnehmungsproblem zu kämpfen haben, meint Trend Micro-Spezialist Link: "In der subjektiven Wahrnehmung der Anwender hat sich die Malware-Situation in den letzten Jahren stark verbessert, weil die klassischen signaturbasierten Ansätze für Virus-Scanning und URL-Filterung keine Malware finden." Doch gerade das Gegenteil sei Fall. Außerdem sei es heute bedeutend gefährlicher, "wenn ein Unternehmen über einen längeren Zeitraum ausspioniert wird, ohne etwas davon zu merken", so Axel Diekmann, Kaspersky Lab.

Es bestehe auch die große Gefahr, "dass die eigene IT-Infrastruktur gekapert wird und zur Spam-Schleuder mutiert", betont Oliver Kunzmann, Business Consultant, Norman Deutschland & Österreich. Deshalb wird es, wie Marcus Rapp, Product Specialist bei F-Secure beifügt, immer wichtiger, "die gesamte eingesetzte Software auf Sicherheitslücken zu überwachen und ständig aktuell zu halten."

Die Konsequenz muss also sein, ein umfassendes Security-Konzept zu entwickeln, "das beispielsweise auch die Netzwerkzugangskontrolle berücksichtigt und sicherstellt, dass sich nur ausreichend geschützte Endgeräte ins Netzwerk einklinken dürfen", so Christoph Hardy, Security Consultant, Sophos GmbH.

"Wichtig sei auch ein umfassendes Consulting vor der Kaufentscheidung und während der Laufzeit." betont Andreas Kroisenbrunner, Avira. "Ziel muss es sein, am Ende des Prozesses ganzheitlich angepasste Strukturen zu haben, die das Unternehmen signifikant vor aktuellen und künftigen Risiken schützen. Das kann ein individuelles Implementationskonzept, Schulungen und Trainings der Mitarbeiter und IT-Sicherheitsbeauftragten oder eine begleitende Überwachung sicherheitsrelevanter Prozesse beinhalten."

Quadratur des Kreises

In Anbetracht der genannten, rasch wechselnden Bedrohungen befinden sich die Security-Hersteller in einer Zwickmühle. "Das Katz und Maus-Spiel zwischen Malware-Autoren und Antiviren-Herstellern hat deutlich an Fahrt zugenommen", meint etwa Matthias Malcher, G DATA. "Immer mehr Schadprogramme müssen in den Virenlabors untersucht werden. Die Reaktionszeit auf neue Gefahren ist also ein entscheidender Faktor."

"Antimalwarehersteller werden den Entwicklungen immer hinterherlaufen, das ist de facto so", meint Martin Penzes, Technischer Direktor von Sicontact, dem exklusiven Vertriebspartner von ESET-Produkten in Österreich. "Wir selbst können zum einen Aufklärungsarbeit betreiben. Zum anderen gilt es auf technologischer Ebene, die Heuristik, also das Erkennen unbekannter Bedrohungen, weiter und weiter zu verbessern, um den Schritt, den wir hinterherlaufen, schon zu antizipieren."

Vor diesen neuen Anforderungen geraten herkömmliche Technologien zunehmend ins Hintertreffen und es folgt daraus, dass sich die klassische Philosophie von reinen Antivirus-Produkten überlebt hat. "Heute muss eine Anti-Malware verschiedenen Aspekten der Schädlingsbekämpfung Rechnung tragen", so Joachim Neuhäusser, Channel Account Manager bei CA Software Österreich GmbH.

So haben für Rainer Link, Trend Micro, Pattern als proaktive Schutzmaßnahme überhaupt ausgedient: "Hier sind neue Schutzkonzepte gefragt, die in Echtzeit (d.h. ohne Patternauslieferungsverzug) vor bekannten und unbekannten Gefahren schützen. So kann man beispielsweise verschiedene Datenquellen wie Domain-Reputation, IP Geolocation, Spam History berücksichtigen und den Status in Echtzeit "in the cloud" überprüfen."

"Die Zukunft von Sicherheitsprogrammen kann sicherlich nicht mehr ausschließlich aus der althergebrachten Erkennung auf Signaturbasis bestehen, die gegenüber den immer schneller weiter entwickelten Schadprogrammen grundsätzlich nur reaktiv vorgehen kann. Die Kombination von Applikationskontrolle als Schutz für die hochsensiblen Bereiche im Unternehmen mit klassischem Blacklist-Virenschutz - idealerweise ergänzt durch flexible Behavior Blocking-Funktionen - bringt ein Ergebnis, bei dem hohe Sicherheit mit entsprechender Flexibilität erreicht werden kann. Auch Ansätze von Whitelisting werden im Unternehmensumfeld erprobt", weiß Alexander Austein, Principal Systems Engineer bei Symantec Österreich.

