Wieder einmal beschäftig sich dieser Blog mit dem Thema Antiviren Software im nicht privaten Umfeld und der Frage welchen tatsächlichen Nutzen der Einsatz von Antiviren Software auf Clients und Servern hat. Leider muss man bedauerlicher Weise feststellen dass der Nutzen irgendwo zwischen sehr gering über gar keinen bis hin zu gefährlich liegt. Wobei sich dann die Frage nach dem Sinn und Zweck des Ganzen aufdrängt.
Dies ist nicht der erste Artikel der sich hier im Blog oder in den einschlägigen IT Fachforen diesem Thema erneut stellt. Erst kürzlich gab es in Fachzeitschriften Artikel darüber, dass gerade die Software die zum Schutz des Systems installiert wurde als Einfallstor von Schadcode genutzt wird. Dies ist ja auch nicht weiter verwunderlich, weil die Software ja mit privilegierten Rechten betrieben werden muss um die anderen Applikationen und das System zu kontrollieren. Und das macht sie zu einem bevorzugten Angriffsziel. Dies bedeutet dann aber auch, dass mit dem Versuch ein System zu schützen gleichzeitig neue Sicherheitslücken geöffnet werden. Wobei man hier direkt bei der Frage des Sinn’s des Ganzen ist. Die Erfahrungen und nicht nur die aus der jüngsten Vergangenheit, zeigen immer wieder eins, dass trotz AV Software sich Schadcode ungehindert auf einem System aktivieren und einnisten kann. Selbst mit den aktuellsten Pattern wird der Schädling in den meisten Fällen nicht erkannt. Daher hier mein ganz persönliche Sichtweise auf herkömmliche AV Software.
AV Software für Client und Server sind Dinosaurier in der Welt der IT. Man installiert sie eigentlich aus Gewohnheit, weil man es immer so gemacht hat. Aber zu den Zeiten wo man es immer so gemacht gab es noch nicht das Internet wie wir es heute kennen. Als die AV Software aufkam verbreitete sich der größte Teil der Schadsoftware noch über Disketten. USB Sticks, genauer USB selbst war noch nicht erfunden worden. MS DOS hatte wohl noch nicht mal die Version 6.22 erreicht. Dieser Schadcode verbreitete sich gegenüber den heutigen Geschwindigkeiten nur im Schneckentempo. Zu der Zeit reichten Pattern-Updates alle paar Tage oder gar Wochen völlig aus um einen wirksamen Schutz des System zu haben. Aber trotzdem war „damals“ auch nicht alles besser. Es gab auch Schadcode der sich im BIOS oder im Boot-Record einnistete um noch vor dem Start der AV Software aktiv zu werden. Eine absolute Sicherheit gab es wie zu keiner Zeit auch nicht. Darum geht es auch gar nicht, es geht vielmehr darum aufzuzeigen, dass sich die Rahmenbedingungen massiv geändert haben, aber das Grundprinzip der AV Software immer noch das alte ist. Es gibt immer noch die Musterdatenbanken die aktualisiert werden müssen, die trotz schnellen Internet Zugängen zu große Latenz bis die Erkennung am Client stattfindet. Was aber nur ein Teil des Problems ist. Da helfen auch all die Beteuerungen der AV Hersteller nichts, dass sich ihre Software ja weiterentwickelt hat und Verhaltensanalyse und Sandboxen dazu gekommen ist. Aber egal wie man es wendet und dreht, es ist immer noch das alte Konzept nur eben im neuen Kleid.
Antivirus ist schon lange tot. Man hat eher das Gefühl, dass er nur noch vom T-Virus am „leben“ gehalten wird. Entschuldigung für das kleine Wortspiel. Aber wenn schon bei manchen Herstellern ein Regenschirm als Logo oder Schmuckbild herhalten muss, ist es zur Umbrella Corp. nicht weit. Das Thema ist aber leider zu ernst um es nicht im Grundsatz zu hinterfragen. Zu den Fragen gehört auch, welche Aussage bzw. welchen Wert die Tests der Erkennungsraten haben. Was sagt das wirklich aus? Realistisch gesehen nicht besonders viel. Was bringt die Erkennung von in die Jahre gekommen Schadcode der nicht mehr aktiv ist? Die Frage muss vielmehr sein, wie man sich vor dem neuen noch nicht bekannten Schadcode schützen bzw. wie man diesen erkennen kann? Das ist doch der eigentliche Kern des Dilemmas in dem wir alle stecken. Wenn man ehrlich ist, dann ist die Auswahl einer AV Software die Wahl zwischen Not oder Elend. Keines der herkömmlichen Produkte kann wirklich überzeugen, unabhängig vom Hersteller oder irgendwelchen Tests. Bei einem Produkt mangelnd es an der zentralen Verwaltung, die für größere Umgebungen sehr wichtig ist. Andere beeinträchtigen durch ihren immensen Ressourcenhunger das System auf dem sie laufen und wieder andere sind mit den benötigten Anwendungen eher inkompatibel um es höflich auszudrücken. In Summe: Not oder Elend trifft es ziemlich genau. Was dies verdeutlicht ist eine Antwort auf meine Frage, warum eine AV Software auf dem System installiert worden ist: „eher für’s Gewissen“. Denk man etwas über diese Antwort nach, so trifft sie es im Kern sehr genau. Man weiß im Grunde das es nichts bring, aber man installiert sie trotzdem. Dazu kommt noch die Erkenntnis, dass Entwickler von Schadcode diesen bei Virustotal prüfen lassen, ob der Code von den AV Herstellern erkannt wird. Was wiederum bedeutete, dass neuer Code immer so geschrieben ist, dass ihn die Scanner nicht erkennen werden und somit nutzlos sind. Q.E.D.
