Abwehrkonzepte sollten keine Schönfärberei betreiben

Laut Gartner rücken Internetanwendungen im kommenden Jahr zur Nummer Eins bei der Verbreitung von Malware auf. Den drohenden Flächenbrand nur punktuell zu löschen, bringt einen indes kaum weiter. Gefragt sind vielmehr Konzepte, die sich wirksam in den Datenschutz und die vorhandenen IT-Sicherheitsrichtlinien integrieren lassen.

Immerhin: Der Ruf und die Glaubwürdigkeit von Unternehmen stünden auf dem Spiel, argumentieren die Marktforscher von Gartner. Die webbasierte Sicherheit sei endgültig zum "geschäftskritischen Faktor" aufgestiegen, so die Auguren. Während die Malware-Architekten oftmals leichtes Spiel haben, feilen die Sicherheitsspezialisten weiterhin an wirksamen Lösungsstrategien.

Die Liste der Anbieter mit dezidierten Konzepten wie URL-Filter oder Scanreports erweitert sich fast im wöchentlichen Rhythmus. Was indes zählt, ist die rasche Reaktion, um Eindringlinge möglichst schon an der Eingangstüre ins Unternehmen abzufangen. Doch ist die Umsetzung nicht leicht. Aus Sicht der Corporate Security lauert der erste Fallstrick spätestens bei der Umsetzung von Datenschutzrichtlinien.

Zwar bekräftigen so gut wie alle Abteilungen die Tatsache, dass Diebstahl oder der Verlust von Kundendaten einen schädlichen Einfluss auf den Markenwert und den Ruf der Organisation haben könnten. Bloß zieht diese Erkenntnis oftmals kein praktisches Handeln nach sich. Denn es fehlt an einer konsistenten Strategie, um die vielfältigen Gefahren aus der Tiefe des World Wide Web abzuwehren.

Abwehrphalanx bleibt ohne Durchschlagskraft

Bei kleineren Unternehmen scheitert dies allein schon am fehlenden Geld oder an mangelndem Personal. Aber auch größere Unternehmen bieten unzählige Schlupflöcher. "Web Reputation ist aber nur ein Teilaspekt von dem, was tatsächlich getan werden muss", sagt Raimund Genes, CTO Anti-Malware beim Sicherheitsspezialisten Trend Micro.

Zahlreiche große Hersteller von Anti-Malware-Konzepten arbeiten an entsprechenden umfassenden Lösungen, mitunter auch als Unified Treat Management (UTM) bezeichnet. Bislang jedoch ohne durchschlagenden Erfolg. Die Eindringlinge sind immer einen Schritt voraus.

Vor allem gelangen unbekannte Systemschwächen heute nicht mehr an den Hersteller, sondern an den Meistbietenden im Internet. Folglich lässt sich ein Endgerät kaum auf unbekannte Systemschwächen oder Schadsoftware überprüfen. "Dies ist natürlich möglich, generiert aber im Regelfall zu viele Fehlalarme", so Raimund Genes weiter.

Die in den letzten Wochen aufgrund des rasanten Marketings verstärkt auf den Plan getretenen Hersteller setzen auf mehr und vor allem schnellere Informationen über bereits gefundene Schwachstellen. So schützt etwa ein vom Sicherheitsspezialisten Grisoft entwickelter "LinkScanner" vor gefährlichen Websites und riskanten Downloads.

"Unsichere Hyperlinks und die Verwanzung seriöser Websites stellen eine der größten Bedrohungen seit dem Aufkommen der Viren dar", bekräftigt J.R. Smith, CEO von Grisoft. Das Unternehmen will die integrierte Lösung LinkScanner von der kürzlich übernommenen Exploit Prevention Labs in das AVG Anti-Virus Free einbinden. Darüber wird ein kostenloser On-demand-Service zum Scannen von Internetadressen direkt auf der AVG-Website angestrebt.

Konzepte der Hersteller bislang zu punktuell ausgerichtet

Andere Anbieter wie SecureComputing setzen vor allem auf leistungsfähige Echtzeit-Informationen über neue Schwachstellen. So stellt der Reputationsdienst TrustedSource.org ein Frühwarnsystem dar, das in Echtzeit IP-Adressen, Domains und URLs durchforstet und bewertet. Auch Ironport hat kürzlich seine Appliances um die neue Funktionalität eines reputationsbasierten URL-Filters erweitert.

Sicherheitsanbieter NetNames wiederum sorgt mit seinem Service "NetNames Platinum Service" dafür, dass Unternehmen bei der Vielzahl der Domainnamen und unterschiedlicher Regelungen den Überblick behalten sollen. Persönliche Kundenberater unterstützen demnach das Unternehmen dabei, eine individuelle Domainstrategie aufzubauen.

