Interview Security
Bild. ESET
Juraj Malcho, CTO von ESET, auf der Terrasse des Hauptquartiers in Bratislava.
Bild. ESET

Interview - Juraj Malcho, ESET

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir haben mit ihm über die Vergangenheit und Zukunft von Antiviren-Lösungen gesprochen.

von: Rudolf Felser

Juraj Malcho ist ESET schon seit Jahren treu. Noch während seinem Studium an der Slowakischen technischen Universität in Bratislava hat er 2004 als Malware Researcher bei dem Antiviren-Spezialisten angefangen und sich dann hochgearbeitet, erst zum Leiter des Viren-Labors, später zum Chief Research Officer und schließlich Anfang 2017 zum CTO. Monitor hat ihn in der Unternehmenszentrale zum Gespräch getroffen.

30 Jahre NOD, 25 Jahre ESET - Wie hat sich das Antivirus-Geschäft in dieser Zeit entwickelt?

Bis in die 2000er-Jahre waren Viren eher so etwas wie elektronisches Graffiti. Ihre Entwickler wollten damit zeigen, was sie können, und nicht große Schäden verursachen oder Geld damit verdienen. Früher wurde den Antivirus-Herstellern sogar noch vorgeworfen, sie würden Malware entwickeln, damit sie etwas zu tun bekommen. Doch die Motivation der Virenschreiber hat sich total verändert. Auch die Menge der neu gefundenen Viren ist seitdem deutlich gestiegen, auf hunderttausende täglich. Antiviren-Lösungen mussten sich weiterentwickeln. Sie mussten große Mengen an Malware adressieren, erste, frühe Machine-Learning-Ansätze wurden ausprobiert. Was ein großer Unterschied zu heute ist: Niemand hat darüber gesprochen, wie seine Technologie funktioniert – das war ein Betriebsgeheimnis. Man wollte weder, dass die Konkurrenz es weiß, und ganz bestimmt nicht, dass es die bösen Jungs wissen. Heute wird offen darüber gesprochen.

Ein Trend den wir sehen, ist, dass Sicherheitslösungen es den Unternehmen erlauben, ihre Verteidigungsmaßnahmen zu individualisieren. In den frühen 2000ern funktionierte Malware mit finanziellen Motiven noch über massenhafte Verbreitung. Das Ziel war, so viele Opfer wie möglich zu infizieren, um zum Beispiel an Kreditkartendaten zu gelangen. Heute hat jedes Unternehmen wertvolle Daten digital gespeichert und kann zum Ziel der Kriminellen werden. Wenn die es gezielt auf ein Unternehmen abgesehen haben, dann investieren sie mehr Zeit und versuchen herauszufinden, wie sie die Verteidigungsmaßnahmen aushebeln und in die Systeme gelangen können. Ein komplexerer Schutz ist unbedingt erforderlich. Gerade wenn man ein wirklich "hochwertiges Ziel" ist sollte man darüber nachdenken, wie man seine Angreifer überraschen kann. Die Hacker am anderen Ende der Datenleitung sind auch nur Menschen, das wird oft vergessen – Viren sind keine Magie.

Das ist es auch, was wir tun: Wir versuchen Tools zu entwickeln, die es den Menschen erlauben ihre Verteidigung und ihre eigenen Fähigkeiten zu verbessern. Damit jeder mit ihrer Hilfe ein echter IT-Security-Profi werden kann.

Trotz solcher Tools sollte eigentlich jeder zumindest ein Security-Basiswissen besitzen, oder?

Security-Professionals sollten sich natürlich auskennen. Aber das ist nur ein winziger Teil der Bevölkerung, die CISOs und IT-Security-Experten. Muss der normale User wirklich wissen, wie alles bis ins Detail funktioniert? Ich kann mir nicht vorstellen, dass meiner Mutter zu erklären. (lacht) Normale Menschen, denen es egal ist wie Technologie funktioniert, zu zwingen sich damit zu beschäftigen ist sinnlos. Was sie aber verstehen müssen ist, was die Nutzung von moderner Technologie impliziert. Nehmen wir meine Kinder als Beispiel, die sind sechs und acht Jahre alt. Denen sage ich, sie sollen bei Chats in Online-Spielen niemandem verraten wie sie heißen und wo sie wohnen. Das sind die Dinge, um die sich die Leute kümmern müssen. Das sind die Security-Aspekte, die sie verstehen müssen.

Eine grundsätzliche Awareness sollte also bei jedem vorhanden sein?

Natürlich, das ist ein Must. Aus großen Möglichkeiten erwächst auch große Verantwortung.

Das berühmte Spiderman-Zitat.

(lacht) Genau! Die Menschen müssen verstehen, dass ihr ganzes Leben heute online zu finden ist.

Haben Sie vielleicht ein paar Tipps für kleine Unternehmen ohne großes Budgets für IT-Security, wie sie sich schützen können? Wie sollen sie beginnen, ihre Verteidigung aufzubauen?

