Interview mit Comodo

Malware-Abwehr mit Blacklists, Sandbox und Containern

| Redakteur: Stephan Augsten

Wer eine Bedrohung früh ausschalten möchte, benötigt gesundes Misstrauen.
Wer eine Bedrohung früh ausschalten möchte, benötigt gesundes Misstrauen. (Bild: Archiv)

Die Malware-Entwicklung schreitet zusehends voran, Zero-Day-Angriffe sind mittlerweile an der Tagesordnung. Doch wie muss ein zeitgemäßer Malware-Schutz aussehen? Security-Insider hat Karl Hoffmeyer vom Sicherheitsanbieter Comodo zur Verteidigungsstrategie seines Unternehmens befragt.

Security-Insider: Comodo ist ursprünglich ein Aussteller von SSL-Zertifikaten, widmet sich seit Ende der 2000er Jahre aber auch dem aktiven Virenschutz. Wie hat sich Malware seitdem entwickelt?

Karl Hoffmeyer: „Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen.“
Karl Hoffmeyer: „Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen.“ (Bild: Comodo)

Karl Hoffmeyer: Zu dieser Entwicklung gibt es aktuelle Zahlen: Das unabhängige Testinstitut der AV-Labs gab vor einigen Jahren bekannt, dass tagtäglich schätzungsweise rund 55.000 neue Malware-Bedrohungen auf die Menschheit losgelassen werden. Laut unseren eigenen Security-Labs sind es mittlerweile sogar 200.000 Malware-Varianten pro Tag.

Früher entdeckte man gelegentlich den ein oder anderen digitalen Schädling auf dem Rechner oder im Unternehmensnetzwerk. Heute muss ein Nutzer von vornherein davon ausgehen, dass sein System bereits infiziert ist. Hinzu kommen die Enthüllungen von Edward Snowden.

Seitdem verfestigte sich die Erkenntnis, dass ein herkömmliches Antiviren-Programm allein nicht mehr ausreicht, um Angreifer oder Späher abzuhalten. Die Methoden der Malware-Autoren und Hacker sind zu raffiniert geworden. Des Weiteren gibt es einen enormen Anstieg von Malware, die speziell auf mobile Endgeräte fokussiert ist.

Security-Insider: Inwiefern musste man beim Virenschutz und bei der Virenerkennung auf die Entwicklungen reagieren?

Hoffmeyer: Nun, wer auf diese Entwicklung nicht reagiert, der wird über kurz oder lang mit seiner Security-Strategie scheitern. Klassische Antivirus-Lösungen basieren rein auf Erkennungsmechanismen (Default-Allow-Architektur). Sie lassen einen Virus auf den Endpoint, um ihn dann zu erkennen und anschließend zu beseitigen. Auf unbekannte, unmittelbar auftretende Threats wie Zero-Day-Angriffe können diese Lösungen nicht reagieren.

Herkömmliche Antivirus-Scanner vergleichen jede Datei mit einer Signaturdatei von bekannten Viren auf einer sogenannten „Schwarzen Liste" (Blacklist). Es ist verständlich, dass brandneue, tagesaktuelle Bedrohungen noch nicht auf diesen Listen vermerkt sind. Die Blacklists konventioneller Scan-Methoden müssten sekündlich aktualisiert werden, um Viren & Co. vom Netzwerk fernzuhalten. Dies ist jedoch nahezu unmöglich.

Security-Insider: An welcher Stelle sollte die Malware-Abwehr im Unternehmen im Idealfall beginnen?

Hoffmeyer: An erster Stelle steht, dass Malware gar nicht erst Endpoints wie PCs, Server, Notebooks etc. erreichen oder in Unternehmensnetzwerke eindringen kann. Zunächst sollte jeder Datei misstraut werden, Stichwort „Default Deny“, zu Deutsch „standardmäßige Ablehnung“.

Das klingt hart, aber Sie vertrauen auch nicht blind jedem Menschen, den Sie auf der Straße treffen, sondern schützen sich mit einem „gesunden Misstrauen“. Mit dem PC-Schutz ist es nicht anders. Denn Misstrauen bedeutet nicht, dass das „Gespräch“ mit der Datei nicht gesucht werden darf. Es sollte lediglich in einer für Sie sicheren Umgebung stattfinden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43223495 / Malware)