Was Malware und echte Krankheitserreger gemeinsam haben Infektionen bereits an der Quelle stoppen

Autor / Redakteur: Maik Bockelmann, Sourcefire / Stephan Augsten

Trotz größter Sorgfalt und mehrstufiger Sicherheitssysteme kommt es in Unternehmen immer wieder zu Malware-Epidemien. Um diese in den Griff zu bekommen, sollte man sich ein Beispiel an der realen Welt nehmen: Nur Ursachenforschung hilft letztlich dabei, die Verbreitung von Krankheitserregern einzudämmen.

Firma zum Thema

Malware-Abwehr geht weit über das Erkennen des Schadcodes hinaus.
Malware-Abwehr geht weit über das Erkennen des Schadcodes hinaus.
(Bild: © Grafvision - Fotolia)

Der Name John Snow wird nur wenigen etwas sagen. Ihm gelang es vor 150 Jahren, das Rätsel einer Choleraepidemie in London zu lösen. Die Methoden des Arztes können Sicherheitsexperten auch heute noch anwenden, wenn die der Verbreitung von Malware in Ihrem Unternehmen auf den Grund gehen wollen.

Worum ging es damals? Im Jahr 1854 kam es in der Nähe der Broad Street in London zum Ausbruch von Cholera. Dr. John Snow zeichnete damals jeden einzelnen Cholerafall auf einer Karte ein. Dabei stellte er fest, dass die Cholerafälle sich auf einen Brunnen in der Nähe der Broad Street konzentrierten.

Dr. Snow forderte die Behörden auf, den Pumphebel des Brunnens zu entfernen. Daraufhin war die Epidemie, die bis dahin fast 500 Tote gefordert hatte, rasch beendet. Dr. Snow hat dadurch nicht nur unzählige Menschenleben gerettet. Da er gleichzeitig die Quelle der Epidemie identifizierte, gilt er heute auch als Vater der Methode, mit der man die Verbreitung dieser tödlichen Krankheit stoppen kann.

Unumgänglich: die Ursachenforschung

Gleiches gilt für die IT: Um Malware wirklich auszurotten und das Risiko eines erneuten Befalls auszuschließen, muss man der Ursache auf den Grund gehen. Das Problem liegt darin, dass die meisten Lösungen sich nur auf die Erkennung von Schadsoftware konzentrieren und wenig Hilfestellung für den Fall einer Infektion geben.

In einem Unternehmen erfährt man in der Regel von einem Malware-Befall, indem man sich an den Help Desk wendet. Eine andere Möglichkeit, einen Befall festzustellen, ist die Aktualisierung eines Tools, dessen neue Version dann eine bisher übersehene Schadsoftware erkennt. In diesem Fall hat sich die Schadsoftware in der Regel aber bereits im Netzwerk verbreitet und andere Geräte infiziert.

Egal wie man nun die Malware erkennt, das infizierte Gerät muss in jedem Fall unter Quarantäne gestellt werden, um das Risiko für andere Geräte im Netzwerk zu reduzieren. Danach muss die Schadsoftware auf dem infizierten Gerät beseitigt werden. Das alles ist jedoch nicht genug, um Malware wirklich auszurotten.

Das Übel an seiner Wurzel packen

Bereinigt man nur einen PC, dann wäre das genau so, als hätte sich Dr. Snow nur auf einzelne Kranke und ihre Behandlung konzentriert. Mit einem solchen Ansatz hätte er sich ewig auf die Behandlung der Kranken beschäftigt konzentrieren müssen; möglicherweise hätte Snow nie die Ursache für den Ausbruch der Epidemie finden und die Verbreitung der Krankheit stoppen können.

Genauso wie Dr. Snow damals die verfügbaren Daten gedeutet hat, werden heute IT-Technologien zur umfassenden Analyse der Daten eingesetzt. Sie identifizieren den ersten befallenen „Patienten“, die Anwendung, mit der die Malware eingeschleppt wurde und die Dateien, mit denen sich die Schadsoftware ausbreiten konnte. Damit wird es möglich, die Malware an ihrer Wurzel zu packen und einen erneuten Befall zu vermeiden.

Nicht minder wichtig ist es, den letzten betroffenen „Patienten“ auszumachen, da sich nur auf diese Weise das Ausmaß der Infektion und das allgemeine Verbreitungsrisiko ermitteln lassen. Gleichzeitig erhält man eine Vorstellung davon, welcher Aufwand betrieben werden muss, um den Ausbruch unter Kontrolle zu bekommen.

Das Ziel: Angriffsflächen reduzieren

Neben der Frage, wer infiziert wurde, ist auch die Frage wichtig, wie die Malware sich durch bzw. über das Netzwerk verbreitet hat. Auf diesem Weg lässt sich das Risiko einer erneuten Infektion senken. Das Erkennen unzulässiger Software spielt beim Ausschalten typischer Übertragungswege für Malware eine wichtige Rolle.

Durch den Einsatz von Blacklists und Whitelists zur Kontrolle von Anwendungen und Identifizierung bösartiger Software lässt sich die Angriffsfläche deutlich reduzieren. Auch die Nutzung aktueller Versionen von Browsern, Office-Software und anderer Tools, die für den Geschäftsbetrieb unerlässlich sind, kann die Zahl der Infizierungen drastisch senken.

Da Sicherheit heute vor allem auch ein Risk Management beinhaltet, sollte jede IT-Abteilung bei der Beurteilung von Software-Paketen zudem eine eigene Risikobewertung durchführen. Bestimmte Pakete sind mit einem höheren Risiko verbunden – und möglicherweise ist der Einsatz eines bestimmten Pakets in der IT-Umgebung auch gar nicht sinnvoll.

Nicht zuletzt erfordert ein effizienter Schutz vor Malware auch die Fähigkeit, sich rückwirkend gegen Dateien zu schützen, die ursprünglich als sicher eingestuft wurden. Da Malware sich heute als sicher verstellen und Abwehrmechanismen überwinden kann, nur um später ihre Bösartigkeit zu entfalten, ist diese Fähigkeit sehr wichtig, um Schäden nach einem Angriff zu minimieren und zu beseitigen.

Malware ist heute schädlicher und schwieriger zu bekämpfen als sämtliche Bedrohungen, denen wir in der Vergangenheit ausgesetzt waren. Indem wir den Schutz über das Blockieren und Erkennen von Malware hinaus ausweiten und die Möglichkeiten umfangreicher Datenanalysen, intelligenter Kontrollen und rückwirkender Maßnahmen nutzen, können wir Schadsoftware bereits an der Quelle stoppen und wirksam beseitigen. Dr. Snow wäre stolz.

Über den Autor

Maik Bockelmann ist Director Central & Eastern Europe bei Sourcefire.

(ID:42294694)