05.03.2008, 08:19 Uhr
Testen wo die IT-Security wirklich steht
Inwiefern kann man den erarbeiteten Schutz gegen Computerviren innerhalb eines technischen Audits prüfen lassen?
Marc Ruef ist Buchautor und Security Consultant beim Sicherheitsunternehmen scip AG, Zürich.
Antivirenlösungen spielen beim Absichern von Computersystemen seit Ende der 80er-Jahre eine wichtige Rolle. Spätestens mit der grossen Virenflut der 90er Jahre, die durch die globale Vernetzung durch das Internet vorangetrieben werden konnte, gehören entsprechende Produkte auf Arbeitsplatzrechnern, Servern oder Gateways einfach dazu.
Für viele Leute ist die Funktionsweise und Mächtigkeit der etablierten Antiviren-Ansätze nicht fassbar. Beim Wissen darum, ob und inwiefern nun mit welcher Form von schädlichem Programmcode umgegangen werden kann, muss man sich oftmals auf die Versprechen der jeweiligen Hersteller und Integratoren verlassen. Dass diese die Virenwelt aus Marketinggründen schöner reden wollen als sie ist, scheint absehbar.
Durch verschiedene Testmethoden kann die etablierte Sicherheit gegen Viren, Würmer und Trojanische Pferde in systematischer Weise analysiert werden. So lassen sich durch ausgeklügelte Testreihen Infektionen durch verschiedene Virenarten simulieren. Dabei werden bekannte Computerviren dahingehend präpariert, dass sie keinen Schaden mehr anrichten können (die Schadroutine wird einfach entfernt oder verändert).
Indem nun auf verschiedenen Wegen eine Infektion angegangen wird, kann die exakte Funktionsweise der jeweiligen Antivirenmechanismenbeobachtet werden. Dabei stellt sich die grundsätzliche Frage, ob der Schadcode überhaupt entdeckt wird. Weiterführend spielen Zeitpunkt, Effizienz und Effektivität der Entdeckung eine wichtige Rolle zur Erarbeitung von Kennzahlen für das geprüfte Unternehmen. Das Zusammenspiel verschiedener Technologien, Produkte und Konfigurationen gestaltet sich nämlich in höchstem Masse individuell.
Je nachdem ob der durchgesetzte Umgang mit den geprüften Viren den Erwartungen und Anforderungen entspricht, können sodann Optimierungen angestrebt werden. Das Einführen oder Austauschen von Produkten ist dabei genauso denkbar, wie das Verfeinern der jeweiligen Konfigurationseinstellungen. Im besten Fall lassen sich damit umfassende und für typische Schädlinge schier undurchdringliche Schutzwalle erarbeiten.
Bei der Überprüfung der Antivirenmechanismen gehen sogenannte Backdoor-Tests gar einen Schritt weiter. Bei solchen werden individuelle Trojanische Pferde für einen Kunden entwickelt. Diese Applikationen sind darum bemüht, mit den möglichen Mechanismen von Viren, Würmern und Trojanischen Pferden die Zielumgebung unentdeckt und uneingeschränkt zu kompromittieren. Dabei wird den individuellen Bedürfnissen und Schutzmassnahmen des geprüften Unternehmens Rechnung getragen.
Je nachdem wie viel Aufwand für die Entwicklung und Einspeisung einer solchen Hintertür betrieben werden will, können Beweise zur gegebenen oder fehlenden Funktionsweise teurer Produkte erarbeitet werden. Innerhalb von 40 Manntagen lassen sich, ist denn das technische Know-how vorhanden, selbst hochsichere Umgebungen scheinbar unentdeckt übernehmen und fernsteuern.
Diese absolute Aussage mag nun erschrecken und eine unliebsame Ohnmacht aufkommen lassen: Wieso sollte man also Geld in etwas investieren, das man sowieso nicht adäquat adressieren kann? Eine umfassende Prüfung ist jedoch in der Lage aufzuzeigen, welche Ebenen mit wenig Einsatz verbessert und damit der Aufwand für Angreifer überproportional erhöht werden kann. Zudem lässt sich damit ebenfalls in exakter Weise ermitteln, welche Voraussetzungen hochprofessionelle Angreifer (z.B. Organisierte Kriminalität oder Nachrichtendienste) mit sich bringen müssten, um ihre Ziele zu erreichen. Dies lässt die Erarbeitung einer genauen Risikokalkulation zu.
Marc Ruef