Der Ansatz zum Schutz muss also ein anderer sein, der sich von dem herkömmlichen völlig löst und den Weg für ein anderes Denken frei macht. Die Anforderungen zum Schutz von IT Systemen sind sehr komplex, keine Frage. Eine einfache Schutzsoftware kann dies nicht leisten und ist auch offensichtlich nicht die Lösung. Was kann man also tun um die IT Infrastruktur vor Schadcode zu schützen. Gegen den Schadcode direkt leider sehr wenig. Da man davon ausgehen muss, dass aktueller Code nicht erkennt wird. Also bleibt nur der Weg die Angriffsfläche die der Schadcode nutzen kann so klein wie möglich zu machen. Das am häufigsten eingesetzte Betriebssystem ist nun mal Microsoft Windows. Wo auch prinzipiell nichts dagegen spricht, gerade im kommerziellen Umfeld gibt es sehr viele Applikationen zu denen es keine Alternativen gibt. Das sind nun mal die Rahmenbedingung und jede Diskussion darüber ändert nichts am Problem der AV Software. Daher konzentriert sich dieser Artikel primär auf den Schadcode für Windows, da dieser zweifellos den größten Anteil von Schadsoftware stellt. Was also tun?
Um die Angriffsfläche der Systeme so gering wie möglich zu halten, braucht es ein durchdachtes Patch- und Update-Management der Systeme. Die so geschlossenen Lücken können vom Schadcode nicht mehr ausgenutzt werden. Der nächste Schritt ist die Kontrolle der Kommunikation. Der sich aber deutlich schwieriger gestaltet als es sich im ersten Augenblick anhört. Da sich in den meisten Fällen der Schadcode über das Netzwerk ausbreitet bzw. über das Netzwerk zum System kommt, ist diese Kontrolle der Schlüssel. Die Kontrolle muss zwei Aufgaben erfüllen. Die eine Aufgabe ist es die Daten die zum System kommen auf Schadcode oder verdächtige Verbindungen hin zu prüfen und so verhindern, dass dieser zum System kommt. Da sich auch hier Schadcode nicht immer auffinden lässt, ist die zweite Aufgabe befallene Systeme an ihrer Kommunikation zu erkennen und diese vom Rest des Netzwerks zu isolieren. Auf den Systemen selbst sind auch Maßnahmen zu ergreifen. Zu diesen Maßnahmen gehören zwei wichtige Werkzeuge die Microsoft einfach so mitliefert. Microsoft bietet mit dem Windows Defender einen Schutz der deutlich besser ist als sein ruf. Dessen Existenz auch nicht zuletzt zu der Aussage von Symantec geführt hat, dass AV tot ist. Die zweite Funktion die Microsoft mitliefert ist die Windows Firewall. Die Firewall an sich ist sehr gut. Leider ist die Konfiguration der Firewall weniger gut gelöst und wohl der Grund, dass sie nicht den Stellenwert hat, den sie eigentlich verdient. Mit einer ihrer größten Vorteile ist die zentrale Konfiguration über die AD. Im Segment der Server und hier insbesondere der in virtualisierten Umgebungen gibt es einen vielversprechenden Ansatz der direkt auf dem Hypervisor sitzt. Trendmicro’s Deep Security ist ein solches Produkt. Dateizugriffe können ganz klassisch geprüft werden, was jetzt nichts besonderes oder gar neues ist. Viel wichtiger sind die Module für Firewall und IPS. Gerade das IPS mit speziell auf den Schutz der Windows Systeme zugeschnitten Funktionen wie zum Bespiel virtuell patching, ist der Schritt in die richtige Richtung.
IPS gibt es schon lange, hat sich aber nie so richtig durchsetzen können und sich nie als Standard zur Systemabsicherung etabliert. Am Perimeter sieht dies zwar völlig anders aus. Denn im Grunde genommen setzt jede NGFW auf einem IPS auf. Dem IPS gehört die Zukunft oder welchen Namen das Kontrollsystem für das Netzwerk auch bekommen wird. Marketing Abteilung sind ja oft kreativ was so etwas angeht. Mit dem IPS hat man ein universelles Werkzeug mit dem man in der Lage ist verschiedene Aspekte der Kommunikation zu kontrollieren. Die Basis der IT ist ihre Vernetzung, kontrolliert man das Netzwerk und somit die Kommunikation, kontrolliert man im Grunde alles. Eine Kontrolle des Netzwerks bzw. der Kommunikation in Verbindung mit den Schutzfunktionen der Betriebssysteme ergeben ein Umfeld in dem man es dem Schadcode so schwer wie möglich macht. Setzt man jetzt noch wenn es möglich ist, alternative Software ein so verringert man die Angriffsfläche zusätzlich.Der Einsatz alternativer Software ist natürlich sehr individuell und muss in die jeweilige Umgebung passen. ThinClients sind hier oft eine gute Option. Das Gesamtkonzept muss durch ein durchdachtes und zeitnahes Patch-Management ergänzt werden. Mit den monatlichen Patches liefert Microsoft zum Beispiel auch immer ein Update mit, um bösartigen Code von den Systemen zu entfernen. Wenn der Hersteller sich schon die Mühe macht, dann sollte man dies auch nutzen. Aber dies alles zeigt, neue Wege sind abseits der traditionellen AV Produkte möglich, man muss nur bereit sein sie gehen zu wollen und sich aus dem Fesseln des immer schon so eingesetzten AV lösen.