• Branchennews
  • Network und Application Security

Der Computer als Schwachpunkt

Auf dem PC tobt der Wettlauf zwischen Angreifern und Verteidigern in seiner schärfsten Form. Neuen Angriffsvektoren begegnen Hersteller von Endpoint-Protection-Software mit neuen Technologien wie Cloud und künstlicher Intelligenz.

Thomas Philipp Haas
Thomas Philipp Haas
Director Marketing & Manager Public Relations NürnbergMesse GmbH
close

Diese Inhalte stehen der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Ein gelbes Warnsymbol (Dreieck mit Ausrufezeichen) und der Schriftzug "System HACKED" auf einem dunkelblauen Bildschirm mit hellblauer Schrift © istockphoto.com/solarseven
Cyber-Kriminelle ändern ständig ihre Taktiken, um bestehende Schutzmaßnahmen auf PCs auszutricksen. Alte Techniken funktionieren nicht mehr, Entwickler ersinnen regelmäßig neue Methoden. Es ist ein gnadenloser Wettlauf.

Schutz von Büro- und Mitarbeiter-PCs und Laptops bildet nach wie vor den Schwerpunkt der Sicherheitsanstrengungen im Unternehmen. Die Erkennung und Abwehr von Viren, Malware und anderer Schad-Software steht im Zentrum der Sicherheitsvorkehrungen. Dies nicht nur im Büro, sondern auch im Homeoffice. Entsprechend umfangreich ist das Angebot an Endpoint Protection Software.

Die früher als Antivirus-Software bezeichneten Programme haben sich weiterentwickelt. Lange Zeit bestand der Ansatz darin, zu jedem gefundenen Schädling eine Art Prüfsumme zu bilden, eine sogenannte Signatur. Die Sammlungen dieser Signaturen wurden in regelmäßigen Updates an die Kunden verteilt. Dieses Verfahren dauerte allerdings zu lange, später wurde es durch ein permanentes Update aus der Cloud ersetzt. Jetzt befand sich auf den zentralen Cloud-Servern der Anbieter eine große Datenbank mit allen entdeckten Signaturen, die von den Clients jederzeit abgefragt werden konnte. Inzwischen werden jedoch laut BSI täglich über 300.000 neue Schädlingsvarianten entdeckt, was Signaturmodelle an ihre Grenzen stoßen lässt. Außerdem erzeugen Angreifer bei Bedarf für jeden einzelnen anvisierten Rechner eine eigene Variante, Signaturverfahren sind dann machtlos.

 

Neue Angriffsverfahren: memory-based Malware

Hinzu kommen fortschrittliche Verfahren wie dateilose Malware, auch memory-based Malware genannt. Anstatt eine Datei zur Ausführung herunterzuladen, wird dabei die Schad-Software lediglich in den Speicher geladen und sofort ausgeführt. Dadurch entzieht sie sich jedem Datei-Scan und bleibt von diesem klassischen Vorgehen unentdeckt. Allerdings muss diese Software nach jedem Neustart des Rechners erneut aus dem Netz geladen oder vom Nutzer ausgeführt werden.Dieses Verfahren funktioniert daher nur, solange die ausgenutzte Sicherheitslücke bestehen bleibt. Dafür haben Angreifer allerdings zwischenzeitlich ausgefeilte Methoden entwickelt.

Eine weitere Gefahr, denen gegenüber Endpoint-Protection-Systeme oft hilflos sind: Zero-Day-Attacks. Die dabei ausgenutzten Sicherheitslücken sind normalerweise noch nicht bekannt oder es existieren noch keine Patches dafür. Solange dieser Zustand andauert, haben Angreifer ein leichtes Spiel, denn Software, die sich auf Bedrohungssignaturen verlässt, fängt sie nicht ab. Solche Bedrohungen, die gewöhnlich ohne Vorwarnung eintreffen, nehmen ständig zu und machen einen beachtlichen Teil aller Angriffe auf Endgeräte aus.

 

Clevere Algorithmen

Die Lösung dieses Dilemmas sehen Hersteller von Schutz-Software in der künstlichen Intelligenz. Clevere Algorithmen sollen ungewöhnliche Ereignisse selbstständig erkennen. Dazu können eigenartige Nutzeraktionen ebenso zählen wie verdächtige Dateizugriffe. Klassisches Beispiel ist Ransomware, die Dateien verschlüsselt. Die entsprechenden Operationen auf dem Dateisystem sind auffällig und damit leicht zu identifizieren.

Die verwendeten KI-Algorithmen beschränken sich jedoch zumeist auf einfache Verfahren wie Mustererkennung, denn für aufwendige KI-Berechnungen ist ein PC ungeeignet. Zum einen dauern derartige Operationen zu lange, damit könnte Malware nicht mehr in Echtzeit erkannt werden. Dann wäre eventuell schon erheblicher Schaden angerichtet, ehe der Schädling ausgeschaltet werden könnte. Zum anderen kann Security-Software die Arbeitsgeräte auch so beanspruchen, dass die Systemleistung abnimmt. Deshalb erfolgt häufig eine Aufgabenteilung und aufwendige Analysen werden wieder in die Cloud verlagert.

Weitere Informationen zum Thema Endpoint Protection in diesem Artikel.

Autor: Uwe Sievers