Unsere Reise in „sichere IT-Landschaften“ neigt sich dem Ende entgegen. Es hat sich gezeigt, dass eine gute Vorbereitung vor bösen Überraschungen schützen kann. Zum Abschluss schauen wir uns drei Maßnahmen zur IT-Sicherheit einmal genauer an, die zwar nicht grundverkehrt sind, aber zumindest hinterfragt werden müssen.
Antiviren-Software: verbesserte IT-Sicherheit oder Tor zur Hölle?
Seit Jahrzehnten wird uns die Installation von Antiviren-Software gepredigt. In beinahe jedem Leitfaden zur IT-Sicherheit findet sich eine Empfehlung dazu. Doch wieso eigentlich? Und ist der Einsatz von Antiviren-Software noch gerechtfertigt? 1987 veröffentlichte das deutsche Unternehmen G Data das weltweit erste kommerzielle Antivirus-Programm. Allein in den folgenden fünf Jahren kamen weitere Hersteller auf den Markt, welche zum Teil bis heute bekannt sind. Dazu zählen unter anderem: McAfee, Avira, Sophos, Panda, Symantec und F-Secure. Es war Goldgräberzeit für die Branche: Das populärste Betriebssystem Mitte der 1990er war Microsoft Windows – und löchrig wie ein Schweizer Käse. Während der Datenaustausch zunächst nur über Disketten stattfand und Hersteller von Antiviren-Software noch eine überschaubare Aufgabe hatten, brachen mit der Verbreitung des Internets und den darauf aufbauenden Diensten alle Dämme. Die falsche Internetseite besucht oder einen bösartigen Mail-Anhang geöffnet? Schon war es geschehen! (Zyniker mögen anmerken, dass dies heute noch so sei.)
Das Hauptproblem war, dass sowohl das Betriebssystem als auch die Web- und Mail-Clients komplexe Anwendungen sind und diese damals noch ausschließlich in den tendenziell unsicheren Programmiersprachen C und C++ geschrieben wurden. Das Chaos war vorprogrammiert – wenn auch kaum vermeidbar, da Alternativen fehlten. Der Ansatz der Antivirus-Programme besteht daher darin, die Ausführung von schadhaften Programmen oder das Öffnen von ebensolchen Dateien zu verhindern. Damit eng verbunden sind die zwei größten Kritikpunkte gegenüber Antiviren-Software.
Der erste Punkt ist, dass diese reaktiven Methoden nur vor bereits bekannten Gefahren schützen. Die Virensignatur-Datenbank muss daher auf jedem Gerät stetig aktualisiert werden, andernfalls würde die Erkennungsquote mit der Zeit gen Null tendieren. Als Reaktion darauf haben die Hersteller proaktive Methoden entwickelt. Dazu gehören vor allem Heuristiken, welche eine unbekannte Datei auf bestimmte Merkmale untersuchen. Eine weitere Methode ist die Verhaltensanalyse, bei der die Ausführung entweder in einer Sandbox – einer virtuellen, geschützten Umgebung – oder auf dem Gerät selbst stattfindet. Dem begegnen die Angreifer jedoch mit verschiedenen Methoden zur Verschleierung der schadhaften Natur ihres Programms. Es bleibt also ein Katz-und-Maus-Spiel.
Zweiter Kritikpunkt ist, dass ein Antivirus-Programm mittlerweile eine Vielzahl von Aufgaben erfüllen muss. Dazu gehören neben unzähligen Dateiformaten auch das Überwachen von Web- und Mail-Verkehr, eine besonders komplexe Aufgabe. Die Krux ist, dass jede Antivirus-Software selbst Sicherheitslücken aufweisen kann und auf dem zu schützenden Gerät mit höchsten Rechten läuft. Angriffe auf sie sind somit fatal und keinesfalls nur theo–re–tisch–er Natur. (Ist Ihnen aufgefallen, dass alle Beispiel-Meldungen aus den letzten 12 Monaten sind?)
Es bleibt eine offene Frage, ob Antiviren-Software unter dem Strich eher hilft oder schadet. Klar ist jedoch, dass sie als Notnagel für andere Probleme herhält: Die Entwicklung von sicheren Programmiersprachen hat zu lange gedauert, die Komplexität vieler Anwendungen ist erdrückend, schützende Updates werden nicht bereitgestellt oder nicht eingespielt und es werden zu viele Anwendungen mit zu hohen Rechten ausgeführt.
Es ist jedoch ein positiver Trend erkennbar, insbesondere Microsoft hat große Fortschritte gemacht. Mit Windows Vista wurden die Benutzerkontensteuerung (englisch: User Account Control), welche Programme standardmäßig mit niedrigen Rechten startet, und die Speicherverwürfelung (englisch: Address Space Layout Randomization), welche das Ausnutzen von Buffer Overflows erschwert, eingeführt. Seit Windows 10 begrenzt Microsoft zudem die Möglichkeiten der Benutzer*innen, die Installation von Updates aufzuschieben oder erzwingt diese sogar. Dazu kommt, neben unzähligen sicherheitsrelevanten Bugfixes im Kernel und Treibern, kontroverserweise mit dem Windows Defender auch ein eingebautes Antivirus-Programm. Dieses ist gleichauf mit den Produkten anderer Anbieter und weist im AV-Test eine makellose Bilanz auf.
