Klassische IT-Sicherheit Sind Antivirus-Lösungen durch Signatur- und Datei-Wildwuchs überholt?

Autor / Redakteur: Sebastian Rohr, Kuppinger Cole / Stephan Augsten

Die Situation der heutigen IT-Security ist vielschichtig – wenn nicht sogar unüberschaubar. An jeder Ecke, hinter jeder App und jeder neuen Marketing-Idee stehen neue Sicherheitsprobleme ins Haus, die bisher so nicht betrachtet wurden und einer tieferen Analyse bedürfen. Die Frage ist, wie gut klassische Security-Lösungen überhaupt noch greifen.

Firmen zum Thema

Blick in die Glaskugel: Was können aktuelle und neue Antivirus-Lösungen leisten?
Blick in die Glaskugel: Was können aktuelle und neue Antivirus-Lösungen leisten?
( Archiv: Vogel Business Media )

Heutzutage sind Daten etlichen Gefahren ausgesetzt, ein besonderes Augenmerk liegt dabei mittlerweile auf Social Networking und anderen Kommunikationsmitteln. Um keinen Daten-GAU zu verursachen, werden in Unternehmen hastig die Rahmenbedingungen geprüft und neue „Social Media Firewalls“, Instant-Messaging-Gateways und Data-Loss-Prevention-Systeme eingeführt.

So oder ähnlich dürfte es in den meisten Unternehmen aussehen, die sich für ihr hoch-aktuelles und den neuesten Herausforderungen gewappnetes Security Management rühmen. Ab und zu scheint dabei jedoch der „Grundschutz“ auf der Strecke zu bleiben, denn ein paar Neuerungen im Bereich der klassischen Anti-Viren und Anti-Spyware Lösungen – heute gerne als „Endpoint Protection“ bezeichnet – können durchaus zur Lösung einiger betrieblicher Probleme beitragen.

Haben Sie vielleicht erst kürzlich einen PC selbst aufgesetzt und dann eine Antiviren-Lösung zum Schutz heruntergeladen? Dann haben Sie den ersten Problempunkt schon selbst erfahren: der „Basisschutz“ ist mit gut und gerne 40 bis 70 Megabyte ein ganz schöner Brocken! Und diese Datenmenge ist noch nicht das Ende der Fahnenstange: nach erfolgreicher Installation werden zuerst die veraltete Signaturen aktualisiert – und das dauert selbst bei einer heimischen DSL-Anbindung mit16 Mbit oft mehr als nur ein paar Sekunden!

Probleme von Signatur-Lösungen

Das Problem hinter diesem „lästigen Detail“ ist deutlich dramatischer: die Zahl der neu erscheinenden Varianten von Malware wächst so stark, dass die für eine sichere Erkennung erforderlichen Signaturdateien ein exponentielles Größenwachstum zeigen. Das bisher bestehende Problem der möglichst schnellen Signatur-Aktualisierung auf den Clients in einem großen Netz bleibt natürlich bestehen – ebenso wächst jedoch die Bedrohung, gegen eine der neuen Varianten nicht ausreichend geschützt zu sein.

Aus Sicht der Sicherheit „auf der anderen Seite“ entstehen ebenfalls größere Probleme durch die Größe und Anzahl der Signaturen: die Systembetreuer in der IT stöhnen ähnlich lautstark wie die von ihnen betreuten „Small Form Factor“-Devices: Nettops, Netbooks und sonstigen mobilen Geräte mit eher einfachen Prozessoren.

Während das Gros der Nutzer heutiger Multi-Core Systeme die Belastung eines Virenscanners nicht wirklich an einbrechender System-Performance bemerkt, so leiden die Anwender oben genannter schmaler IT deutlich. Das System ist quasi nicht nutzbar, wenn ein Malware-Scan durchgeführt wird. Gleiches gilt leider auch für die etwas ältere PC-Generation

Seite 2: Uralt-Rechner und Speichermedien bremsen Scan

Uralt-Rechner und Speichermedien bremsen Scan

Im Industrie-Durchschnitt überleben etliche Rechner die „erwartete Lebensdauer“ von 5 oder 6 Jahren – und damit erreichen diese Rechner geradezu biblisches Alter. Seinerzeit kamen gerade Pentium 4 der 600er Baureihe mit 3 – 3,8 GHz Taktrate frisch auf den Markt.

