Nur Virenscannen reicht nicht mehr

Abschied vom One-Trick-Virus

Der Begriff "Malware" bezeichnet nicht nur eine beliebige Art von "Produkt", das Schaden anrichtet. Malware erhebt auch den Anspruch, unter die Bezeichnungen Software und Hardware eingereiht zu werden und somit als ein - wenn auch ungeliebtes - Grundelement aller IT-Infrastrukturen zu gelten. Auf den ersten Blick scheint diese Einstufung übertrieben zu sein, aber sie wird Statistiken untermauern: Einer Studie der Metagroup zufolge (siehe Seite 16) schätzen IT-Anwender den durch Viren und ihre Nachfolger hervorgerufenen Schaden für ihre Rechner und Netzwerke als weltweit deutlich größer ein als den, der durch andere Angriffsformen verursacht wird. Auf Malware trifft man in einem Netzwerk also fast ebenso selbstverständlich wie auf Betriebssysteme, Router und Office-Applikationen. Ein Projekt mit dem Ziel, ein Netz auch vor jeder neuen Virengefahr konsequent abzuschotten, würde ähnlich enden wie der Versuch eines Menschen, sich vor jedem Schnupfen in Sicherheit zu bringen: mit totaler Isolation. Weil ein modernes Netz aber ohne Kontakte zur Außenwelt nicht mehr auskommt, müssen die Schutzmechanismen so arbeiten, dass sie die Systeme auch dann funktionstüchtig erhalten, wenn eine unbekannte Malware bereits eingedrungen ist.

Bekannte Methoden, die Leistung des klassischen Virenschutzes zu verbessern, sind:

- die Ergänzung durch heuristische Scan-Methoden: "Heuristik" bedeutet in diesem Fall die Suche nach Code-Elementen, die für Viren typisch sind;

- die Kombination mit Software, die das Verhalten von mobilen Codes in E-Mails und Webseiten überwacht: Behaviour-Blocker gehören inzwischen bei mehreren Herstellern zum Virenschutz-System. Norman geht mit einer Sandbox, die einen kompletten PC simuliert, noch einen Schritt weiter (Siehe NetworkWorld 22/2001, S. 40);

- gezielte Rechteblockade: Geschütze Bereiche schaffen die Möglichkeit, Codes an gefährlichen Maßnahmen wie Datei-manipulationen zu hindern;

- die Erweiterung der reinen Scanner um Cleaning-Tools, die entdeckte Viren wieder komplett vom befallenen System entfernen;

- Die Kombination mit Mechanismen zum schnellen Abblocken gefährlicher Dateitypen und zur schnellen Benachrichtigung der Anwender: Trend Micro zum Beispiel führt zur Zeit Systeme ein, bei denen bereits vor der Analyse eines neuen Malicious Codes zumindest der Dateityp blockiert werden kann, dem die Malware angehört. F-Secure denkt über Mechanismen wie die Signaturenverteilung per SMS nach.

Raimund Genes meint außerdem, dass Virenscanner in Zukunft mit Intrusion-Detection-Systemen (IDS) und Firewalls enger zusammenarbeiten sollten. Manche Hersteller statten ihre Produkte dazu mit Personal Firewalls aus. Auf längere Sicht werden sie über Agenten zunehmend Verbindungen zu Distributed Firewalls und IDS-Systemen herstellen. "Wir binden den Virenschutz schon jetzt neben Intrusion Detction, Firewall und VPN in die ´Internet Defense Tools´ ein, um eine Gesamtlösung zu schaffen", erklärt Tosten Koch, Leiter Indirekter Vertrieb Security, Network und Desktop bei Computer Associates Deutschland. "Nimda" machte außerdem deutlich, dass Systeme zur Überwachung und Wiederherstellung der Dateiintegrität, wie sie beispielsweise Tripwire herstellt, eine gute Ergänzung für den Virenschutz darstellen können.

Mikhail Kalinichenko, Technical Director beim Antivirus-Unternehmen Kaspersky Lab, sieht Schutzsysteme für Internet-Infrastrukturen, wie beispielsweise Webserver, als besonders wichtig an. "Die neuen Viren ´leben´ im Web", meint er, "sie sind manchmal noch nicht einmal darauf ausgerichtet, sich auf Datenträgern abzuspeichern, sondern bleiben in den Hauptspeichern der Server."

Nicht ganz einig sind sich die Hersteller über das Thema Viren auf Mobile Devices. Raimund Genes meint, dass im Grunde der Mitbewerber F-Secure diesen Markt geschaffen habe, und dass es für ein verstärktes Engagement auf diesem Gebiet vielleicht noch zu früh sei. Auch er ist sich aber sicher, dass in Zukunft mit Viren auf diesem Sektor zu rechnen ist. Mikhail Kalinichenko glaubt, dass es aufgrund der geringen Speicherkapazität heutiger Devices und der Vielzahl der Betriebssysteme noch geraume Zeit dauern wird, bis man das Thema aktiv angeht.

Travis Witteveen, General Manager bei F-Secure Deutschland, sieht das Problem unter einem anderem Blickwinkel: "Sobald die Geräte noch etwas leistungsfähiger sind und vielleicht nur noch ein oder zwei Betriebssysteme existieren - ich denke an Pocket PC und Palm -, wird die Gefahr akut. Wenn wir den Malware-Schutz bereits jetzt aufbauen, haben wir endlich einmal die Chance, den Virenprogrammierern nicht hinterherzulaufen." Witteveen befürchtet, dass Saboteure beispielsweise versuchen werden, Smartcards in Mobile Devices zu zerstören - mit der Nebenwirkung, dass bei einer solchen Attacke auch noch die Service-Stellen der Diensteanbieter überlastet würden.

Unterschiedlicher Meinung sind die Spezialisten auch über die Zukunft der E-Mail-Sicherheit. "HTML-Mails wird manches Unternehmen in Zukunft nicht mehr akzeptieren. Es geht zurück zu den ASCII-Wurzeln", meint etwa Raimund Genes. Travis Witteveen ist anderer Ansicht: "Die Anforderung, aktive Elemente und Gestaltungsmöglichkeiten in die E-Mails einzubauen, kam von den Anwendern und wurzelt in ihren Business-Prozessen. Nimmt man Makros und HTML wieder aus den Mails heraus, werden die weitergehenden Kommunikationsbedürfnisse mit anderen Lösungen gestillt - und dann entstehen dort wieder dieselben Gefahren."