Im toten Winkel der IT

Vor einigen Jahren musste ich realisieren, dass es einen Zustand gibt, den ich bis heute nicht gerne habe, die Ungewissheit. Eine überaus große Spinne fand den Weg in meine Wohnung, was mich zuerst erschrecken ließ. Nach dem ich die Utensilien fand, um sie in die Freiheit zu befördern, war diese Spinne nicht mehr zu sehen und genau dieser Moment versetzte mich, als arachnophoben Menschen, in eine wesentlich unangenehme Situation.

Toter Winkel und Security

Ebenso verhält es sich in der IT Sicherheit. Es ist gut zu wissen, dass Clients durch Virenschutzsysteme überwacht werden und diese gelegentlich Alarm schlagen. Was aber ist, wenn die Schutzsysteme nicht alles aufgedeckt haben? Angriffe, deren Muster nicht erkannt werden, Sicherheitslücken, die noch in keiner öffentlichen Datenbank bekannt sind, sondern nur auf dem Schwarzmarkt. Eine schreckliche Vorstellung. Man möchte nicht ein einziges Mal sein Kennwort für irgend einen Service eintippen, und doch bleibt einem nichts anderes übrig.

Zumindest im ersten Moment scheint die Situation aussichtslos. Es ist die Ungewissheit darüber nicht genau definieren zu können, ob und wo eine Gefahr besteht. In der Welt der Malware gibt es drei unterschiedliche Klassifizierungen von eingehenden Daten:

  • weiß
  • grau
  • schwarz

Weiß-klassifizierte Dateneingänge sind zuvor durch Systeme wie Antimalware Software als harmlos eingestuft worden. Keine bösartigen Signaturen wurden gefunden, ebenso hat das Emulieren nichts bösartiges zu Tage gebracht.

Schwarz-klassifizierte Dateneingänge sind sofort als bösartig erkannt worden und werden entsprechend behandelt. Das heißt es kann zur Löschung oder Quarantäne kommen.

Bleiben nur noch die grau-klassifizierten Eingänge. Einige Hinweise auf Malware könnten vorhanden sein, aber das Ergebnis ist unschlüssig. Ebenso können weiß-klassifzierte Dateneingänge zu grau wechseln, da beispielsweise kein Anzeichen für eine Bedrohung festgestellt worden ist, dafür aber ein Cloudsystem diesen Dateneingang in der Vergangenheit bereits schwarz-klassifiziert hat.

Um die Frage nach der richtigen Klassifizierung zu beantworten, benötigt es Systeme, die mehr Leisten als ein gewöhnlicher Virenscanner dies könnte. Eine Kombination aus vielen Elementen ist nötig:

  • Virenscan am Gateway
  • Virenscan am Proxy
  • Virenscan am Client
  • Virenscan am Server
  • Sandboxing als zentraler Service
  • Cloud Intelligence Dienst mit Bedrohungsevents aus aller Welt

Die Natur an dieser Stelle zu kopieren wäre augenscheinlich am sinnvollsten, das bedeutet Diversität: jeder eingesetzte Virenscanner stammt von einem anderen Hersteller. Somit erhöht sich die Chance auf einen Fund. Allerdings haben wir dadurch den gravierenden Nachteil, dass die einzelnen Punktlösungen nicht untereinander kommunizieren. Gerade die Kommunikation zwischen den Sicherheitsbausteinen ist aber elementar für den Erfolg, denn ist eine Klassifizierung erfolgreich und endgültig, so spart es Ressourcen. Es muss nur noch die Information ausgetauscht werden. Und damit wären wir in der Welt der “Connected Security”-Konzepte angekommen. Was hier noch auf uns zu kommt, werden die nächsten Jahre zeigen. Eines ist aber gewiss: Die Bedrohungen werden spezialisierter und wir brauchen dringend einen Schutz, der den toten Winkel der IT, die grau-klassifizierten Daten, ausleuchten kann.

Die Spinne habe ich übrigens nicht mehr gefunden!

Artikel teilen:

Kommentar verfassen