Advanced Malware Protection
Bromium-Lösung sperrt Schadcode gefälschter E-Mails ein
Virtualisierung und Isolation
Gefälschte E-Mails kursieren in immer größerem Umfang. Es vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Der Versuch, sie mit klassischen Security-Maßnahmen in den Griff zu bekommen, gleicht einem Vabanque-Spiel, warnt Security-Anbieter Bromium.
Schon seit Wochen warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) intensiv vor einer E-Mail-Spam-Kampagne mit dem Onlinebanking-Trojaner Emotet. Er infiziert E-Mail-Postfächer und Rechner und kann gesamte Netzwerke lahmlegen. Das BSI konstatiert: „Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor“
Das BSI empfiehlt zwar einige Schutzmaßnahmen, hält aber auch fest, dass es eine hundertprozentige Sicherheit nicht geben kann. So findet sich deshalb auch als verpflichtende Maßnahme aus Sicht des BSI die „regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge“. „Natürlich ist es richtig, wenn Unternehmen oder Behörden ihre Mitarbeiter entsprechend schulen und auf die Gefahren von E-Mail-Attachments hinweisen. Noch besser wäre es allerdings, wenn E-Mail-Nutzer mit einer technischen Lösung entlastet würden“, erklärt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn.
Das Problem klassischer IT-Sicherheitsmaßnahmen wie Firewalls, Web- und E-Mail-Filter oder Antiviren (AV)-Programmen ist, dass sie unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden auf die Malware-Erkennung angewiesen sind. Bisher unbekannter Schadsoftware wie einem neuen Virus in einem E-Mail-Anhang ist mit solchen Verfahren kaum beizukommen. Selbst wenn Lösungen wie die Next-Generation-AV-Produkte eine Erkennungsrate von 99 Prozent bieten, bezieht sich auch das nur auf bereits bekannten Schadcode. Was bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.
Die Herausforderung lautet folglich, das verbleibende Restrisiko in den Griff zu bekommen. Dabei rücken verstärkt neue Sicherheitslösungen ins Blickfeld, die einen gänzlich anderen methodischen Ansatz als herkömmliche Sicherheitslösungen wählen. Die Lösung lautet „Isolation statt Detektion“ und das technische Fundament dafür bildet vielfach die Virtualisierung.
Nicht auf die Detektion, sondern auf die Isolation zielen etwa Secure-Browsing-Lösungen ab. Sie werden aktuell in Ergänzung zu klassischen Sicherheitslösungen als zusätzliche Sicherheitslayer eingesetzt, um den zentralen Angriffsvektor Browser zu schützen. „Sie gehen mit der Isolation von Gefahrenherden in die richtige Richtung, greifen aber mit ihrer Browser-Fokussierung zu kurz, da sie andere Sicherheitsgefahren für Endgeräte wie E-Mails oder Downloads unberücksichtigt lassen“, so Koehler.
Auch Bromium geht mit seiner Lösung Secure Platform den Virtualisierungsweg. Die Lösung ist auf Kosteneffizienz, Sicherheit und Mitarbeiterentlastung ausgelegt und setzt ebenfalls auf Isolation statt Detektion. Das heißt: Es ist völlig egal, ob Schadprogramme einen Rechner erreichen oder nicht. Technische Basis ist die Micro-Virtualisierung: Sie kapselt jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs, das Downloaden eines Dokuments oder das Aufrufen einer Webseite in einer eigenen Micro-VM, die nach Beendigung jeder Aktion wie dem Schließen eines Files automatisch gelöscht wird. Eine Infizierung des Endgeräts mit neuer, bisher unbekannter Schadsoftware ist damit ausgeschlossen.
„Unsere Lösung entlastet die Mitarbeiter, da sie nicht mehr jeden Klick auf einen E-Mail-Anhang überdenken und auch nicht – wie vom BSI empfohlen – im Zweifelsfall mit dem E-Mail-Absender Rücksprache halten müssen“, betont Koehler. „Mit der Lösung wird damit nicht nur die Sicherheit erhöht, sondern auch eine Produktivitätsbeeinträchtigung verhindert.“