Das kommt darauf an, welchen Wert sie ihren Assets beimessen. Der eine investiert mehr, der andere weniger. Für den normalen User ist auf jeden Fall eine Antiviren-Lösung Pflicht, die vor herkömmlichen Angriffen schützt. Ebenfalls wichtig ist, aktuelle Systeme – also zum Beispiel nicht Windows XP – einzusetzen und sie auf dem neuesten Stand mit allen Patches zu halten. Das ist der Anfang. Ein grundsätzliches Computer-Verständnis gehört auch dazu. Es muss nicht zu tiefgehend sein, aber man sollte wissen, was man tut – gesunder Menschenverstand einfach. Wenn man dann in Richtung KMU geht, mit kritischeren Daten, sollte es zumindest einen Mitarbeiter geben, der sich auf IT-Security fokussiert, und die Unternehmen sollten sich Gedanken über Auditing und Policies machen. Denn es kann ganz schnell gehen und plötzlich hat man ein Security-Problem. Wenn man dann nicht weiß, was zu tun ist, bricht im Betrieb Panik aus. Eine grundlegende Sache sind zum Beispiel Backups. Trotzdem gibt es weiterhin Firmen, die sich nicht darum kümmern. Dabei sind Backups das Mindeste, um zumindest den Datenstand vom Vortag oder von letzter Woche wiederherstellen zu können. Das ist immer noch besser als Nichts.

Eine gute Möglichkeit für kleine Unternehmen sind auch Security Services. Im Prinzip können sie ihre Sorgen dann bei einem spezialisierten Partner abladen.

Trotzdem sollte es einen "Security-Menschen" im eigenen Unternehmen geben, schon allein als Schnittstelle zum externen Partner, oder?

Natürlich. Selbst als kleines Unternehmen hat man doch sicher einen "IT-Guy". Der hat bereits das nötige Grundverständnis und kann auch die anderen Mitarbeiter schulen. In IT-Unternehmen ist das sicher weniger ein Problem, da dort die Mitarbeiter zumindest ein bisschen etwas über IT-Security wissen und sich verantwortungsvoll verhalten. Aber in anderen Branchen fehlt vielleicht sogar auf der Management-Ebene das Verständnis für Security-Risiken. Insofern sind die Medienberichte über Ransomware & Co. hilfreich, weil die Leute anfangen sich Gedanken über Backups und IT-Sicherheit zu machen. Nehmen Sie zum Beispiel eine kleine Anwaltskanzlei. Für die sind ihre Daten unheimlich wertvoll. Rechner und Laptops lassen sich einfach ersetzen, wenn etwa ein Feuer ausbricht. Aber ohne Backups sind die Daten verloren.

Eine Anwaltskanzlei ist ein gutes Beispiel für ein kleines Unternehmen mit schützenswerten Daten.

Nicht nur Anwaltskanzleien, sondern auch andere Unternehmen haben noch ein weiteres Problem: Die EU-Datenschutzgrundverordnung klopft schon an die Tür. Alle, die sich bis jetzt nicht ausreichend um die Sicherheit ihrer Daten gekümmert haben, sind jetzt gezwungen das zu tun. Es geht dann nicht mehr nur darum, dass sie Backups haben, sondern auch darum, wie diese Backups abgesichert sind – zum Beispiel, ob sie verschlüsselt sind.

Viele Leute behaupten, bei einem aktuellen System – beispielsweise Windows 7 oder 10 –, das immer auf dem neuesten Update-Stand ist, reicht der von Microsoft integrierte Virenwächter. Wenn das stimmt wäre Antiviren-Software überflüssig. Was sagen Sie dazu?

Es ist auf jeden Fall besser als früher. Aber ich glaube nicht, dass Windows Defender an kommerzielle Antivirus-Lösungen heranreicht. Das Betriebssystem von Haus aus grundsätzlich abzusichern ist definitiv ein Fortschritt. Aber wir und unser Mitbewerb bieten einige darüber hinausgehende Funktionen. Die Diversität des Marktes trägt außerdem zur Gesamt-Sicherheit bei. Stellen Sie sich vor, jeder Anwender würde nur Windows Defender einsetzen. Dann gäbe es nur eine Technologie, die man überwinden müsste um in jedes System zu kommen. Das wäre wie einen 0-Day in Windows zu finden. Außerdem ist Windows Defender wesentlich weniger komplex als unsere Produkte. Es gibt sogar eine Untersuchung von Microsoft Research gemeinsam mit der École Polytechnique de Montréal die belegt, dass Märkte mit vielen verschiedenen installierten Antivirus-Lösungen normalerweise geringere Infektionsraten haben also solche Märkte, in denen ein Anbieter stark dominiert.

Wie sieht die Antivirus-Zukunft aus?

