Geschäftskritische Applikationen in isolierter Umgebung Daten und Software voneinander trennen

Autor / Redakteur: Karl Hoffmeyer* / Stephan Augsten

Verschiebt man Malware in Quarantäne, könnte man meinen, die Gefahr sei gebannt. Das ist aber ein Trugschluss, denn der Schädling könnte bereits Hintertüren geöffnet und Code aus dem Internet nachgeladen haben. Ein neuer Ansatz schirmt hingegen die Daten ab, unter der Annahme, die IT-Umgebung sei grundsätzlich feindlich und gefährlich.

Firma zum Thema

Gefährdete Anwendungen können im Idealfall nur nach einer Integritätsprüfung auf sensible Daten zugreifen.
Gefährdete Anwendungen können im Idealfall nur nach einer Integritätsprüfung auf sensible Daten zugreifen.
(Bild: Archiv)

Die Frage „Was ist sicherer, ein Gefängnis oder eine Burg?“ würden wohl die meisten mit Ersterem beantworten. Daher herrschen in IT-Infrastrukturen vieler Unternehmen teils gefängnisähnliche Zustände. Digitale „Bösewichte“ wie Viren, Trojaner und Malware im Allgemeinen werden eingesperrt, genauer gesagt in Quarantäne verschoben.

Aktuell herrschen am Markt zwei Varianten vor, um geschäftskritische Applikationen zu sichern. Zum einen gibt es Lösungen, die vor Zero Day-Angriffen schützen, indem sie davon ausgehen, dass die Host-Umgebung sicher ist und dieser Zustand beibehalten werden soll.

Kommt es zu Angriffen, wird Malware und Co. isoliert und in Quarantäne verschoben. Allerdings passiert dies meist erst dann, wenn der Schaden bereits angerichtet wurde. Andere Lösungen arbeiten mit Containern, in denen Webbrowser-basierte Applikationen abgeschirmt von der Host-Umgebung ausgeführt werden können. Auf diese Weise dämmen sie mögliche Infizierungen auf eine virtuelle Umgebung ein.

Der Host gilt als vertrauenswürdig, der Container allerdings nicht. Der Host kann auf den Container zugreifen. Analog zu einem Gefängnis sammeln diese Lösungen bösartige Anwendungen etc. in einer abgeschlossenen Umgebung, um sie an der Kompromittierung des umliegenden Systems zu hindern.

Gefahren von außen abblocken und eliminieren

Mittlerweile existieren aber auch Systeme, die den umgekehrten Weg beschreiten. Sie gehen grundsätzlich davon aus, dass auf „feindlichen“ Systemen gearbeitet wird, die unter Umständen bereits infiziert sind und von Angreifern kontrolliert werden.

Die Lösungen schützen den wertvollen, vertrauenswürdigen Inhalt gegen alle Gefahren, die außerhalb der „Burg“ lauern. Statt einzelne Geräte vermeintlich zu schützen, isolieren sie alle geschäftskritischen Anwendungen und Daten, die a priori als sicher eingestuft sind, in einem abgesicherten Container.

Interne und externe Anwendungen abkapseln

Diese Form des Schutzes eignet sich für jegliche als „business critical“ verstandenen Applikationen und Daten sowie für externe und interne Kommunikation mit Partnern, Lieferanten, Patienten, Kunden oder Mitarbeitern in Unternehmen und Behörden. Ein Beispiel für den internen Einsatz ist das Abkapseln eines Warenwirtschaftssystems.

Je nach Lösung lässt sich ein entsprechendes Icon z.B. am Desktop hinterlegen. Per Klick darauf startet der Nutzer das Warenwirtschaftssystem direkt innerhalb des abgesicherten virtuellen Containers, wodurch es immun gegen externe Attacken ist. Diese Vorgehensweise ist z.B. im Gesundheitswesen von Vorteil, um Patientendaten abzuschirmen; oder für Steuerberater, die die sensiblen Daten ihrer Mandanten sicher behandeln möchten.

Ebenfalls sinnvoll ist ein solcher Ansatz für Online-Banking-Oberflächen, welche die Banken auf ihrer Website in entsprechende Container einbinden. So startet der Kunde bei Anmeldung die Verwaltungskonsole direkt in einem abgekapselten Container und kann Transaktionen selbst bei einer Infektion sicher vornehmen. Vorhandene Malware wird vom Container selbst abgeblockt – als unbekannte Applikation, die Zugriff verlangt.

