Nicht nur die fortwährenden Ransomware-Attacken, bei denen Daten nur gegen Lösegeld wieder herausgegeben werden, führen es IT-Verantwortlichen und Administratoren ebenso wie der Geschäftsführung deutlich vor Augen: Ein Ende des Kampfes um die Sicherheit der Daten und IT-Systeme ist nicht abzusehen. So erstaunt es auch nicht, dass in den Unternehmen vermehrt Sätze wie «Antiviren-Software ist mittlerweile überflüssig» oder «Wir brauchen andere, intelligente Lösungen, die unsere IT-Systeme schützen» zu hören sind. Doch was macht eine intelligente Sicherheitslösung aus? Und: Sind die bekannten Antiviren-Lösungen tatsächlich nicht mehr zeitgemäss?

Zu der Frage, ob Antiviren-Lösungen auf den Endgeräten heute noch notwendig sind, hat Martin Rösler, Director Threat Research bei Trend Micro Deutschland, eine klare Meinung: «Mal ganz böse formuliert: Wenn ich Windows 10 habe und die Schotten dicht mache und niemals etwas aus einer dubiosen Quelle installiere, sondern nur das, was Microsoft anbietet – dann stellt sich diese Frage wirklich. Aber wer macht das schon?» Ausserdem weist Rösler darauf hin, dass es gar nicht mehr korrekt sei, von einem Schutz vor Viren zu sprechen. «Das sind heute keine Viren mehr, das ist Malware.» Für Privatanwender sei es durchaus möglich, ein sicheres Windows-10-System allein mit dem zum Betriebssystem gehörenden Windows Defender als Schutz zu betreiben. «Bei Firmenkunden schaut es ganz anders aus. Dort werden Sie selten bis nie eine reine Windows-Umgebung finden.» Nächste Seite: Vorteil der nächsten Generation Wie hätte also eine moderne Sicherheitslösung auszusehen? Martin Rösler: «Es ist nicht mehr nur Viren- und Malware-Schutz. Es ist eine Kombination von verschiedenen Technologien. Da gehören auch Techniken wie Applikationskontrolle, grosses Monitoring und Machine Learning mit dazu.» Er betont, dass Pattern-Matching, was die meisten Anwender unter traditioneller Antiviren-Software verstünden, «ziemlich obsolet» sei: «Es dient nur noch dazu, dass Grundrauschen und ältere Gefahren fernzuhalten, die ja leider auch noch da sind.» Trend Micro bietet deshalb mit der Lösung XGen Endpoint Security im Rahmen seiner Smart Protection Suite einen Ansatz an, der die verschiedensten Methoden kombiniert, um so auch neue und bisher unbekannte Bedrohungen bekämpfen zu können. Dabei werden laut Trend Micro zuverlässige Verfahren für das maschinelle Lernen mit anderen Methoden zur Bedrohungsabwehr kombiniert. Ein Schlüssel zum Erfolg soll dabei der Austausch der sogenannten Bedrohungsdaten zwischen den einzelnen Sicherheitsebenen sein. Das dabei zum Einsatz kommende maschinelle Lernverfahren verwendet die durchgeführten Analysen sowohl vor der Ausführung eines Prozesses als auch während der Prozess läuft, was eine präzisere Erkennung möglich machen soll. Als weiteren Vorteil des Ansatzes von Trend Micro nennt Rösler, dass die Kunden dank flexibler Installationsoptionen zwischen cloudbasierter, lokaler oder hybrider Installation der Sicherheitslösung wählen könnten. So bietet der Hersteller etwa auch eine spezielle E-Mail-Security für Office-365-In­stallationen an, die unter anderem das direkte Sandboxing in der Cloud erlaubt. Diese Fähigkeit der Software, auch moderne Geschäftsprozesse zu schützen, die komplett in der Cloud ablaufen, wird nicht nur von Trend Micro als wichtiger Faktor für intelligente Sicherheitslösungen genannt.