Und Joachim Neuhäusser, Channel Account Manager bei CA Software Österreich GmbH, ist überzeugt, dass der Markt "zunehmend eine Kombination von Antivirus, Antispyware und Intrusion Prevention-Systemen unter einem zentralen Management fordert. Die Hersteller müssen mit entsprechenden Produkten darauf reagieren."

Ist die Technik überfordert?

Einstimmigkeit herrscht darüber, dass der Einsatz von moderner Technik durch weitere Maßnahmen ergänzt werden muss. "Der beste Schutz vor Infektionen bleibt weiterhin der gesunde Menschenverstand", fasst Axel Diekmann die Ausgangssituation zusammen. "Die technische Umsetzung der Lösung ist bei den meisten Herstellern bereits passiert", betont Joachim Neuhäusser, CA, und fordert ein "Umdenken bei vielen Kunden". Ins selbe "Horn" stößt F-Secure Mann Marcus Rapp: "Technologische Mittel stellen einen wichtigen Baustein dar, aber ebenso müssen Prozesse und Denkweisen überarbeitet werden. Außerdem muss das Nutzerverhalten sensibilisiert werden."

Für McAfee Security Strategist Toralv Dirro ist offensichtlich, dass "eine Lösung nur in Kombination aus technischen Mitteln, organisatorischen Maßnahmen und der Aufklärung der Nutzer über die Risiken funktionieren kann." Dabei darf die organisatorische Seite nicht vernachlässigt werden: "Auf der technischen Seite sehen wir die Integration einzelner Lösungen in ein sogenanntes IT-Risiko Management, das zentral verwaltet und gesteuert wird. Hier lässt sich auch die organisatorische Seite wie Zugriffs- und Rechtebeschränkung abbilden." Dies könne über Compliance-Vorgaben und die Definition von Richtlinien gesteuert werden. In diesem Sinne ist, so Christopher Hardy, "Sicherheit nicht nur eine Frage der Technologie, sondern bedarf auch strategischer Erwägungen und Entscheidungen."

"Generell gilt, dass man beim Security in Depth Ansatz möglichst auf allen Ebenen die verfügbaren Mittel einsetzt. Also eben eine bestmögliche Konfiguration der Systeme, der Einsatz von Sicherheits-Software und regulatorische Kontrolle ihrer Wirksamkeit", fasst Alexander Austein, Symantec, die gestellten Herausforderungen zusammen.

Wie steht es um Security in Österreich?

Österreich ist keine Insel der Seligen - oder um es mit den Worten von Harald Philipp, Geschäftsführer Bitdefender Deutschland, zu formulieren: "Das Internet kennt keine Landesgrenzen. Deshalb wird auch in Österreich in Zukunft ein erhöhter Bedarf an ausgefeilten Sicherheitslösungen bestehen, um wichtige Daten von Unternehmen wie auch von Privatanwendern zu schützen."

Der hohe Anteil an kleinen und mittelständischen Unternehmen birgt in Österreich sogar eher einen Risikofaktor, meint Toralv Dirro, McAfee: "Studien von McAfee haben ergeben, dass sich solche Unternehmen oft gar nicht vorstellen können, Opfer von Angriffen zu werden. Viele halten sich dafür für zu wenig wichtig."

Auch für Andreas Kroisenbrunner, Avira Country Manager Österreich, zeigt sich der Mittelstand als Achillesferse: "Das liegt zum einen daran, dass sich die Mittelständler weniger mit der Thematik IT-Security beschäftigen oder nicht über die entsprechenden Fachkräfte verfügen. Zum anderen scheuen kleinen und mittelständischen Unternehmen nach wie vor die notwendigen Investitionen für Schutzmaßnahmen. Unser Ziel ist es, in diesem Bereich mehr Aufmerksamkeit zu erzeugen und damit zu einer sicheren IT-Struktur der kleinen und mittelständischen Unternehmen beizutragen."

Die aktuelle Marktsituation unter den Anbietern wird zunehmend als Verdrängungswettbewerb beschrieben. "Um hier bestehen zu können, reicht es nicht aus, einfach einen reinen Malware-Schutz anzubieten. Gefragt sind integrierte Lösungen, die alle Bereiche der IT zuverlässig schützen und es zudem ermöglichen, gesetzliche und firmeneigene Sicherheitsrichtlinien effizient umzusetzen. Auch der Bedarf an Consultingleistungen wächst", weiß Christoph Hardy, Sophos.

