Interview Security
Bild. ESET
Juraj Malcho, CTO von ESET, auf der Terrasse des Hauptquartiers in Bratislava.
Bild. ESET

Interview - Juraj Malcho, ESET

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir haben mit ihm über die Vergangenheit und Zukunft von Antiviren-Lösungen gesprochen.

von: Rudolf Felser

Juraj Malcho ist ESET schon seit Jahren treu. Noch während seinem Studium an der Slowakischen technischen Universität in Bratislava hat er 2004 als Malware Researcher bei dem Antiviren-Spezialisten angefangen und sich dann hochgearbeitet, erst zum Leiter des Viren-Labors, später zum Chief Research Officer und schließlich Anfang 2017 zum CTO. Monitor hat ihn in der Unternehmenszentrale zum Gespräch getroffen.

30 Jahre NOD, 25 Jahre ESET - Wie hat sich das Antivirus-Geschäft in dieser Zeit entwickelt?

Bis in die 2000er-Jahre waren Viren eher so etwas wie elektronisches Graffiti. Ihre Entwickler wollten damit zeigen, was sie können, und nicht große Schäden verursachen oder Geld damit verdienen. Früher wurde den Antivirus-Herstellern sogar noch vorgeworfen, sie würden Malware entwickeln, damit sie etwas zu tun bekommen. Doch die Motivation der Virenschreiber hat sich total verändert. Auch die Menge der neu gefundenen Viren ist seitdem deutlich gestiegen, auf hunderttausende täglich. Antiviren-Lösungen mussten sich weiterentwickeln. Sie mussten große Mengen an Malware adressieren, erste, frühe Machine-Learning-Ansätze wurden ausprobiert. Was ein großer Unterschied zu heute ist: Niemand hat darüber gesprochen, wie seine Technologie funktioniert – das war ein Betriebsgeheimnis. Man wollte weder, dass die Konkurrenz es weiß, und ganz bestimmt nicht, dass es die bösen Jungs wissen. Heute wird offen darüber gesprochen.

Ein Trend den wir sehen, ist, dass Sicherheitslösungen es den Unternehmen erlauben, ihre Verteidigungsmaßnahmen zu individualisieren. In den frühen 2000ern funktionierte Malware mit finanziellen Motiven noch über massenhafte Verbreitung. Das Ziel war, so viele Opfer wie möglich zu infizieren, um zum Beispiel an Kreditkartendaten zu gelangen. Heute hat jedes Unternehmen wertvolle Daten digital gespeichert und kann zum Ziel der Kriminellen werden. Wenn die es gezielt auf ein Unternehmen abgesehen haben, dann investieren sie mehr Zeit und versuchen herauszufinden, wie sie die Verteidigungsmaßnahmen aushebeln und in die Systeme gelangen können. Ein komplexerer Schutz ist unbedingt erforderlich. Gerade wenn man ein wirklich "hochwertiges Ziel" ist sollte man darüber nachdenken, wie man seine Angreifer überraschen kann. Die Hacker am anderen Ende der Datenleitung sind auch nur Menschen, das wird oft vergessen – Viren sind keine Magie.

Das ist es auch, was wir tun: Wir versuchen Tools zu entwickeln, die es den Menschen erlauben ihre Verteidigung und ihre eigenen Fähigkeiten zu verbessern. Damit jeder mit ihrer Hilfe ein echter IT-Security-Profi werden kann.

Trotz solcher Tools sollte eigentlich jeder zumindest ein Security-Basiswissen besitzen, oder?

Security-Professionals sollten sich natürlich auskennen. Aber das ist nur ein winziger Teil der Bevölkerung, die CISOs und IT-Security-Experten. Muss der normale User wirklich wissen, wie alles bis ins Detail funktioniert? Ich kann mir nicht vorstellen, dass meiner Mutter zu erklären. (lacht) Normale Menschen, denen es egal ist wie Technologie funktioniert, zu zwingen sich damit zu beschäftigen ist sinnlos. Was sie aber verstehen müssen ist, was die Nutzung von moderner Technologie impliziert. Nehmen wir meine Kinder als Beispiel, die sind sechs und acht Jahre alt. Denen sage ich, sie sollen bei Chats in Online-Spielen niemandem verraten wie sie heißen und wo sie wohnen. Das sind die Dinge, um die sich die Leute kümmern müssen. Das sind die Security-Aspekte, die sie verstehen müssen.

Eine grundsätzliche Awareness sollte also bei jedem vorhanden sein?

Natürlich, das ist ein Must. Aus großen Möglichkeiten erwächst auch große Verantwortung.

Das berühmte Spiderman-Zitat.

(lacht) Genau! Die Menschen müssen verstehen, dass ihr ganzes Leben heute online zu finden ist.

Haben Sie vielleicht ein paar Tipps für kleine Unternehmen ohne großes Budgets für IT-Security, wie sie sich schützen können? Wie sollen sie beginnen, ihre Verteidigung aufzubauen?