Sascha Pfeiffer, Principal Security Consultant bei Sophos, erkennt bei den klassischen Ansätzen der Antiviren-Lösungen ebenfalls Probleme: «Antiviren-Software arbeitet sehr tief im System. Sie kann sich daher auch als Sprungbrett für einen Angreifer anbieten. So gibt es sicher einige Hersteller, die es mit der Security-Überwachung der eigenen Komponenten nicht so genau nehmen, was dann wiederum Kritiker zu der Aussage veranlasst hat, dass Antiviren-Software kein Schutz, sondern auch eine Gefahr für die IT sein könne.» Die Sophos-Entwickler hätten das Pro­blem der angreifbaren Sicherheits-Software schon länger im Visier. Sie schliessen daher Anwender und Administratoren mittlerweise von der Rekonfiguration der Sicherheits-Software aus: «Wir nennen diese Massnahme Endpoint Defense.» Durch diese Technik, so Pfeiffer weiter, könne Sophos auch verhindern, dass beispielsweise Fremdsoftware den Client fernsteuert, um auf diese Weise höhere Rechte auf dem Zielsystem zu erlangen. Auf «Next Generation»-Lösungen angesprochen, äussert sich Sascha Pfeiffer klar: «Es gibt im Moment sehr viele dieser Produkte, die sich verständlicherweise abgrenzen müssen und dann teilweise behaupten, sie brauchten kein Antivirus, da sie alle Fälle mit reinen Next-Generation-Funktionen erschlagen könnten. Das kann nicht klappen, weil deren Methodik nur bei bestimmten Arten von Eintrittsvektoren funktioniert. Wir empfehlen unseren Kunden deshalb auch, nicht auf traditionelle Antiviren-Lösungen zu verzichten, sondern Next-Generation-Funktionen neben solche etablierten Funktionen zu stellen.»

Sophos hat unter dem Namen Sophos Endpoint Protection kombiniert mit Sophos Intercept X eine solche Lösung im Portfolio. Sie kann zentral über eine Webkonsole verwaltet werden und bietet den IT-Profis in den Unternehmen neben den üblichen Funk­tionen unter anderem die Möglichkeit, mit speziellen Richtlinien die Sicherheit ihrer Client-Systeme zu konfigurieren und zu überwachen. Intercept X ist ein modulares Endpoint-Security-Produkt, das vielfältige Sicherheitsmassnahmen inte­griert und zugleich den Schutz vor Ransom­ware verstärkt. Intercept X ist eine Software des Unternehmens Invincea, das Sophos Anfang des Jahres übernommen hat. Invincea hatte sich auf das Gebiet «Machine Learning» spezialisiert und Next-Generation-Techniken in die eigenen Sicherheitsprodukte eingebunden. Zum Schutz vor aktuellen und neuen Bedrohungen arbeiten in Intercept X drei ineinandergreifende Ansätze: Um den Exploit-Schutz zu ermöglichen, kann die Software die Techniken abpassen, die zur Indizierung der Ransomware dienen. Weiterhin kann die Lösung laut Sophos Zero-Day-Attacken aufspüren und eine forensische Analyse liefern. Diese hilft dem IT-Personal dabei, der Quelle eines Malware-Angriffs auf die Spur zu kommen. Sollte es die Ransomware trotzdem schaffen, eine Verschlüsselung durchzuführen, startet Intercept X die Komponente CryptoGuard, die Sanierungsmassnahmen initiiert. Damit besteht laut Sascha Pfeiffer dann auch die Möglichkeit, Prozesse zurückzusetzen und auf diese Weise eventuelle Schäden rückgängig zu machen. Unter dem Oberbegriff Synchronized Security fasst Sophos nicht nur Endpoint- und Next-Generation-Endpoint-Lösungen zusammen, sondern unter anderem auch NG Firewall (Next Generation), UTM (Unified Threat Management) sowie die dabei eingesetzte Cloud Intelligence. 