"Unternehmen suchen dafür qualifizierte Partner, die technisch ausgereifte Sicherheits-Produkte liefern. Heute wird also nicht mehr aus der Hüfte geschossen, sondern Anbieter werden genau geprüft und erst nach reiflicher Überlegung ausgewählt", meint Alex Diekmann, Kaspersky Lab, der aber insgesamt das Sicherheitsbewusstsein in Österreich im Vergleich zu anderen europäischen Ländern als relativ hoch einschätzt.

Was ist für Antimal- und -spamware im Businessumfeld wichtig?

"Neben der Erkennungsrate ist die möglichst vollständige Vermeidung von Fehlalarmen ein wesentlicher Punkt für den Einsatz im Unternehmen. Fehlalarme können sehr schnell viel höhere Kosten verursachen als ein wirklicher Ausbruch von Malware", so Toralv Dirro.

"Wir müssen unseren Kunden innovative Lösungen für eine maximale Sicherheit im Internet bieten können, ohne jedoch den Ressourcenverbrauch der Rechner zu erhöhen. Zudem müssen sie einfach zu gebrauchen sein", meint etwa Margarita Mitroussi, zuständig für die Pressebetreuung bei Panda Security.

Besonders Gewicht wird seitens der Hersteller auch auf ein einheitliches Management gelegt. "Für uns als Lieferant von Kunden mit großen Netzwerken ist nach wie vor einfaches, leicht zu bedienendes Management ein Kernthema. Wenn die Bedienung der technischen Lösung zu kompliziert ist und deswegen die Performance leidet oder die Überwachung gar nicht stattfindet, hilft auch die ausgefeilteste Technologie nichts", erläutert Joachim Neuhäusser, CA Software Österreich.

"Managementlösungen werden inzwischen von allen wichtigen AV-Herstellern angeboten, aber auch hier gibt es große Unterschiede, gerade was die Skalierbarkeit in größeren Netzwerken betrifft. Aus diesem Grund sollten Unternehmen während der Evaluationsphase nicht nur auf die Feature-Liste eines Anbieters schauen, sondern sich auch von der Tauglichkeit im Großeinsatz überzeugen", meint Alex Diekmann. "Eine zentrale und benuterzfreundliche Managementkonsole erleichtert die Verwaltung und spart Zeit, Nerven und Geld. Dieser Aspekt ist häufig für KMUs ausschlaggebend", so Andreas Kroisenbrunner, Avira,

Ein in der Vergangenheit nicht immer mit Lobeshymnen bedachtes Gebiet war die Perfomance der eingesetzten Security-Applikation. Das Ziel ist freilich, dass man "die Existenz einer Antimalwaresoftware nicht zu spürt", ist Martin Penzes, Sicontact, überzeugt. "Das heißt, Produkte sollten zum einen wenig Speicherplatz benötigen und gleichzeitig den Computer nicht verlangsamen." Dem kann Oliver Kunzmann, Norman, nur zustimmen: "Verfügbarkeit und Performance sind ganz wichtige Punkte. Security-Lösungen dürfen den Rechner nicht belasten. Die Anwender würden sonst Mittel und Wege finden, um den Virenschutz zu umgehen, und das wäre kontraproduktiv."

Für Andreas Kroisenbrunner lässt sich durch Anpassen des Suchumfangs und der Suchintensität an die individuellen Bedürfnisse beziehungsweise der technischen Gegebenheiten die Performanz zusätzlich steigern. Wichtig sei aber auch "plattformübergreifender Schutz, das heißt die Sicherheitslösungen sollten für Windows sowie die gängigen UNIX-basierten Plattformen verfügbar sein."

Für Christopher Hardy ist neben einer möglichst einfachen und zentralen Verwaltung das häufige und regelmäßige Aufspielen von Updates wichtig. Entscheidend ist für ihn auch der Service der Hersteller: "Die ständige Erreichbarkeit der zuständigen Mitarbeiter, deren Fachkompetenz sowie ein reibungsloser Support sollten gewährleistet sein."

Neue Chancen für gehostete Security-Services?

"Gehostete Security-Dienste sind vor allem für kleinere und mittlere Unternehmen attraktiv, die das entsprechende Know-how und die Kapazitäten nicht inhouse bereitstellen können oder wollen", meint Oliver Kunzmann, Norman.

"Das Marktforschungs- und Beratungshaus Gartner erwartet bereits für 2011, dass 25% der neuen Business-Software als SaaS geliefert wird. Aktuell sind es gerade einmal 5%", erklärt Alexander Austein, Symantec. Und auch bei Panda Security ist man überzeugt, dass "gehostete Security Services in Zukunft mit ansteigender Akzeptanz von Seiten der Nutzer an Bedeutung gewinnen werden. Sie ermöglichen höhere Erkennungsraten, da Technologien eingesetzt werden können, die auf "normalen" Systemen aufgrund der fehlenden Rechenleitung nicht erbracht werden können."