Diese Vorgehensweise ist nicht nur mit der Software, sondern auch mit einem kompletten Browser möglich, sodass Kunden ausschließlich den von ihrer Bank bereitgestellten, abgekapselten Browser nutzen. Um im Bereich Finanzen zu bleiben: Auch der Schutz von Point-of-Sales-Systemen und Geldautomaten lässt sich mittels Containment erhöhen.

Absolut sichere Umgebung

Dieser Grundschutz lässt sich noch erweitern. Professionelle Containment-Lösungen bieten Schutz vor Keylogging-Angriffen, was z.B. Online-Banking-Transaktionen zusätzlich absichert. Tastatureingaben werden vor Übergabe an den Tastaturtreiber abgefangen und verschlüsselt.

Diese dechiffrierten Eingaben entschlüsselt das System erst in der sicheren Box und übergibt sie an die gekapselte Applikation. Diese Methode umgeht sämtliche Schnittstellen und verhindert so, dass Cyber-Gangster sich dazwischenschalten und die Eingaben wie Kontonummer oder Online-Banking-PIN abfischen.

Hilfreich ist dabei auch eine „Anti Memory Scraping“-Funktion, die das Auslesen des Arbeitsspeichers blockiert. Hier befinden sich für gewöhnlich Unternehmensdaten, aber ggf. auch Kreditkarteninformationen und mehr. All-in-one-Containment-Softwares gewähren externen Applikationen keinen Zugang zum Container und verhindern so Memory Scraping.

Mitleser und Spione blitzen ab

Eine große Bedrohung stellen auch Man-in-the-Middle-Angriffe dar, bei denen Internet-Kriminelle den SSL-Verkehr abgreifen oder einen Webserver nachbauen. Hierbei kommt ein ungültiges Zertifikat zum Einsatz, das den gesamten Datenaustausch mit dem Zielserver für den Angreifer lesbar macht, sobald der Nutzer das gefälschte Zertifikat bestätigt.

Hiervor schützen Containment-Lösungen, indem sie übertragene Zertifikate gegen eine integrierte Datenbank prüfen und bei ungültigen Exemplaren den Zugriff verhindern. Wurde beispielsweise die Containment-Lösung mit einem Browser an die Nutzer ausgegeben (siehe Banking-Beispiel oben), lässt sich das zugehörige Zertifikat auch fest in die Lösung integrieren, um so garantiert sicheren Zugriff auf Webdienste zu ermöglichen.

Ähnlich gefährlich sind Remote-Takeover-Attacken, bei denen Cyber-Kriminelle für die Entfernung selbst eingebrachter Schadsoftware eine Aufwandsentschädigung in Form eines „Lösegelds“ fordern. Professionelle Containment-Lösungen erkennen diese Art Angriff, blocken den Zugang ab und warnen den Anwender in Echtzeit vor der Bedrohung. Die betroffene Applikation wird erst dann wieder freigegeben, wenn Hacker oder Anwender den Zugriffsversuch abbrechen.

Fazit

Nicht immer ist „Einsperren“ die beste Lösung. Denn dies setzt voraus, dass der Täter bereits im Gebäude ist. Ratsam ist es, den umgekehrten Weg zu gehen und den Zugang zum Datenschatz generell zu versperren. Diesen Ansatz verfolgen Containment-Lösungen. Sie kapseln geschäftskritische Anwendungen im Voraus ab und führen sie in einer isolierten Umgebung aus, in der Annahme, dass die Umgebung infiziert ist.

Innerhalb dieses kontrollierten und nicht modifizierbaren Umfelds können Anwender nur noch mit kontrollierten Anwendungen auf kontrollierte Ressourcen zugreifen. Dies gilt sowohl für online-basierte als auch lokale Anwendungen. Bedeutender Pluspunkt: Derartige Containment-Lösungen sind unternehmens- und branchenunabhängig einsetzbar. Denn grundsätzlich lässt sich jede Applikation kapseln und internen oder externen Anwendern zur Verfügung stellen.

* Karl Hoffmeyer ist Senior Channel Sales Manager DACH bei Comodo.

(ID:42978611)