Die Äußerung gegenüber dem Wall Street Journal des Sr. Vice Precident von Symantec hat für einiges an Resonanz gesorgt. Insbesondere von den Marktbegleitern, ganz vorne hier zum Beispiel Kaspersky, Bitdefender oder GData. Zwar ist diese Aussage etwas aus dem Zusammenhang gerissen, aber es ist im Grundsatz die Wahrheit über traditionelle Antiviren Software.
Das dies nicht wirklich eine neue Erkenntnis ist, zeigt auch unser Blogartikel vom 27.10.2009. Vor fast fünf Jahren war es schon Thema hier im Blog, dass herkömmliche Viren Scanner alleine keinen Schutz mehr bieten. Die seit dem Artikel vergangene Zeit hat ebenfalls nicht wirklich für eine Verbesserung der hinlänglich bekannten Situation geführt. Daher wundert es umso mehr, dass bis jetzt nur Symantec den Mut hat, dies endlich öffentlich auszusprechen, was sowieso schon alle irgendwie wissen. Herkömmliche Antivirus Produkte sind tot.
Es bedarf keiner großen Erklärung warum das der Fall ist. Diese Erklärung liefern die Hersteller frei Haus. Ein Hersteller solcher Produkte gibt an, dass täglich mehrere hunderttausend Dateien in seinen Labs analysiert werden und über 8000 Ergebnisse dieser Analyse in die Musterdatenbanken und die Verhaltensanaylse einfließen. Und genau das ist das Problem. Diese Updates müssen verteilt werden und egal wie man es anstellt, die Latenz bis zum Client ist einfach zu hoch. Von einem agilen System welches sich schnell an die aktuellen Gefahren anpasst, kann schon mal gar keine Rede mehr sein. Das nächste seit Jahren latente Problem ist, dass die Musterdatenbanken einfach zu groß sind und daher ein Virenscanner seinen Client eine hohe Leistung abverlangt.
Ein weiteres Problem der Hersteller ist der von Microsoft mitgelieferte Windows Defender der unter Windows 8 sich zu einem vollwertigen Antivirus entwickelt hat. Microsofts Defender ist ein wirklich brauchbares Produkt geworden, was natürlich zu Einbußen in den Verkaufszahlen der AV Hersteller geführt hat. Das Kerngeschäft der Hersteller ist nun mal der Windows Client, da er die größte Installationsbasis darstellt. Im Serverbereich ist es zum einen nicht immer notwendig einen Virenscanner zu installieren und je nach Plattform oder Anwendung bedarf es sowieso keinen bzw. darf keiner installiert werden. Durch die Virtualisierung in den Rechenzentren sind gänzlich neuen Produkte wie zum Beispiel TrendMicros Deep Security aufgekommen. Wobei die neuen Produkte auch aus unserer Sicht deutlich mehr Potential als ein herkömmlicher Virenscanner aufweisen.
Tritt man einen Schritt zurück und betrachtet das umfangreiche Thema AV ganz objektiv mit dem Hintergrundwissen um die Problematik der Updates und Mustererkennung, ist die Aussage völlig normal und logisch. Da ist es auch egal, das manche Mitbewerber mit Aussagen kontern, dass es Schutzsoftware seit 25 Jahren gibt und sie auch noch in 25 Jahren da sein wird. Die Glaskugel um 25 Jahre in die IT Zukunft zu schauen, die hätte wohl jeder gerne. Blöd nur, dass diese nur wenigen zur Verfügung steht.
Es ist weder wirklich neu oder ein Geheimnis, dass zum Schutz der IT Infrastruktur mehr als nur ein herkömmlicher Virenscanner gehört bzw. nicht mehr dazu gehört. Vielmehr bedarf es einer Schutzsoftware welche ganz andere Merkmale zum Schutz des Systems besitzt. Hier stehen Verhaltens- und Kommunikationsanalyse im Vordergrund. Dieses in Kombination mit Schutzfunktionen am Perimeter runden das Teilpaket zum Schutz der IT Infrastruktur ab.
Weitere Teilpakete sind hier die Netzwerk-Sicherheit selbst und vor allem die Auswertungen von Logdateien und die Anomalie-Anaylse im Kommunikationsverhalten. Aktuell dauert es im Durchschnitt 200 Tage bis ein Cyberangriff erkannt wird und erkennen tut ihn nicht der AV Scanner. Hier geht es nicht um (D)DoS Attacken, die man gezwungenermaßen schon frühzeitig erkennt aber trotzdem oft machtlos ist. Trotzdem sind 200 Tage einfach zu viel, bis eine gezielte Cyber-Attacke entdeckt wird. Hier gibt es also Nachholbedarf, ob mit oder ohne AV Scanner. Aus Erfahrung können wir bestätigen, dass in den meisten Fällen ein Schadcodebefall bei der Kommunikation nach extern entdeckt wird. Applikationskontrolle, IPS, URL Filter und IP Reputation sind die Technologien die zur Aufdeckung führen.
Sicherheit in der IT ist und bleibt ein stetiger Prozess. Unabhängig davon ob Produkte kommen und gehen oder ob Technologien überholt sind oder nicht. Es spielt auch keine Rolle, ob sich Hersteller gegen das Ende bestimmter Techniken stemmen. Die Welt und insbesondere die Welt der IT ist immer in Bewegung und Stillstand hat noch nie zu Fortschritt geführt. Als Anwender kann man dies eher entspannt sehen. Die Märkte üben den Zwang aus sich anzupassen und bessere Produkte zu bieten als der Mitbewerb.
Der Schutz der IT Infrastruktur ist ein Gesamtkonzept aus vielen Teilbereichen die auf den Anforderungen und den jeweiligen Schutzbedarf der Dienste und Systeme basiert. Es gibt hier wie bei allen Dingen in der IT eben nicht die eine Killerapplikation die alles abdeckt. Intelligente Konzepte die von der Organisation bis zur Technik umfassend durchdacht sind, bieten den nötigen Schutz.
Wie immer freuen wir uns über Fragen zum Thema IT Sicherheit und stehen wie gewohnt zur Verfügung.