Ein großer Teil dieser Belastung ist natürlich auch der immer rasanter wachsenden Zahl der zu prüfenden Dateien geschuldet, die ein durchschnittlicher PC auf seiner Festplatte beherbergt. Nur zum Vergleich: 2005 waren 160 Gigayte-Festplatten aktuell, während moderne Systeme mit bis zu 3 Terabyte Platten ausgeliefert werden.

Die Sammelwut der Anwender – seien es alte E-Mail-Archive oder Bilder vom Sommerfest der Firma anno dazumal – trägt hierzu ebenso bei, wie ein nicht vorhandenes „Aktenmanagement“ : der Autor selbst hat noch alle Dokumente aus seiner Diplomarbeitsphase auf dem Arbeits-PC. Die hohe Anzahl an Dokumenten wird durch die ebenfalls stetig steigende Anzahl an Dateien des jeweiligen Betriebssystems erweitert – und alle Dateien eines Rechners werden gegen die steigende Anzahl Signaturen geprüft. Das Resultat kann jeder Leser beim „wöchentlichen System-Check“ selbst beobachten.

Fokus auf verdächtige Dateien

Einen interessanten Ansatz zeigt beispielsweise der Antivirus-Spezialist Symantec mit dem Insight-Tool: Symantec-Analysten haben festgestellt, dass die Verteilungskurven von „guten“ und infizierten Dateien jeweils nahezu exponentiell verlaufen, wenn man sich deren Häufigkeit gegen ihre Infektionsrate ansieht. Die Idee ist nun, die Charakteristika aller weltweit gefundenen Dateien in eine umfassende Datenbank zu schreiben.

Alle als „gutmütig“ bewerteten Dateien werden von Zeit- und Rechen-intensiven Vollprüfungen ausgeschlossen. Im Umkehrschluss hat das den Vorteil, dass auf Basis der einfach zu prüfenden Eigenschaften nur als suspekt eingestufte Dateien intensiv geprüft werden. Statistisch ungefährliche Dateien bleiben bei der Detailprüfung außen vor.

Insbesondere für den Einsatz in großen virtualisierten Serverfarmen kann dieser Ansatz massiv Rechner-Ressource sparen: die Server basieren meist alle auf dem exakt identischen „Golden Master“, gleichen also einander wie ein Ei dem anderen. Wenn eine Reihe dieser Klone nach Vollprüfung aller Dateien keine Probleme aufweisen, ist es laut Argumentation der Symantec-Forscher logisch nur jene Dateien intensiv zu prüfen, die Abweichungen von der Norm zeigen.

Bislang habe man auf den weltweit 175 Millionen geprüften Geräten über 2,5 Milliarden individuelle Dateien gefunden, analysiert und deren Charakteristika (nein, nicht die Dateien selbst!) in der Vergleichsdatenbank hinterlegt. Ziel dieser groß angelegten Aktion ist es, den Ressourcen-Verbrauch um bis zu 60 Prozent zu drücken – eine beeindruckende Zahl, wenn man die globalen Auswirkungen auf etliche Millionen Maschinen bezieht.

Ob sich der massive Ausschluss von Dateien bei der Prüfung wirklich ohne Einschränkungen bei der Sicherheit durchsetzen lässt, werden die abschließenden Tests und die ersten Wochen des Produktiv-Betriebs zeigen. Falls im Gegenzug die frei werdenden Ressourcen für bessere Heuristiken und Erkennung bisher unbekannter Varianten genutzt werden, sicher ein zu begrüßende Alternative.

Bis dahin ist es sicher ein guter Zeitvertreib, sich über die stark sinkende Zahl tatsächlich gefundener Infektionen jeder einzelnen bekannten Malware Gedanken zu machen. Der Trend zum „individuellen Trojaner“ wächst, wenn nur noch zwei bis sechs identische Varianten (etwa „Harakit“) auftreten – von den Bedrohungen für mobile Geräte ganz abgesehen!

Sebastian Rohr ist Senior Analyst beim Analystenunternehmen Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2050388)