Malware-Schutz Eine Hürde mehr reinigt Unternehmensnetze noch besser von Schadsoftware

Autor / Redakteur: Marcus Stahlhacke / Reinhard Kluger

Dass Malware ins Unternehmensnetz eindringt, lässt sich so gut wie nicht verhindern. Dass sie sich ungehindert ausbreiten kann, schon. Schutz vor Malware-Ausbrüchen, die das gesamte Unternehmensnetz in Mitleidenschaft ziehen, bieten moderne Security-Gateways. Sie werden an beliebiger Stelle ins Netzwerk integriert und scannen den Datenstrom nahezu in Echtzeit auf bekannte und unbekannte Malware.

Firmen zum Thema

NNP wird an beliebiger Stelle zwischen einzelnen Segmenten im Unternehmensnetz installiert und prüft in Echtzeit den durchfließenden Datenstrom auf Schadsoftware.
NNP wird an beliebiger Stelle zwischen einzelnen Segmenten im Unternehmensnetz installiert und prüft in Echtzeit den durchfließenden Datenstrom auf Schadsoftware.
( Archiv: Vogel Business Media )

Gegen das Eindringen von Schadsoftware sichern Unternehmen das Unternehmensnetz nach den Regeln der Kunst mit Firewalls und Antimalwarelösungen. Ergänzen lässt sich der Malwareschutz durch Einschränkungen bei der Nutzung mobiler Geräte und der entsprechenden Ports. Weiterhin können E-Mails mit Anhängen blockiert werden, da diese möglicherweise Malware enthalten können. Je strenger die Regelungen ausfallen und je konsequenter sie eingehalten werden, desto geringer ist die Wahrscheinlichkeit einer Malwareinfektion. Allerdings beeinträchtigen die genannten Regelungen dann genau die Funktionen, die heutzutage einen nicht unerheblichen Nutzen vernetzter Systeme darstellen: die schnelle Kommunikation der Mitarbeiter untereinander und mit Kunden, Partnern, Dienstleistern sowie den gemeinsamen Zugriff auf die für die tägliche Arbeit relevanten Informationen und Unterlagen.

Schlupflöcher für Malware

Im Unternehmensalltag lassen sich nicht alle Ports sperren, alle mobilen Geräte ablehnen, alle E-Mails mit Anhängen abweisen. Die Mehrzahl der Unternehmen lebt deshalb mit dem Risiko von Malwareinfektionen. Damit halten die Unternehmen der Schadsoftware jede Menge Schlupflöcher ins Unternehmensnetz offen und bieten ihr Verbreitungswege bis auf jeden Rechner. So sind Außenstellen oder Zweigniederlassungen über VPN angebunden und können beim Datentransfer unbemerkt Malware mitliefern. Rufen Mitarbeiter Daten von Trägern wie USB-Sticks, Mobiltelefonen oder mobilen Festplatten auf, bevor sie den Virenschutz auf dem PC aktualisiert haben, kann eine Infektion stattfinden. Außendienstmitarbeiter, die einige Tage unterwegs sind, wählen sich übers WLAN ein – möglicherweise ebenfalls, ohne zuvor den Virenschutz auf dem Laptop zu aktualisieren. Für die tägliche Arbeit benötigte Unterlagen gehen als E-Mail-Anhänge im doc-, xls- oder pdf-Format hin und her und können Viren enthalten.

Ausbreitung verhindern

Wenn nicht ausgeschlossen werden kann, dass es Malware ins Unternehmensnetz schafft, muss wenigstens unterbunden werden, dass sie sich überall hin ausbreitet. Während eine Malwareinfektion auf Bürorechnern eventuell noch zu verschmerzen ist, kann sie in anderen Bereichen zu massiven Störungen und Kosten führen, zum Beispiel in Serverraum und Datacenter oder im Produktionsnetz: Hier ermöglicht die Nutzung von Industrial Ethernet zwar die zentrale Steuerung aller Prozesse aus dem Enterprise-Ressource-Planning-System heraus, öffnet schädigender Software allerdings den Weg in die bislang durch proprietäre Protokolle abgeschotteten Produktionssysteme, deren Komponenten häufig nicht durch Antimalware-Lösungen geschützt werden können oder dürfen. Aber auch auf anderen Systemen wie beispielsweise Servern für datenbank-basierte Anwendungen wird lokaler Malwareschutz nicht immer gern gesehen.

