Interview: Unwesen nur in der virtuellen Umgebung

0
1736
Jochen Koehler von Bromium (hier auf dem Fachkongress PITS 2018) plädiert im Behörden Spiegel-Interview dafür, sich nicht allein auf die Erkennung von Schadsoftware zu verlassen. (Foto: BS/Dombrowsky)

Klassische Virenscanner, E-Mail-Filter oder Firewalls können nur vor Bedrohungen schützen, die bereits bekannt sind. Um der enormen Menge neuer Schadcodevarianten dennoch Herr zu werden, gibt es verschiedene Herangehensweisen. Der IT-Sicherheitsanbieter Bromium setzt auf Abschottung von potenziell gefährlichen Prozessen. Mit dem Regional Director DACH, Jochen Koehler, sprach der Behörden Spiegel über Grenzen von Ansätzen zur Schadcode-Erkennung und über Virtualisierung in der Praxis.

Behörden Spiegel: Klassische Virenscanner haben ausgedient. Gehört die Zukunft Lösungen, die mittels KI oder Machine Learning Bedrohungen nicht mehr am Schadcode selbst, sondern am verdächtigen Verhalten in den IT-Systemen erkennen?

Koehler: Ich glaube, dass KI und Machine Learning gute Technologien sind, um klassische Lösungen zu erweitern. Sie zielen aber trotzdem auf Erkennung. Ich bin der festen Überzeugung, dass Bedrohungen erst zuverlässig von solchen Systemen erkannt werden können, nachdem sie erstmalig als böse identifiziert wurden. Man kann jede Antiviren-Lösung mit Verfahren wie Machine Learning so tunen, dass sie ganz viel abfängt. Aber gerade am Anfang wird dabei eben auch ganz viel abgefangen, was gar nicht abgefangen werden soll. Das ist wie bei einer Grenzkontrolle, wenn ich als Zöllner eine verdächtig aussehende Person kontrolliere und sich herausgestellt, dass nichts zu beanstanden war. Das Dilemma bleibt bei allen Tools bestehen, die auf Erkennung setzen. Genau deswegen kommen wir ins Spiel.

Behörden Spiegel: Wie sieht Ihre Lösung aus?

Koehler: Wir versuchen gar nicht erst zwangsläufig die Erkennung vorne an zu stellen, um dann Entscheidungen zu treffen, ob etwas gut oder böse ist. Vielmehr entscheiden wir per se aufgrund der Quelle. Wenn ich in einem Haus lebe, dann ist alles was von außen hinein kommen will, potenziell gefährlich. Ich habe zwar Freunde, die mich besuchen, aber es gibt auch eher fremde Personen, die mein Haus betreten oder solche, die nachts einsteigen möchten. Wenn es einen Weg gäbe, alle in mein Haus zu lassen, ohne dass sie wirklich Schaden machen können, würde ich das begrüßen. Im Haus geht das leider nicht. Bei der IT geht es aber. Alles was von außen in den Rechner eindringt und potenziell gefährlich sein kann – Aufrufe von Webseiten, Downloads, Links und Anhänge in Mails, Daten von USB-Sticks – wird isoliert. Ich speise sozusagen alle Prozesse, auch die legitimen, in virtuellen Maschinen ab. Dort sind sie voll funktionsfähig. Sollte sich aber herausstellen, dass ein Prozess doch nicht legitim ist, dann kann dieser sein Unwesen nur in der abgespaltenen Umgebung treiben und nicht auf dem Rechner.

Behörden Spiegel: Und was passiert, wenn Schadcode in der virtuellen Umgebung aktiv wird?

Koehler: Dann ist der Schaden auf diese Umgebung begrenzt. Der Schadcode wird nicht auf das System gelassen. Sobald der Prozess, also z. B. die Datei oder der Browsertab, geschlossen wird, löscht sich die gesamte virtuelle Maschine mit allem, was im Speicher war, komplett. Nichts bleibt bestehen. Aber die virtuelle Maschine hat während der Laufzeit wie ein Flugdatenschreiber gewirkt. Erkennung ist also durchaus als sekundäres Ziel im Spiel. Nachdem ich den Schaden abgewendet habe, möchte ich trotzdem wissen, was denn passiert wäre. Was hat der Schadcode versucht auf meinem Rechner zu machen? Ich bekomme eine komplette forensische Aufbereitung frei Haus. Sobald ein Task beendet wird, in dem ein Schadcode aktiv war, bekommt die zentrale Überwachungsstelle die Informationen, dass auf dem Rechner von Anwender X eine Datei im Verzeichnis Y ausgeführt wurde oder dass eine Website Z geöffnet wurde, die die folgende Auffälligkeit gezeigt hat.

Behörden Spiegel: Was, wenn Mitarbeiter unterwegs auf Reisen oder von zu Hause mit ihren Notebooks arbeiten? Funktioniert die Isolation auch außerhalb des Netzes eine Behörde?

Koehler: Die Isolation funktioniert einwandfrei lokal auf dem Rechner. Mit unserer Software schützen wir zunächst einen einzelnen Rechner. Die Lösung kann natürlich organisationsweit ausgerollt werden. So wie ich jedem Autofahrer einen Gurt und Airbag verpassen will, macht es Sinn, auch jedem Virenscanner eine Mikro-Virtualisierung zu verpassen. Die können sich dann mit einer zentralen Verwaltungsstation austauschen, aber nur, um regelmäßig eine Info zu schicken, was auffällig gewesen ist, oder um zu erfahren, wenn eine grundlegend neue Einstellung verfügbar ist. Geschützt werden die Rechner einhundertprozentig lokal, das heißt sie müssen nicht im Netz sein. Es muss auch keine Internetverbindung bestehen.

Behörden Spiegel: Ist denn ein durchschnittlicher Rechner, der im Behördenumfeld zu Einsatz kommt, in der Lage, die Virtualisierung auf der lokalen Hardware zu leisten?

Koehler: Heute ist die klare Antwort: Ja, die Hardware ist bereit für uns. Security darf nicht wehtun, sonst hat sie keine Chance. Der Anwender darf keine Geschwindigkeitseinbußen spüren. Hätten Sie mich vor drei Jahren gefragt, hätte ich gesagt, der durchschnittliche Behörden Client ist möglicherweise noch zu schwach. Damals standen viele Behörden vor einem Hardwaretauschzyklus und hatten noch Geräte mit vier oder weniger Gigabyte Speicher. Derzeit rollen viele Behörden Windows 10 aus. Und das auf Rechnern mit aktuellen Prozessoren und in der Regel acht oder sogar 16 Gigabyte Arbeitsspeicher – uns würden vier reichen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here