Isolieren statt erkennen: neue Wege der IT-Sicherheit

Jochen Koehler (Regional Director DACH) führt in seinem Beitrag neue Wege der IT-Sicherheit auf, um sich gegen Cyber-Angriffe effektiver zu wehren. (Foto: Bromium)

Seit Langem versuchen sich Unternehmen, Ämter und Behörden gegen Cyber-Angriffe zur Wehr zu setzen. Der Erfolg bleibt allerdings überschaubar, wie immer neue Sicherheitsvorfälle belegen. Der Grund ist klar: Die meisten der im Markt angebotenen Client-Sicherheitslösungen versuchen Attacken zu erkennen und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden. Intrusion-Prevention-Systeme oder Antiviren-Software, aber auch Next-Ge­neration-Firewalls sind auf die Malware-Erkennung angewiesen. Und genau da liegt das Problem: Die Netzkriminellen entwickeln ständig und in vielen Varianten neue Malware; schon geringfügige Änderungen genügen, damit Schadcode nicht mehr erkannt werden kann. Sobald aber ein Angriff auch nur an einer Stelle in eine Infrastruktur eingedrungen ist, ist eine IT-Infrastruktur dem Angriff weitgehend schutzlos ausgeliefert.

Manche Unternehmen versuchen sich mit Sandboxing-Lösungen zu schützen. Doch diese helfen hier nicht weiter, denn sie untersuchen Schadcode in einer isolierten Umgebung und können nur so gut sein, wie die Prüfverfahren, die sie verwenden. Kann die Sandbox eine Malware nicht erkennen, so kann diese den geschützten Bereich der Sandbox verlassen und die produktiven Systeme infizieren.

Auch sogenannte Next-Generation-AV-Lösungen, die Angriffe mit Hilfe von maschinellem Lernen und Künstlicher Intelligenz aufspüren, sind nicht das erhoffte Allheilmittel. Sie versuchen potenzielle Malware durch Codeanalysen vor der Ausführung von Aktionen auf den jeweiligen Endgeräten zu erkennen. Allerdings bleiben auch sie letztlich Antiviren-Programme, die auf die Erkennung angewiesen sind. Während klassische Antiviren-Programme allenfalls 40 bis 70 Prozent der Angriffe erkennen, erreichen Next-Generation-AV-Lösungen in Tests Erkennungsraten von bis zu 99 Prozent – jedoch wohlgemerkt nur von bereits bekannter Malware. Doch genau das ist für die Anwender das Problem: Durch die verbleibende Lücke kann Malware eindringen und die gesamte Infrastruktur infizieren. Zusätzlicher Schutz ist also unerlässlich.

Abhilfe schafft die Micro-Virtualisierung, wie sie Bromium mit seiner Secure-Platform-Lösung umsetzt. Anders als prüfungsorientierte Lösungen isoliert sie riskante Prozesse wie Internet Browsing oder das Öffnen von heruntergeladenen Dateien, auch von USB-Sticks und von E-Mail-Anhängen. Bromium nutzt dafür die Virtualisierung auf Prozessor-Ebene und kapselt alle Anwenderaktivitäten mit Daten aus unbekannten Quellen auf Basis Hardware-isolierter virtueller Maschinen. Eine Kompromittierung des Endgeräts und letztlich des Unternehmensnetzes über einen dieser Angriffswege ist damit nahezu ausgeschlossen.