Datenfilter im Netzwerk

Hier helfen Security-Gateways wie die von Norman Data Defense entwickelte Lösung Norman Network Protection (NNP). Sie werden im Sinn mehrstufiger Sicherheitskonzepte zusätzlich zu bestehenden Schutzlösungen eingesetzt. Damit kommen Unternehmen der Empfehlung des BSI nach, Virenschutz-Lösungen mehrerer Hersteller parallel einzusetzen, da die Produkte unterschiedlich schnell auf neue Malware reagieren und sich jeweils in Details unterscheiden. Da sich die Gateways an jedem beliebigen Punkt innerhalb des Netzwerkes installieren lassen, ermöglichen sie dem Unternehmen eine Gliederung des Netzes in Segmente unterschiedlicher Kritikalität – und damit die lokale Begrenzung von Infektionen. In ihrer Position zwischen anstatt auf den Komponenten im Netzwerk scannen sie den durchfließenden Datenverkehr in beiden Richtungen. So werden Dateien sowohl beim Upload in die Datenbank als auch beim Download gescannt und der Datenstrom auf dem Weg von und zu der Außenstelle. Dass die Gateways flexibel eingesetzt werden können und sich mit minimalem Aufwand installieren, konfigurieren und administrieren lassen, gehört zu den Basics.

Schlau und schnell

Eine wichtige Voraussetzung für den Einsatz von Gateways ist außerdem, dass sie den Datenstrom nicht verlangsamen. Deshalb scannt NNP die Protokolle, die zur Verbreitung von Malware eingesetzt werden, also FTP, http, SMTP, POP3, TFTP, IRC sowie CIFS/SMB. Ergänzend verringert ein schlauer Trick die von Proxy-basierten Lösungen bekannten Latenzzeiten auf nicht wahrnehmbare Größenordnungen: Proxys halten beim Scan einer Datei den gesamten Datenstrom zurück, bis sie alle Daten erhalten und gescannt haben und leiten sie erst dann an das Ziel weiter – NNP sendet eine zu scannende Datei bis auf einige Datenpakete gleich an den Empfänger. Falls die klassischen oder proaktiven Scanner der NNP schädlichen Code identifizieren, werden die zurückgehaltenen Datenpakete verworfen und damit die gesamte Datei auch beim Client. Gleichzeitig wird der Netzwerkpfad blockiert, damit andere Nutzer oder Systeme nicht auf die Datei zugreifen können. Wird kein Schadcode gefunden, werden die zurückgehaltenen Datenpakete an den Client gesendet.

Analyse im Sandkasten

Zusätzlich zu den klassischen Virenscannern, die nur die Schadprogramme stoppen können, deren Signatur identifiziert und in der Datenbank der Lösung hinterlegt ist, sollten in Security-Gateways proaktive, verhaltensbasierte Verfahren eingesetzt werden, da sich Malware-Mutationen schneller verbreiten, als die Hersteller Signaturupdates zur Verfügung stellen können. Norman leitet zu analysierende Programme dafür zunächst in eine komplett virtuelle Umgebung, die Norman SandBox. Sie simuliert einen virtuellen Rechner samt Peripherie. Dort können die Schadprogramme ihre Routinen abarbeiten, je nach Auftrag Dateien infizieren und löschen, E-Mails senden, Abhörports einrichte, sich selbst vervielfältigen oder eine Verbindung mit einem IRC-Server (Internet Relay Chat) oder einem Botnetz herstellen. Die SandBox beobachtet und bewertet das Verhalten und blockiert ggf. Datei und Netzwerkpfad. Wie in alle Virenschutzprodukte hat Norman die SandBox auch in NNP integriert. Damit gibt es an sensiblen Netzwerkschnittstellen eine Hürde mehr, die Schadprogrammen mit wenig Aufwand in den Weg gestellt werden können.

Marcus Stahlhacke ist als Business Consultant bei Norman Deutschland & Österreich tätig.

(ID:309683)