"Wir sehen in diesen sogenannten Managed-Security-Services eine Chance auch für kleinere Unternehmen, aktuelle Lösungen zum Schutz effektiv einzusetzen, ohne dafür eigens geschultes Personal und weitere Ressourcen zu haben", meint Toralv Dirro, McAfee. "Das Auslagern des Managements an Partner, denen man auch sonst die Konfiguration des Netzwerkes und die Beratung anvertraut, bietet neue Möglichkeiten."

Von hervorragenden Chancen für Hosted Security Services ist man bei Kaspersky Lab überzeugt: "Vor allem der Mittelstand profitiert durch den Einsatz von Hosted Security Services und erreicht dadurch ein Sicherheitsniveau, das sich sonst nur große Unternehmen leisten können. Dies trifft für Österreich ebenso zu, wie für alle europäischen Märkte, in denen wir tätig sind."

Vorsichtiger formuliert Christoph Hardy, Sophos: "Security ist für Unternehmen heute ein so wichtiges und sensibles Thema, dass man es ungern außer Haus gibt. Immer mehr Unternehmen entscheiden sich daher für den Einsatz von Security-Appliances, die sich mit wenig Aufwand verwalten lassen und eine gute Alternative zum Outsourcing darstellen. Die Daten selbst bleiben auf jeden Fall im Unternehmen." Und für Martin Penzes, Technischer Direktor von Sicontact, machen gehostete Security-Lösungen nur dann Sinn, "wenn zudem weitere IT-Services ausgelagert werden."

"Hosted-Security-Lösungen machen nach unserer Einschätzung generell wenig Sinn", findet Matthias Malcher, G DATA, zu. "Die Kostenvorteile sind auf Kundenseite faktisch nicht vorhanden. Im Vergleich zu anderen Herstellern haben wir bei der Entwicklung unserer Business-Lösungen größten Wert darauf gelegt, Security-Performance mit Usability in Einklang zu bringen."

Für Harald Philipp, Bitdefender, sind die Internet Service Anbieter "die natürlichen Wächter für gehosteste Security-Dienste und wir unterstützen sie dabei mit den nötigen Mitteln, wie zentral verwaltbare Client Security, sowie mit Sicherheitslösungen für Server."

Eine differenzierte Haltung zu diesem Thema nimmt Andreas Kroisenbrunner, Avira, ein: "Um sich umfassend zu schützen müssen Betriebe ein Sicherheits-Modell wählen, das ihren Bedürfnissen und ihren IT-Umgebungen am besten entspricht. Security as a Service ist dabei vor allem für Unternehmen eine Option, bei denen kein individuelles Implementierungskonzept nötig ist, d. h. wo nur wenig oder keine individuellen Anpassungen vorzunehmen sind und kaum direkte Kontrolle der Software erforderlich ist. Bei komplexen IT-Strukturen oder vielfältigen Sicherheitsregeln ist Security as a Service sicher nicht die beste Wahl." Zudem müsse sich jeder Nutzer von Security as a Service-Modellen über die Abhängigkeit von einem externen Partner bewusst sein und unbedingt Vorkehrmaßnahmen für den Ausfall des Service-Providers treffen.

Fazit

"Der Kampf gegen die Kriminellen ist von staatlicher Seite äußerst schwierig, da diese - vergleichbar mit Großunternehmen - weltweit agieren. Multinationale Konzepte zur Bekämpfung sind von Seiten der Strafverfolgungsbehörden kaum ausgeprägt und scheitern bereits an fehlenden international verzahnten Strukturen der Verbrechensbekämpfung", zeichnet Matthias Malcher, G DATA, ein düsteres Zukunftsbild.

Gibt es also keine Chance, aus der Defensive zu kommen? "Das Bewusstsein in Punkto Sicherheit ist auch bei Software-Entwicklern oftmals nicht ausreichend geschärft, obwohl es das sein sollte", zeigt Harald Philipp, Bitdefender, einen weiteren Aspekt auf. "Im Zuge eines Umdenkens im Bereich Sicherheit muss in Zukunft in größerem Umfang präventiv vorgegangen und bereits bei der Programmierung eventuellen Sicherheitslücken entgegengewirkt werden."Zumindest die Fehler, die man selbst vermeidet, können andere nicht bösartig ausnützen ...

Weiter zu Teil 2 - Produkttrends