Stand der Technik beim IT-Schutz

0
851
Mithilfe von Sandbox-Lösungen soll sichergestellt werden, dass potenzieller Schadcode gar nicht erst bis dorthin vordringt, wo er gefährlich werden kann. (Foto: Bru-nO/pixabay.com)

Als Halter sensibler Daten sind staatliche Einrichtungen und Behörden ein besonders beliebtes Ziel für kriminelle Attacken aus dem Cyberraum. Vorfälle wie die Emotet-Welle Anfang des Jahres geben Einblick in die Tragweite des Problems, dem mit klassischen Schutzvorkehrungen wie Antiviren-Scannern nicht mehr beizukommen ist. Abhilfe könnten Sandbox-Lösungen schaffen. Mit dem ihr zugrundeliegenden Container-Prinzip schottet die Technologie potenzielle Malware ab und schützt somit den Endpoint des Users vor Übergriffen aus dem Netz.   

Am Anfang steht eine E-Mail: Auch im Jahr 2020 sind elektronische Nachrichten das Einfallstor schlechthin für Angriffe aus dem Cyberraum. Nach aktuellen Zahlen gingen rund 94 Prozent aller notierten Angriffe aus dem Netz auf einen schadhaften E-Mail-Anhang zurück, umreißt Marco Wienrich, Major Account Manager Public & Government bei Trend Micro, die Bedrohungslage. Zwar könne der geschulte Blick auf die Details – beispielsweise bei der Entlarvung eines falschen Absenders – gefakte E-Mails aufdecken, manche Nachrichten seien jedoch so gut getarnt, dass ihnen zuweilen selbst sensibilisierte User auf den Leim gingen.

Grenzen von Antivirenscannern

Signaturbasierte Scanner böten einen rudimentären Schutz, doch greife dieser nur bei generischen E-Mails. Für geübte Hacker sei es hingegen ein Leichtes, einzigartige Exploits zu erstellen, die ein herkömmlicher Antiviren-Scanner nicht erkennen könne – mit dem Ergebnis, dass die Malware nicht im Spamordner verschwindet, sondern sich unter die regulären Nachrichten im Posteingang des Benutzers mischt. Ganz ähnlich verhalte es sich bei polymorpher Schadsoftware, die ihr äußeres Erscheinungsbild ändern könne, ohne allerdings ihre schädliche Funktion dadurch aufzugeben. Das Problem signaturbasierter Scanner liege darin, dass nur ausgefiltert werden könne, was an Viren und anderem Schadcode bereits bekannt sei. Vor dem Hintergrund, dass aktuell weltweit sechs neue Malware pro Sekunde entstände, sei es mit klassischen Methoden unmöglich, je vor die (Bedrohungs-)Lage zu kommen, so Wienrich weiter.

In gesicherter Umgebung  

Anders als signaturbasierte Antiviren-Scanner operieren Sandbox-Lösungen, die einer potenziellen Malware den Zugriff auf das System des Nutzers gar nicht erst gestatten, da sie eingehende Dateien in einer abgekapselten Umgebung öffnen. Besonders effektiv sei die Technologie bei Daten des sogenannten Graubereichs, mit anderen Worten Nachrichten, die sich weder auf der White- noch auf der Blacklist eines Users befinden, erklärt Benjamin Greve, Senior Sales Engineer bei Trend Micro. Ist sich der Benutzer bei einer eingegangenen E-Mail unsicher, ob wohlmöglich eine Bedrohung vorliegt, kann er die Nachricht unmittelbar an die Sandbox weiterleiten.

Diese öffnet die Datei daraufhin in einer isolierten Umgebung, so dass kein Schaden für das eigentliche Betriebssystem entstehen kann. Hat die Technologie eine Malware erkannt, wird sie automatisch in Quarantäne geschickt. Der Nutzer bekommt von den im Hintergrund ablaufenden Prozessen nichts mit. Für eingehende Schadsoftware, die, ehe sie ihre Aktivitäten beginnt, zunächst die Umgebung auf Nutzerspuren scannt, erscheint die Sandbox dabei stets wie ein regulärer Endpoint. Das ist insofern notwendig, als sich viele Malware-Programme meist solange zurückhalten, bis sie erkannt haben, dass es sich auch tatsächlich um ein genutztes Endgerät handelt. 

Den größten Schutz biete die Sandbox in Kombination mit anderen Sicherheitsmechanismen, führt Greve aus. Möglich sei dabei die Anbindung mit einer DMZ über ein E-Mail-Gateway, mit einem Exchange-Server oder direkt mit dem Endpoint.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here