Interview mit Comodo

Malware-Abwehr mit Blacklists, Sandbox und Containern

Seite: 2/2

Firmen zum Thema

Security-Insider: Deckt sich das mit dem, was die IT-Sicherheitsindustrie heute tatsächlich leisten kann?

Hoffmeyer: Sie könnte es, tut es jedoch nicht immer. Wir bei Comodo gehen aber einen anderen Weg und setzen nicht nur allein auf Erkennung mittels Blacklisting. Unsere Methode basiert vielmehr auf Prävention und Isolierung: Nur bekannte Dateien erhalten einen Zugriff auf das Netzwerk. Die erste Verteidigungsebene (line of defense) ist eine sogenannte Whitelist, die nur bekannt gutartige Dateien ausführt.

Bekannte bösartige Dateien werden direkt gestoppt; unbekannte Dateien übergeben wir automatisiert in eine virtuelle Betriebsumgebung. Wir sprechen hier von Automated Sandboxing. Hier kann der Nutzer ungefährdet mit der Datei arbeiten, selbst wenn sie infiziert ist. Erst zu dem Zeitpunkt, an dem die Datei zu 100 Prozent als sauber anerkannt wird, gewähren wir den Netzwerkzugriff. Diese Technologie bzw. Vorgehensweise nennen wir „Containment“.

Security-Insider: Wenn nun aber ein Mitarbeiter Malware versehentlich oder beabsichtigt ins Unternehmen einschleust, reagiert eine Antivirenlösung nicht mitunter zu spät?

Hoffmeyer: Viele Lösungen reagieren zu spät, richtig. Aber dies liegt schon in der Natur der Sache, da das Programm zunächst einmal von einer gutartigen Datei ausgeht. Mit der Desktop-Applikation SecureBox haben wir den Spieß umgedreht. Sie ermöglicht jederzeit die sichere Ausführung geschäftskritischer Anwendungen auf infizierten Systemen durch spezielle Kapselung, die wir Containerization nennen.

Hat ein Mitarbeiter aus Versehen Malware in das Unternehmensnetzwerk eingeschleust, erreicht die Schadsoftware das Netzwerk nie, da sie vor dem Eintritt als unbekannte, womöglich bedrohliche Datei gekapselt wurde. Unsere Anwendung überwacht permanent jeden Prozess und wehrt Manipulationen sowie ungewollte Datenabflüsse ab.

Security-Insider: Wie kann ich gewährleisten, dass der Datenverkehr nicht ausgespäht wird?

Indem Sie den Angreifer eine Umgebung ausspionieren lassen, die es eigentlich nicht gibt. Um sich gezielt gegen Ausspähungen zu schützen, können Unternehmen ihre sogenannten Business Critical-Data – also geschäftskritische Dateien – inklusive Applikationen allesamt „containerisieren“. In der Sicherheitskapsel sind die Dateien zu 100 Prozent immun gegen Angriffe, können aber trotzdem weiter ausgeführt werden.

Security-Insider: Nun bestehen Netzwerke ja nicht nur aus dem klassischen PC. Wo sollte ein Sicherheitsmechanismus also idealerweise etabliert werden? Oder lässt sich das so pauschal nicht sagen?

Hoffmeyer: Die Herausforderung ist, einen Sicherheitsmechanismus für das komplette Unternehmen zu etablieren und unterschiedlichste Bedrohungsszenarien abzuwehren. Wir haben dazu eine Appliance fürs Unified Threat Management (UTM) entwickelt, um digitale Bedrohungen z.B. von LAN- und Mobile-Usern sowie Servern effektiv fernzuhalten. Wir sichern nicht nur die Endpoints auf Netzwerkebene, sondern auch interne Geräte ab.

Die UTM-Appliance beinhaltet eine Firewall, ein Network IPS/IDS-System, eine Antivirus-Engine mit Echtzeit-Updates, VPN-Funktionalität, E-Mail-Protection und Anti-Spam, erweitertes Web Content Filtering, Hot Spot Security sowie Traffic Shaping – alles steuerbar über eine webbasierende Benutzeroberfläche. Somit lässt sich hier von einem 360-Grad-Rundumschutz für Netzwerke sprechen.

Karl Hoffmeyer ist seit März 2014 als Senior Channel Sales Manager bei Comodo Security tätig. Sein Fokus liegt dabei auf dem Vertrieb der Comodo Security-Lösungen in der D-A-CH-Region. Hoffmeyer verfügt über 25 Jahre Erfahrung in der IT-Branche und hatte diverse leitende Funktionen im Bereich Vertrieb & Business Development inne. Das Interview führte Stephan Augsten.

(ID:43223495)