Geschäftskritische Applikationen in isolierter Umgebung

Daten und Software voneinander trennen

| Autor / Redakteur: Karl Hoffmeyer* / Stephan Augsten

Gefährdete Anwendungen können im Idealfall nur nach einer Integritätsprüfung auf sensible Daten zugreifen.
Gefährdete Anwendungen können im Idealfall nur nach einer Integritätsprüfung auf sensible Daten zugreifen. (Bild: Archiv)

Verschiebt man Malware in Quarantäne, könnte man meinen, die Gefahr sei gebannt. Das ist aber ein Trugschluss, denn der Schädling könnte bereits Hintertüren geöffnet und Code aus dem Internet nachgeladen haben. Ein neuer Ansatz schirmt hingegen die Daten ab, unter der Annahme, die IT-Umgebung sei grundsätzlich feindlich und gefährlich.

Die Frage „Was ist sicherer, ein Gefängnis oder eine Burg?“ würden wohl die meisten mit Ersterem beantworten. Daher herrschen in IT-Infrastrukturen vieler Unternehmen teils gefängnisähnliche Zustände. Digitale „Bösewichte“ wie Viren, Trojaner und Malware im Allgemeinen werden eingesperrt, genauer gesagt in Quarantäne verschoben.

Aktuell herrschen am Markt zwei Varianten vor, um geschäftskritische Applikationen zu sichern. Zum einen gibt es Lösungen, die vor Zero Day-Angriffen schützen, indem sie davon ausgehen, dass die Host-Umgebung sicher ist und dieser Zustand beibehalten werden soll.

Kommt es zu Angriffen, wird Malware und Co. isoliert und in Quarantäne verschoben. Allerdings passiert dies meist erst dann, wenn der Schaden bereits angerichtet wurde. Andere Lösungen arbeiten mit Containern, in denen Webbrowser-basierte Applikationen abgeschirmt von der Host-Umgebung ausgeführt werden können. Auf diese Weise dämmen sie mögliche Infizierungen auf eine virtuelle Umgebung ein.

Der Host gilt als vertrauenswürdig, der Container allerdings nicht. Der Host kann auf den Container zugreifen. Analog zu einem Gefängnis sammeln diese Lösungen bösartige Anwendungen etc. in einer abgeschlossenen Umgebung, um sie an der Kompromittierung des umliegenden Systems zu hindern.

Gefahren von außen abblocken und eliminieren

Mittlerweile existieren aber auch Systeme, die den umgekehrten Weg beschreiten. Sie gehen grundsätzlich davon aus, dass auf „feindlichen“ Systemen gearbeitet wird, die unter Umständen bereits infiziert sind und von Angreifern kontrolliert werden.

Die Lösungen schützen den wertvollen, vertrauenswürdigen Inhalt gegen alle Gefahren, die außerhalb der „Burg“ lauern. Statt einzelne Geräte vermeintlich zu schützen, isolieren sie alle geschäftskritischen Anwendungen und Daten, die a priori als sicher eingestuft sind, in einem abgesicherten Container.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42978611 / Endpoint)