Das kommt darauf an, welchen Wert sie ihren Assets beimessen. Der eine investiert mehr, der andere weniger. Für den normalen User ist auf jeden Fall eine Antiviren-Lösung Pflicht, die vor herkömmlichen Angriffen schützt. Ebenfalls wichtig ist, aktuelle Systeme – also zum Beispiel nicht Windows XP – einzusetzen und sie auf dem neuesten Stand mit allen Patches zu halten. Das ist der Anfang. Ein grundsätzliches Computer-Verständnis gehört auch dazu. Es muss nicht zu tiefgehend sein, aber man sollte wissen, was man tut – gesunder Menschenverstand einfach. Wenn man dann in Richtung KMU geht, mit kritischeren Daten, sollte es zumindest einen Mitarbeiter geben, der sich auf IT-Security fokussiert, und die Unternehmen sollten sich Gedanken über Auditing und Policies machen. Denn es kann ganz schnell gehen und plötzlich hat man ein Security-Problem. Wenn man dann nicht weiß, was zu tun ist, bricht im Betrieb Panik aus. Eine grundlegende Sache sind zum Beispiel Backups. Trotzdem gibt es weiterhin Firmen, die sich nicht darum kümmern. Dabei sind Backups das Mindeste, um zumindest den Datenstand vom Vortag oder von letzter Woche wiederherstellen zu können. Das ist immer noch besser als Nichts.

Eine gute Möglichkeit für kleine Unternehmen sind auch Security Services. Im Prinzip können sie ihre Sorgen dann bei einem spezialisierten Partner abladen.

Trotzdem sollte es einen "Security-Menschen" im eigenen Unternehmen geben, schon allein als Schnittstelle zum externen Partner, oder?

Natürlich. Selbst als kleines Unternehmen hat man doch sicher einen "IT-Guy". Der hat bereits das nötige Grundverständnis und kann auch die anderen Mitarbeiter schulen. In IT-Unternehmen ist das sicher weniger ein Problem, da dort die Mitarbeiter zumindest ein bisschen etwas über IT-Security wissen und sich verantwortungsvoll verhalten. Aber in anderen Branchen fehlt vielleicht sogar auf der Management-Ebene das Verständnis für Security-Risiken. Insofern sind die Medienberichte über Ransomware & Co. hilfreich, weil die Leute anfangen sich Gedanken über Backups und IT-Sicherheit zu machen. Nehmen Sie zum Beispiel eine kleine Anwaltskanzlei. Für die sind ihre Daten unheimlich wertvoll. Rechner und Laptops lassen sich einfach ersetzen, wenn etwa ein Feuer ausbricht. Aber ohne Backups sind die Daten verloren.

Eine Anwaltskanzlei ist ein gutes Beispiel für ein kleines Unternehmen mit schützenswerten Daten.

Nicht nur Anwaltskanzleien, sondern auch andere Unternehmen haben noch ein weiteres Problem: Die EU-Datenschutzgrundverordnung klopft schon an die Tür. Alle, die sich bis jetzt nicht ausreichend um die Sicherheit ihrer Daten gekümmert haben, sind jetzt gezwungen das zu tun. Es geht dann nicht mehr nur darum, dass sie Backups haben, sondern auch darum, wie diese Backups abgesichert sind – zum Beispiel, ob sie verschlüsselt sind.

Viele Leute behaupten, bei einem aktuellen System – beispielsweise Windows 7 oder 10 –, das immer auf dem neuesten Update-Stand ist, reicht der von Microsoft integrierte Virenwächter. Wenn das stimmt wäre Antiviren-Software überflüssig. Was sagen Sie dazu?

Es ist auf jeden Fall besser als früher. Aber ich glaube nicht, dass Windows Defender an kommerzielle Antivirus-Lösungen heranreicht. Das Betriebssystem von Haus aus grundsätzlich abzusichern ist definitiv ein Fortschritt. Aber wir und unser Mitbewerb bieten einige darüber hinausgehende Funktionen. Die Diversität des Marktes trägt außerdem zur Gesamt-Sicherheit bei. Stellen Sie sich vor, jeder Anwender würde nur Windows Defender einsetzen. Dann gäbe es nur eine Technologie, die man überwinden müsste um in jedes System zu kommen. Das wäre wie einen 0-Day in Windows zu finden. Außerdem ist Windows Defender wesentlich weniger komplex als unsere Produkte. Es gibt sogar eine Untersuchung von Microsoft Research gemeinsam mit der École Polytechnique de Montréal die belegt, dass Märkte mit vielen verschiedenen installierten Antivirus-Lösungen normalerweise geringere Infektionsraten haben also solche Märkte, in denen ein Anbieter stark dominiert.

Wie sieht die Antivirus-Zukunft aus?