Wenn Sie eine Maschine schützen wollen, versuchen Sie an jedem Eingang präsent zu sein: Beim Eintreffen von Befehlen, vor, während und nach deren Ausführung, sie überwachen die Maschine, versuchen anormales Verhalten zu erkennen, verdächtige Uploads und Verbindungen zu verdächtigen Servern und so weiter. Wenn atypisches Verhalten erkannt wird, triggert das eine Aktion. Machine-Learning-Systeme, am Endpoint oder in der Cloud, sammeln Daten um sie zu vergleichen und zu validieren. Es gibt also eine gewisse Automatisierung, am Endpunkt oder in der Cloud werden Entscheidungen getroffen, es wird priorisiert und dann wird eine Aktion ausgelöst. Daran wird sich nichts grundlegendes ändern. Es geht darum, welche Algorithmen genutzt werden, wie man die Vorgänge effizienter gestalten, falsche Alarme herausfiltern kann. In der Welt der "Oldschool-Antivirus-Lösungen" werden also die falschen Alarme minimiert und Bedrohungen automatisiert entfernt. In Unternehmens-Umgebungen gibt es schon heute Endpoint-Detection-and-Response-Lösungen, die Alerts auf der Ebene des Unternehmensnetzwerks erzeugen, nicht erst am Endpoint. Das Problem dabei ist, dass diese Technologien heute nicht wirklich helfen, weil sie so viele Events erzeugen, die jemand überprüfen und priorisieren muss. Da sind so viele falsche Alarme dabei, dass die IT-Security-Experten die Nadel im Heuhaufen finden müssen. Die Herausforderung ist heute, wie man alle diese Events automatisiert priorisieren kann, damit der Experte sich nur um die wichtigen kümmern muss. Man kann alles überwachen – Netzwerk-Verbindungen, atypisches User-Verhalten, unerwartete Zugriffe – und alle diese Daten miteinander in Beziehung setzen. Aber bei einem Netzwerk mit tausenden Endpunkten endet man je nach Ansatz mit hunderten Alerts. Dann ist die Frage, ob man genug Mitarbeiter hat, die sich da durcharbeiten können.

Noch immer setzen die meisten Security-Lösungen an den Endpunkten an, auch wenn sie diese Daten dann sammeln und zum Beispiel in der Cloud weiterverarbeiten. Wäre es nicht sinnvoll, Security bereits auf höherer Ebene, in den übergeordneten Netzwerken, zu implementieren?

Auf jeden Fall. Das ist auch eine Richtung, in die wir bei ESET gehen. Wir bieten auch Netzwerk-Scanner-Module an und sind auf der Suche nach Partnerschaften mit Unternehmen die Netzwerk-Hardware herstellen, um ihnen unsere Content-Scanner zur Verfügung zu stellen. Die Welt bewegt sich in diese Richtung. Die Endgeräte werden immer abgeschlossener, die Betriebssysteme abgehärtet. Der Fokus in der IT-Security wird stärker auf die Netzwerk-Ebene gelegt. Wenn wir zum Beispiel das Internet of Things hernehmen – da kann man nicht auf jedem Endpoint eine Sicherheitslösung installieren. Die Herausforderung dabei wird die Verschlüsselung sein. Denn verschlüsselte Datenströme können nicht so einfach untersucht werden. Wenn man versucht an diese Daten beispielsweise über einen Man-in-the-Middle-Ansatz heranzukommen, kann das selbst wieder zum Sicherheitsrisiko werden.

Mehr Artikel zum Thema: Interview Security

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

Sicherheit beginnt mit dem richtigen Passwort

Wie ein sicheres Passwort aussehen sollte, hat jeder schon...

Weiterlesen

Mitarbeiter sind Sicherheitsrisiko Nummer eins

Die größte Gefahr für die IT-Sicherheit eines Unternehmens...

Weiterlesen

Urbanski wechselt zu ESET

Der europäische IT-Security Hersteller ESET begrüßt einen...

Weiterlesen

Grois leitet Sophos-Niederlassung

Sophos hat Wolfgang Grois zum Country Manager für Österreich...

Weiterlesen

"Das Wichtigste ist: Probier‘s aus!"

Wie so oft stand am Anfang eine Entscheidung: Praktikum bei...

Weiterlesen

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

"Digitale Transformation ist nicht die Zukunft, sondern jetzt"

"Arbeiten ist kein Ort, sondern ein Zustand den ich an- und...

Weiterlesen

Was macht einen Kunden loyal?

Es gibt keine zweite Chance für einen guten ersten Eindruck....

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den...

Weiterlesen

"Weniger Kryptografie ist manchmal mehr"

Nicht alle IT-Security-Probleme lassen sich mit Kryptografie...

Weiterlesen

Wie nimmt man die Mannschaft auf die Reise mit?

Viele IT-Unternehmen haben sich in den letzten Jahren stark...

Weiterlesen

Chaos muss man sich erst leisten wollen

Karl Grün ist Director Development bei Austrian Standards....

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

IT-Risikozone Finanzbranche

IT-Verantwortliche schlafen zur Zeit schlecht. Zu Recht! Sie...

Weiterlesen