Vor ziemlich genau sieben Jahren gab es einen Artikel hier im Blog, der sich mit der Sinnhaftigkeit von Antivirensoftware beschäftigt hat. In den darauffolgenden Jahren auch immer mal wieder ein weiterer Artikel zum Thema. Da das Thema Endpoint Security aktueller denn je ist, wird es Zeit sich diesem noch einmal anzunehmen und dabei die Erfahrungen der letzten Jahre Revue passieren zu lassen und auch eine neue Perspektive zu bieten.
Die aktuelle Lage der Pandemie bedeutet wieder deutlich mehr Homeoffice und im jüngsten Lagebericht zur Cybersicherheit des BSI wird die Gefahrenlage zudem noch hochgestuft. Verfolgt man die IT Nachrichten oder auch die Presse im Allgemeinen sind Cyberangriffe eher das normale Bild und sie nehmen weiter zu. Das BSI stuft daher die Gefahrenlage als entsprechend hoch ein und warnt bzw. gibt entsprechende Empfehlungen aus. Dann begleitet uns dieses Jahr das Thema Sicherheitslücken im Exchange und das eine oder andere Patch-Missmanagement von Microsoft. Bei den vielen Cyberangriffen, über die berichtet wurde, ist es eher unwahrscheinlich, dass alle Opfer der Cyberangriffe keine Antiviren Software im Einsatz hatten, sondern der größte Teil ein entsprechendes Produkt der üblichen “Verdächtigen” verwendet haben. Grundsätzlich muss man leider auch feststellen, dass die Angreifbarkeit im Allgemeinen gestiegen ist und die Systeme offensichtlich durch die installierte Schutzsoftware so gut wie nicht geschützt sind und diese oft keine Wirkung zeigte. Ein ähnliches Bild zeigt sich auch bei unseren Erfahrungen von Cyberangriffen, zu denen wir zur Hilfe gerufen wurden. Die klassischen Antiviren Produkte waren installiert, haben aber nur sehr geringen bis keinen Schutz geboten. Da spielte es auch gar keine Rolle, ob irgendwelche “hippen” Addons mit in den Produkten integriert waren oder nicht – der Cyberangriff war schlussendlich erfolgreich. Wenn man es dann ganz hart sehen will, haben all die Kritiker recht, die klassische Antiviren Produkte als Schlangenöl bezeichnen. Selbst Hersteller von Antiviren Produkten bzw. der CEO von Symantec hat vor vielen Jahren schon Antivirus als totes Produkt bezeichnet und trotzdem hat sich nicht wirklich viel getan. Die traditionellen AV Produkte funktionieren gefühlt noch immer wie in den 90’er auf Basis einer Mustererkennung und haben außer ihrem Verbrauch von Ressourcen in den meisten Fällen einen zweifelhaften Nutzen und eher keine Schutzwirkung bei den modernen Angriffen.
Dass es hier einem Paradigmenwechsel braucht, ist offensichtlich und mehr als nur überfällig. McAfee trennt sich zum Beispiel von der Enterprise Sparte und will sich auf das Consumer Geschäft konzentrieren. Die Frage nach dem Warum darf man sich hier schon stellen, sind Unternehmenskunden nicht mehr lukrativ, ist das Produkt nicht mehr zeitgemäß, eine Neuentwicklung zu teuer, ändern sich die Rahmenbedingungen durch die Clouds zu schnell, um sich anpassen zu können oder macht das Produkt Antivirus schlicht keinen Sinn mehr, weil es in die Jahre gekommen ist?
Der Microsoft Defender in der Azure hat nur noch den Namen gemeinsam mit dem Defender auf dem Client oder dem Server der On Premises betrieben wird. Die Erkennung von Schadcode funktioniert in der Cloud auf basis einer KI gestützten Verhaltensanalyse, womit wir nun direkt im Thema NextGen Endpoint Security sind. Ein Einfaches weiter so, geht in Anbetracht der Cyber Sicherheitslage auf keinen Fall. Dann ist es aber auch an der Zeit die Zeichen derselbe zu erkennen und eine der Bedrohungslagen angepasste Strategie zum Schutz vor Cyberangriffen am Endpoint zu wählen. Der Einsatz klassischer AV Produkte auf dem Client bietet keinen wirklich wirksamen Schutz mehr vor aktuellen Cyberattacken, dessen man sich bewusst sein muss. Es ist auch nicht hilfreich einfach so weiterzumachen und so zu tun, als wären mit der Installation einer Antiviren Software auf dem Client alle Sicherheitsprobleme gelöst sind. Die Realität sieht völlig anders aus und das tut sie auch, wenn man beim Schutz des Clients einen modernen Ansatz gewählt hat.
Die wesentlichen Eckpfeiler der Cyber Security sind ein umfassenden Patchmanagement damit die eingesetzten Systeme und Applikationen aktuell sind und ein moderner Ansatz zum Schutz der Systeme mit einer NextGen Endpoint Security Lösung, die auch wirklich eine ist. Der Beweis, dass die Verhaltensanalyse der einzige Weg ist, der einen in die Lage versetzt, unbekannten neuen Schadcode, für den es noch keine Muster gibt, als Schadsoftware überhaupt erkennen zu können, ist schon längst erbracht. All diejenigen die eine Sandbox zur Analyse eingehender E-Mail-Anhänge nutzen, sehen den Beweis normal täglich. Der normale AV erkennt nicht, die Mail geht zur Sandbox, wir da in einer VM zur Ausführung gebracht und am Verhalten wird erkannt, dass es sich um Schadcode handelt. Aber auf dem Client werkelt nach wie vor ein klassischer AV?! Es wird Zeit für einen Paradigmenwechsel, es mag auch sein, dass trotz der Änderung es noch zu einem Angriff kommen kann. Aber ein Produkt zu nutzen bei dem man genau weiß, dass es bei unbekannten Schadcode keine Wirkung hat, macht gar keinen Sinn. Auch muss man sich die Frage stellen, warum gibt es bei vielen der klassischen Hersteller nun eine zweite Produktlinie, die sich von der anderen deutlich unterscheidet? Wahrscheinlich ist dort auch die Erkenntnis gereift, dass man auf absehbare Zeit damit wohl kein Geld mehr verdienen kann. Die Frage ist ja eigentlich, warum gab es bei den herkömmlichen Produkten keine Innovation und es jetzt was Neues sein muss? Will man nur mit diesen Herstellern weiter machen und oder setzt man auf ein Produkt, welches von Anfang an diesen neuen Ansatz verfolgt hat?
Egal wie man es dreht und wendet, die aktuell genutzte Endpoint Security muss auf den Prüfstand und neu bewertet werden. Es ist auch richtig das Herkömmliche in Frage zu stellen und die eigene Strategie zu überdenken. Die Welt hat sich massiv geändert und die Cyber Angriffe sind das normale Bild in der IT, daher ist es umso wichtiger ich entsprechend der Rahmenbedingungen passend aufzustellen.