Cloud-Migration/Virtualisierung: „There is no cloud, it’s just someone else computer.“
Diese Darstellung mag den ein oder anderen Cloud-Apologeten pikieren, in der Annahme, man übergehe damit den „Everything as a Service“-Gedanken, die massive Skalierbarkeit oder schlicht den Aufwand, der all dies ermöglicht. Das mag sein, für unsere Betrachtung reicht jedoch die Feststellung, dass es sich um ein Rechenzentrum handelt, in dem virtuelle Maschinen allerlei Dienste erbringen und das von einem Dritten betrieben wird.
Die Grundlage für diese System-Virtualisierung bildet der Hypervisor. Dabei handelt es sich um eine Software, welche die gleichzeitige Ausführung von mehreren, virtualisierten Betriebssystemen auf ein und derselben Hardware ermöglicht. Das darunter liegende System wird als Host bezeichnet, die darauf laufenden Systeme als Guests. Der Hypervisor fungiert außerdem als Hardware-Abstraktionsschicht: Er entscheidet darüber, wie viele CPU-Kerne, RAM und Speicher dem Guest zur Verfügung stehen. Dabei handelt es sich jeweils um einen Teil der physisch vorhandenen Ressourcen. Eine Ausnahme bilden die dedizierten Hosts, bei denen ein Guest alle Ressourcen bekommt – was mit einem entsprechenden Aufpreis verbunden ist.
Hinsichtlich der IT-Sicherheit ist der Vorteil der Virtualisierung, dass von der Kompromittierung einer virtuellen Maschine die Guests, die auf demselben Host laufen, nicht betroffen sind. Das ändert sich jedoch, sobald der Hypervisor selbst das Ziel des Angriffs ist. Ein Angreifer könnte ihn übernehmen und hätte damit Zugriff auf alle Guests. Aus Sicht des Cloud-Anbieters handelt es sich dabei nicht um einen Angriff von außen, sondern von innen, den jede*r Kund*in potenziell ausführen könnte. Erst dieses Jahr war VMware vCenter betroffen. 2015 gab es mit Venom sogar eine Sicherheitslücke, welche mehrerer Hypervisoren gleichzeitig betraf.
Die Gefahr ist also real. Doch es gibt gute Nachrichten: Die Cloud-Anbieter tätigen große Investitionen in die IT-Sicherheit, da sie um diese Achillesferse wissen. Damit dürfte es um die Sicherheit in Clouds besser bestellt sein als in einem durchschnittlichen Unternehmen. Insofern ist es eine Überlegung wert, Systeme in die Cloud auszulagern und so das eigene Risiko zu reduzieren. Allerdings wird dann der Ausfall einer Cloud selbst zu einem nicht abschätzbaren Klumpenrisiko.
Versicherungen: kein Ersatz für IT-Security
Was macht man, um ein Risiko abzudecken, welches man nicht begrenzen kann (oder will)? Eine Versicherung abschließen. Das Problem ist, dass es den Versicherern langsam zu bunt wird – und das zu Recht. Wer einem Angriff mit Ransomware zum Opfer fällt, trägt in etwa so viel Mitschuld wie jemand, der mit abgefahrenen Reifen bei nassem Wetter im Straßengraben landet. Es handelt sich um einen Angriff, dessen Erfolgsquote mit wenigen, grundlegenden Vorkehrungen erheblich sinkt. Dazu gehören die regelmäßige Installation von Patches sowie das Anfertigen und Validieren von Backups, das Deaktivieren von Makros in Microsoft Office und die Schulung von Mitarbeiter*innen. Darüber hinaus ist es von Vorteil, Daten auf getrennten Servern oder Netzwerkspeichern vorzuhalten, das Netzwerk zu segmentieren und den Internetverkehr zu überwachen, um verdächtige Downloads oder Mail-Anhänge zu blockieren.
IT-Sicherheit muss keine Reise in gefährliche Gefilde sein, wenn von Beginn an einige Regeln beachtet und vorhandene Maßnahmen hinterfragt werden. Auch wenn kriminelle Hacker stetig weiter aufrüsten, können IT-Dienstleister wie Software-Entwickler*innen ihnen hohe Hürden stellen und Unternehmen vor Angriffen schützen. Wie schon im wilden Westen, als die erste transkontinentale Telegrafenleitung Nachrichten schneller und sicherer übertrug als jedes Pferd, wird durch technischen Fortschritt auch die Zeit der (digitalen) Postkutschenräuber eines Tages zu Ende sein.
IT-Sicherheit – Blogserie Teil 1:
IT-Sicherheit – Blogserie Teil 2: