Die Anhänge von Mails oder Downloads nur auf Schadcode zu scannen reicht nicht mehr aus. Selbst Scanner mit den neusten Definitionsdateien bieten keinen ausreichenden Schutz mehr. Aktueller Schadcode verbreitet sich so schnell, dass immer öfter Minuten darüber entscheiden, ob dieser erkannt wird oder nicht.
In der jüngsten Vergangenheit haben es mehrere Schädlinge geschafft an den Scannern aller Hersteller vorbei ihren Weg zum User zu finden. In den meisten Fällen waren es Mails mit ausführbaren Dateien, die Schadcode enthielten. Diese Mails wurden von keinem Scanner beanstandet obwohl ein Trojaner darin versteckt war.
Der Umkehrschluss bedeutet jetzt aber nicht, auf Antiviren-Software zu verzichten, ganz im Gegenteil. Hier ist es jetzt umso wichtiger, die richtige Kombination von Schutzmechanismen zu verwenden um IT-Infrastrukturen sicher zu betreiben.
Zunächst muss genau analysiert werden, warum der Schadcode von den Scannern nicht erkannt werden konnte. Bei erster Betrachtung stellt sich heraus, der Schädling war so neu, dass keiner der Hersteller eine Definitionsdatei hatte, die diesen enthielt. Das aber alle Hersteller einen freien Tag hatten ist doch eher unwahrscheinlich. Aber gerade die Tatsache, dass es sich dabei um keinen Einzelfall handelt, zeigt einen klaren Strategiewechsel bei der Schadcodeverteilung. Um den Schadcode an den Client zu bringen spielen Botnetze eine immer größere Rolle. Der Schadcode als Datei in einer Mail wird von tausenden dieser Bots gleichzeitig in solchen Massen verteilt, dass es eine Sache von Minuten ist. Ein Empfänger der direkt bei der ersten Verteilungswelle dabei ist, hat oft das nachsehen, weil kein Scanner diesen neuen Schadcode erkennt und ist damit schutzlos.
Bei Mails kann diesem Problem noch einfach begegnet werden. Professionelle Mail-Gateways sind in der Lage Mails mit ausführbaren Dateien grundsätzlich zu isolieren. Auch sollten Archive die nicht untersucht werden können auch grundsätzlich nicht den Weg zum Benutzer finden. Durch diese Maßnahme ist auf einfache Weise der Schutz der Infrastruktur wieder hergestellt. Jedoch bedeutet dies auf der anderen Seiten einen etwas erhöhten administrativen Aufwand. Es kommt ja durchaus vor, dass der Empfang einer solchen Datei durchaus gewünscht ist. Da aber die Gefahren gegenüber dem Nutzen drastisch höher liegen, ist ein grundsätzliches isolieren keine Option, es ist ein Muss.
Ganz anders sieht es bei Zugriffen auf das Web oder Web 2.0 Applikationen aus. Hier gibt es zwar auch sehr viel Schadcode der nicht immer von allen Scannern erkannt wird. Aber ein sehr erfolgreicher Weg ist ein Reputations- und URL-Filter. Diese sperren den Zugriff auf Webseiten oder Hosts, die aktuell Schadcode verteilen. Somit ist es in diesem Fall nicht mehr relevant, ob der Scanner den Schadcode hätte finden können oder nicht. Anspruchsvoller wird es in den Fällen, wenn weder die Reputation noch der URL-Filter einen Zugriff als bedenklich einstufen. Hier müssen zusätzliche Schutzmechanismen zur Verfügung stehen um die Infrastruktur zu schützen.
Zentrale Web-Gateways mit einer detaillierten Analyse der Inhalte und IDP-Systeme haben sich sehr bewährt. Web-Gateways die aktive Inhalte untersuchen und ggf. heraus filtern, in Kombination mit IDP-Systemen die deutlich schneller auf Gefahren reagieren können als man dies durch das ausrollen neuer Definitionen für die Scanner der Fall ist. Als gutes Beispiel ist hier die Sicherheitslücke in Flash-Playern und den pdf-Readern zu nennen. Das Ausnutzen dieser Lücken wurde durch entsprechende Erkennungsmuster in den IDP-Systemen verhindert. Und das schon kurz nach dem bekannt werden der Lücke und lange bevor dies mit neusten Versionen des Flash-Player und dem Reader behoben werden konnte.
Die Sicherheit einer IT-Infrastruktur ist keine statisch zu implementierende Sache, sondern ein stetiger Prozess der immer wieder an die aktuellen Gegebenheiten angepasst werden muss. Dies sowohl bei der verwendeten Technik und vor allem bei den organisatorischen Maßnahmen.