365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Schutz von Büro- und Mitarbeiter-PCs und Laptops bildet nach wie vor den Schwerpunkt der Sicherheitsanstrengungen im Unternehmen. Die Erkennung und Abwehr von Viren, Malware und anderer Schad-Software steht im Zentrum der Sicherheitsvorkehrungen. Dies nicht nur im Büro, sondern auch im Homeoffice. Entsprechend umfangreich ist das Angebot an Endpoint Protection Software.
Die früher als Antivirus-Software bezeichneten Programme haben sich weiterentwickelt. Lange Zeit bestand der Ansatz darin, zu jedem gefundenen Schädling eine Art Prüfsumme zu bilden, eine sogenannte Signatur. Die Sammlungen dieser Signaturen wurden in regelmäßigen Updates an die Kunden verteilt. Dieses Verfahren dauerte allerdings zu lange, später wurde es durch ein permanentes Update aus der Cloud ersetzt. Jetzt befand sich auf den zentralen Cloud-Servern der Anbieter eine große Datenbank mit allen entdeckten Signaturen, die von den Clients jederzeit abgefragt werden konnte. Inzwischen werden jedoch laut BSI täglich über 300.000 neue Schädlingsvarianten entdeckt, was Signaturmodelle an ihre Grenzen stoßen lässt. Außerdem erzeugen Angreifer bei Bedarf für jeden einzelnen anvisierten Rechner eine eigene Variante, Signaturverfahren sind dann machtlos.
Hinzu kommen fortschrittliche Verfahren wie dateilose Malware, auch memory-based Malware genannt. Anstatt eine Datei zur Ausführung herunterzuladen, wird dabei die Schad-Software lediglich in den Speicher geladen und sofort ausgeführt. Dadurch entzieht sie sich jedem Datei-Scan und bleibt von diesem klassischen Vorgehen unentdeckt. Allerdings muss diese Software nach jedem Neustart des Rechners erneut aus dem Netz geladen oder vom Nutzer ausgeführt werden.Dieses Verfahren funktioniert daher nur, solange die ausgenutzte Sicherheitslücke bestehen bleibt. Dafür haben Angreifer allerdings zwischenzeitlich ausgefeilte Methoden entwickelt.
Eine weitere Gefahr, denen gegenüber Endpoint-Protection-Systeme oft hilflos sind: Zero-Day-Attacks. Die dabei ausgenutzten Sicherheitslücken sind normalerweise noch nicht bekannt oder es existieren noch keine Patches dafür. Solange dieser Zustand andauert, haben Angreifer ein leichtes Spiel, denn Software, die sich auf Bedrohungssignaturen verlässt, fängt sie nicht ab. Solche Bedrohungen, die gewöhnlich ohne Vorwarnung eintreffen, nehmen ständig zu und machen einen beachtlichen Teil aller Angriffe auf Endgeräte aus.
Die Lösung dieses Dilemmas sehen Hersteller von Schutz-Software in der künstlichen Intelligenz. Clevere Algorithmen sollen ungewöhnliche Ereignisse selbstständig erkennen. Dazu können eigenartige Nutzeraktionen ebenso zählen wie verdächtige Dateizugriffe. Klassisches Beispiel ist Ransomware, die Dateien verschlüsselt. Die entsprechenden Operationen auf dem Dateisystem sind auffällig und damit leicht zu identifizieren.
Die verwendeten KI-Algorithmen beschränken sich jedoch zumeist auf einfache Verfahren wie Mustererkennung, denn für aufwendige KI-Berechnungen ist ein PC ungeeignet. Zum einen dauern derartige Operationen zu lange, damit könnte Malware nicht mehr in Echtzeit erkannt werden. Dann wäre eventuell schon erheblicher Schaden angerichtet, ehe der Schädling ausgeschaltet werden könnte. Zum anderen kann Security-Software die Arbeitsgeräte auch so beanspruchen, dass die Systemleistung abnimmt. Deshalb erfolgt häufig eine Aufgabenteilung und aufwendige Analysen werden wieder in die Cloud verlagert.
Weitere Informationen zum Thema Endpoint Protection in diesem Artikel.
Autor: Uwe Sievers