Einige Anbieter nehmen für sich in Anspruch, den etablierten Antiviren-Herstellern mit reinen Next-Generation-Lösungen die Stirn zu bieten. Dazu gehört die Firma Palo Alto, ein Sicherheitsanbieter mit Fokus auf Next-Generation-Produkten. Für Martin Zeitler, Senior Manager Systems Engineering, Major Accounts Germany bei Palo Alto Networks, stellt sich die zentrale Aufgabe zunächst so dar: «Die grosse Herausforderung ist die Geschwindigkeit, in der wir neue Samples sehen. An sich ist die Signatur als Antiviren-Technik eine gute Technologie – wenn Sie eine richtig gut geschriebene Signatur haben, ist die Wahrscheinlichkeit, dass Sie dann ein False Positive kriegen, extrem gering.» Allerdings, so räumt er ein, bestehe dann ein entscheidendes Problem darin, flexibel auf die Veränderung aufseiten der Angreifer zu reagieren und die Erkenntnisse schnell genug mit dem Kunden beziehungsweise der Allgemeinheit zu teilen. Palo Alto setzt laut Zeitler an zwei Punkten an: «Ein Punkt ist die klassische Firewall im Netzwerk. Dabei sehen wir diese nicht mehr nur am Perimeter, sondern eigentlich in allen Bereichen der Enterprise-Infrastruktur – im Netzwerk zur LAN/WAN-Segmentierung, vor und auch innerhalb des Data Centers und in der Cloud – sowohl in Public als auch in Private Clouds. Wir sehen Firewalls überall dort, wo wir Netzwerkkomponenten haben oder Anwendungen ausführen, die in irgendeiner Form eine Sicherheitsabtrennung brauchen.»

Als zweiten Ansatzpunkt führt er die End­geräte an: «Firewalls werden seltener angegriffen. In der Regel gilt der Angriff dem Endpunkt, und nicht immer befindet sich eine solche Firewall zwischen Angreifer und Endpunkt.» Gegen klassische Mal­ware wie gegen Zero-Day-Exploits, die den Endpunkt angreifen, geht Palo Alto Martin Zeitler zufolge auf die gleiche Art und Weise vor: «Unser Ansatz ist immer Prevention. Wir wollen immer so viel wie möglich blockieren.» Dabei sei es für Palo Alto wichtig, dass die Kunden auch vor unbekannten Exploits geschützt sind, die vielleicht sogar erstmals auftauchen. Dafür stehe in der Lösung ein Exploit-Prevention-Modul bereit. Dieses überwache die Tätigkeiten der Programme im Arbeitsspeicher und könne dabei Exploit-Techniken erkennen und unterbinden. Neben dieser Exploit-Prevention setzt das Sicherheitsunternehmen in der Lösung Traps Advanced Endpoint Protection mit Multi-Method Malware Protection eine weitere Technik ein, die eine Ausführung von Malware verhindern soll. Als Teil der Next Generation Security Platform greifen diese Software-Module auf den als Wildfire bezeichneten Threat-Analyse-Dienst zu, der von Palo Alto in der Cloud betrieben wird. Bei dem Dienst handelt es sich um ein verteiltes Sensornetz, in das dem Hersteller zufolge mehr als 15'500 Kunden aus den Unternehmen, von Regierungsstellen und Providern entsprechende Informationen zu Bedrohungen einspeisen und auf diese Weise voneinander profitieren. Nächste Seite: Der NG-«Visionär» Ein weiterer Anbieter aus der Umfeld der Next-Genera­tion-Lösungen ist Carbon Black. Das Unternehmen fordert eine noch radikalere Abkehr von den bisherigen Methoden zum Schutz vor Schadsoftware. Zusammen mit Palo Alto Networks wurde Carbon Black von den Analysten des Marktforschungsunternehmens Gartner im Januar dieses Jahres im «Magic Quadrant for Endpoint Protection Platforms» in den Bereich der Visionäre eingeordnet, während die traditionellen Anbieter wie Trend Micro, Sophos und Kaspersky Labs im Quadranten der führenden Unternehmen (Leaders) zu finden sind. Volker Sommer, Regional Director DACH bei Carbon Black, macht die Position seines Unternehmens pointiert deutlich: «Viele Endpoint-Security-Lösungen, wie klassisches Anti­virus und Machine-Learning-Antivirus, sind nicht in der Lage, Non-Malware-Attacken zu identifizieren geschweige denn zu verhindern, und bieten Hackern dadurch eine Einfallmöglichkeit, die vollkommen unbeachtet bleibt.» Herkömmliche Antivirus- und Machine-Learning-Antivirus-Lösungen seien darauf ausgelegt, Bedrohungen ausschliesslich in einem einzigen Moment zu identifizieren – nämlich dann, wenn eine Datei auf die Festplatte geschrieben wird: «Indem sie lediglich die Eigenschaften von ausführbaren Dateien analysieren, sind diese Lösungen gegenüber Angriffen ohne Dateien, wie im Fall von Non-Malware-Attacken, vollkommen blind.» Das Ziel von Hackern sei, so Sommer weiter, sich Zugang zu Netzwerken zu verschaffen oder wertvolle Daten abzusaugen. Dies könnten sie mittels Non-Malware-Attacken erreichen, ohne dabei Gefahr zu laufen, entdeckt zu werden: «Dies gilt besonders, wenn Unternehmen sich auf Antivirus und Machine-Learning-Antivirus verlassen.»