Zusätzlich der Experte für das Domainnamen-Management die Unternehmen, die verseuchten Domains "wiederzugewinnen", falls diese Opfer eines Missbrauchs geworden sind. So überwacht NetNames das Internet und informiert Firmen durch einen wöchentlichen "Name Alert" über neue Registrierungen, die den Markennamen enthalten. Und schließlich kann der Kunde dort auch sinnvolle Gegenmaßnahmen einleiten lassen.

Im Kern aber stellen derartige Informationsdienste kaum eine wirkliche Neuheit gegenüber den bereits seit Jahren erprobten Frühinformationssystemen aus der IT-Sicherheit dar, wie etwa dem von Symantec herausgegebenen Alert Service "Deep Sight Analyzer". Hinzu kommt, dass sich das Bedrohungsszenario seit Jahresbeginn durch "Storm" erheblich vergrößert hat.

Schutzsuiten dichten nur zentrale Löcher ab

Gefragt sind also umfassende und ganzheitlich ins Unternehmen integrierbare Schutzkonzepte. So hat Anti-Malware-Hersteller Trend Micro die so genannte "Domain Reputation" um zusätzliche Elemente erweitert. Seit kurzem ist das Frühwarnsystem in der Lage, die Umleitungen zu erkennen und abzublocken. Die neue Technologie Trend Micro Web Threat Protection trage dazu bei, Malware anders als bisher nicht nur über Virensignaturen zu bekämpfen, hofft Raimund Genes.

Trotz gradueller Fortschritte stellt sich die Frage, ob es überhaupt ein realistisches Ziel sein kann, die komplexe Infektionskette im Internet zu unterbrechen. Wollen die Anbieter dadurch letztlich nicht nur neue Tools vermarkten? Den IT-Sicherheitsspezialisten bliebe dann nur die etwas unliebsame Rolle, in der Schlacht um den guten Ruf des Unternehmens nicht gänzlich unterzugehen.

Finanzielle Mittel in der betrieblichen Budget-Planung für ein proaktiv aufgestelltes Web Reputations-Management freizumachen, stellt oftmals einen organisatorischen Drahtseilakt dar. Aufgrund der komplexen Bedrohungsmuster gilt es die technischen Lösungen deshalb in das gesamte Reputationsmanagement einzubinden, inklusive einer Evaluierung am gemeinsamen runden Tisch mit den zuständigen Fachabteilungen.

Basislektionen organisatorisch verankern

Gelingt die organisatorische Verankerung nur unzureichend, bleiben alle Bemühungen, einen größeren Schaden vom Ruf des Unternehmens abzuwenden, eine inhaltsleere Marketingblase. Denn die derzeit von den Abwehrspezialisten propagierten Lösungskonzepte allein können die via Internet oder eigene Webanwendungen eingeschleuste Malware kaum unschädlich machen.

"URL-Filter und Trafficscans reichen natürlich nicht aus, um die Reputation einer Web Seite zu bestimmen", sagt Raimund Genes. Er verweist auf Methoden, die Web Crawler austricksen und den Nutzern beim Crawlen eine "gute" Seite lediglich vorgaukeln. "Der echte, ehrliche Anwender, der zum Beispiel mit einem deutschen Browser surft, hat aber eine Webseite mit eingebetteter Malware zu verdauen", betont der Experte.

Erweiterte Kriterien ins Reputationsmanagement einbinden

Derzeitige Frühwarnsysteme sind außerdem nur auf herkömmliche Malware zugeschnitten und arbeiten hauptsächlich signatur- und nicht verhaltensbasiert, obwohl mittlerweile jeden Monat über 400.000 Schädlinge neu in Umlauf gelangen. Selbst wenn ein neuer Schadcode entdeckt wird, dauert es viel zu lange, um darauf mit einer neuen Signatur zu reagieren. Also könne sich ein umfassendes Reputationsmanagement nicht mehr ausschließlich auf Signaturen und auf regelmäßige Aktualisierungen des Anwenders verlassen, sondern müsse sich proaktiv auf neue Bedrohungen einstellen und diesen anpassen, regt Genes an.

Um Webseiten mit einer schlagkräftigen Reputation zu versehen, sollten neben URL-Filtering und Trafficscans deshalb wesentlich mehr Kriterien herangezogen werden, um die Seite zu bewerten. Hierzu gehören etwa die Stabilität und die Registrier-Informationen zur Seite sowie die Analyse von Malware und der darin befindlichen URLs, um Links auf "schlechte Seiten" aufzuspüren. Einzubeziehen wären auch Rückmeldungen der lokalen Antimalware Agenten bzw. Scanner.

Verändert der Besuch auf einer Webseite zum Beispiel die Registry oder wird versucht automatisch Code zu starten, kann der lokale Virenschutz bei manchen Herstellern mittels einer "Feedback Loop" diese Seite zumindest als verdächtig melden. "Dadurch werden alle anderen Anwender dieses Produktes bis zur endgültigen Analyse der Seite erst einmal geschützt", betont Genes.

de.trendmicro.com