Wenn Sie eine Maschine schützen wollen, versuchen Sie an jedem Eingang präsent zu sein: Beim Eintreffen von Befehlen, vor, während und nach deren Ausführung, sie überwachen die Maschine, versuchen anormales Verhalten zu erkennen, verdächtige Uploads und Verbindungen zu verdächtigen Servern und so weiter. Wenn atypisches Verhalten erkannt wird, triggert das eine Aktion. Machine-Learning-Systeme, am Endpoint oder in der Cloud, sammeln Daten um sie zu vergleichen und zu validieren. Es gibt also eine gewisse Automatisierung, am Endpunkt oder in der Cloud werden Entscheidungen getroffen, es wird priorisiert und dann wird eine Aktion ausgelöst. Daran wird sich nichts grundlegendes ändern. Es geht darum, welche Algorithmen genutzt werden, wie man die Vorgänge effizienter gestalten, falsche Alarme herausfiltern kann. In der Welt der "Oldschool-Antivirus-Lösungen" werden also die falschen Alarme minimiert und Bedrohungen automatisiert entfernt. In Unternehmens-Umgebungen gibt es schon heute Endpoint-Detection-and-Response-Lösungen, die Alerts auf der Ebene des Unternehmensnetzwerks erzeugen, nicht erst am Endpoint. Das Problem dabei ist, dass diese Technologien heute nicht wirklich helfen, weil sie so viele Events erzeugen, die jemand überprüfen und priorisieren muss. Da sind so viele falsche Alarme dabei, dass die IT-Security-Experten die Nadel im Heuhaufen finden müssen. Die Herausforderung ist heute, wie man alle diese Events automatisiert priorisieren kann, damit der Experte sich nur um die wichtigen kümmern muss. Man kann alles überwachen – Netzwerk-Verbindungen, atypisches User-Verhalten, unerwartete Zugriffe – und alle diese Daten miteinander in Beziehung setzen. Aber bei einem Netzwerk mit tausenden Endpunkten endet man je nach Ansatz mit hunderten Alerts. Dann ist die Frage, ob man genug Mitarbeiter hat, die sich da durcharbeiten können.

Noch immer setzen die meisten Security-Lösungen an den Endpunkten an, auch wenn sie diese Daten dann sammeln und zum Beispiel in der Cloud weiterverarbeiten. Wäre es nicht sinnvoll, Security bereits auf höherer Ebene, in den übergeordneten Netzwerken, zu implementieren?

Auf jeden Fall. Das ist auch eine Richtung, in die wir bei ESET gehen. Wir bieten auch Netzwerk-Scanner-Module an und sind auf der Suche nach Partnerschaften mit Unternehmen die Netzwerk-Hardware herstellen, um ihnen unsere Content-Scanner zur Verfügung zu stellen. Die Welt bewegt sich in diese Richtung. Die Endgeräte werden immer abgeschlossener, die Betriebssysteme abgehärtet. Der Fokus in der IT-Security wird stärker auf die Netzwerk-Ebene gelegt. Wenn wir zum Beispiel das Internet of Things hernehmen – da kann man nicht auf jedem Endpoint eine Sicherheitslösung installieren. Die Herausforderung dabei wird die Verschlüsselung sein. Denn verschlüsselte Datenströme können nicht so einfach untersucht werden. Wenn man versucht an diese Daten beispielsweise über einen Man-in-the-Middle-Ansatz heranzukommen, kann das selbst wieder zum Sicherheitsrisiko werden.

Mehr Artikel zum Thema: Interview Security

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen

Was bedeutet KI für Cybersecurity?

Künstliche Intelligenz und Machine Learning liegen auch im...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

ESET: Suhl neuer Country Manager DACH

Holger Suhl übernimmt ab sofort die Position des Country...

Weiterlesen

IT-Sicherheit: Resignation ist unangebracht

Je besser ein Hausbesitzer Fenster und Türen absichert,...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen

Bitcoin als geschäftliches Zahlungsmittel

Risikofaktor, lohnendes Investment und anerkannte Währung -...

Weiterlesen

Nicht jammern, sondern etwas tun

Das in Linz gegründete Unternehmen Dynatrace zählt zu den...

Weiterlesen

Fachkräftemangel in Sachen Cybersicherheit – Fünf Ansätze

Gerade im Bereich Cybersicherheitsanalytik und -betrieb...

Weiterlesen

"Wir sind Dienstleister und Schnittstelle"

Als Bundesministerin für Digitalisierung und...

Weiterlesen

Privatsphäre beim Fernsehen schützen

Mit einer Security-Lösung für Smart TVs will ESET seine...

Weiterlesen

CYOSS übernimmt Mehrheit an RadarServices

Die österreichische RadarServices, führend in Europa bei...

Weiterlesen

KI als Security-Hilfsarbeiter

Vectra hat sich auf den Einsatz von künstlicher Intelligenz...

Weiterlesen

Erfolgsfaktor Spaß

"Wenn man eine gemeinsame Basis hat und gemeinsam lachen...

Weiterlesen

Doris Fiala wird Channel Managerin DACH

Doris Fiala ist neu an Bord bei LogPoint, einem Anbieter für...

Weiterlesen

Barmherzige Brüder auf neuestem Stand der Technik

In den Datacentern der Barmherzigen Brüder wurde eine neue...

Weiterlesen

NIS: Im Schatten der DSGVO

Auch wenn in der öffentlichen Wahrnehmung derzeit die...

Weiterlesen