Unter Non-Malware-Attacken versteht der Hersteller dabei Angriffe, die durch Standard-Anwendungsprogramme wie Microsofts Office Suite mittels Makros oder auch durch Systemprogramme wie die Powershell oder die DNS-Diensten in das Netzwerk beziehungsweise auf die Endgeräte gelangen. Die Lösung Cb Defense, die von Carbon Black als NGAV-Software (NGAV = Next Generation Anti Virus) bezeichnet wird, soll sowohl gegen «normale» Malware-Attacken als auch gegen die Non-Malware-Angriffe schützen können. Dazu wird ein sogenannter Light Weight Agent eingesetzt, den die IT von der Cloud aus verwaltet. Die Daten werden kontinuierlich und zentral in der Cloud ge­speichert. Dabei sollen «Threat Hunting»-Algorithmen, die in der Cloud aktiv sind, die Lösung in die Lage versetzen, auch bisher unbekannte Attacken zu erkennen. Die Entwickler bei Carbon Black sind davon überzeugt, dass künftig jede zukunftssichere Lösung Next-Generation Anti Virus (NGAV) umfassen muss. «Nur so sind Unternehmen in der Lage, hoch entwickelte Cyberangriffe einschliesslich Non-Malware-Attacken in Echtzeit zu erkennen und zu verhindern,» bringt Volker Sommer diese Einschätzung auf den Punkt. 

Aktuell sind die IT-Profis in den Unternehmen ebenso wie die Security-Firmen an einem Punkt angelangt, an dem sie immer wieder feststellen müssen, dass die traditionellen Methoden und Lösungen nicht mehr oder nur noch ungenügend vor neuen Bedrohungen schützen. Darüber hinaus kann solche Software häufig auch keinen ausreichenden Schutz für neue Geschäftsfelder beispielsweise aus der Cloud bieten. Trotzdem sind sich die von Computerworld befragten Sicherheitsexperten einig: Die traditionelle Antiviren-Software wird in Zukunft zwar nicht mehr die Bedeutung haben, die ihr noch vor wenigen Jahren zukam. Aber – und hier stimmen die Experten im Grossen und Ganzen ebenfalls überein – wir werden diese Art der Endpoint-Security noch eine ganze Weile weiterverwenden. Fast alle Security-Firmen ergänzen ihre Sicherheits-Lösungen mittlerweile durch sogenannte intelligente Techniken. So vertreten unter anderem die Experten von Kaspersky Labs in ihrem «IT Security Risks Report 2016» die Überzeugung, dass «99 Prozent der Sicherheitsrisiken durch hoch effiziente, automatisierte und intelligente Software-Technologien abgewehrt werden können». Insgesamt zeigten sowohl unsere Recherchen als auch die Interviews mit den Vertretern renommierter Sicherheitsfirmen, dass Next-Generation-Anbieter und traditionelle Antiviren-Hersteller in ihrer Einschätzung der Situation nicht so weit auseinanderliegen, wie es die jeweiligen Marketing-Abteilungen den Kunden immer wieder weismachen wollen. Doch was sollen die IT-Verantwortlichen in den Unternehmen nun tun, um ihre IT bestmöglich vor den wachsenden Bedrohungen zu schützen? Dazu Ondrej Kubovic, Security Awareness Specialist beim Anti­viren-Spezialisten Eset: «Wir empfehlen den Firmen eine Sicherheitslösung, die multiple Schutzmechanismen verwendet und nicht nur eine Technik – selbst wenn es sich dabei um Machine Learning handelt. Im Bereich der Cybersecurity gibt es keinen Königsweg.»