Channel Security

Leider konnte ich erst am Samstag mit den CeBIT-Besuchen beginnen und während ich eigentlich immer die ersten zwei Tage nutze, um mir einen ersten Überblick zu verschaffen, musste ich diesmal gleich durchstarten. Den Überblick werde ich mir nun quasi "nebenbei" verschaffen müssen. Trotzdem oder auch gerade deswegen, sind mir schon ein paar Sachen aufgefallen. Jetzt stellt sich die Frage: Was kommt in den Standpunkt, was in "About Security"? Da ich die "About Security"-Texte möglichst neutral halten möchte und diese Kolumne ja nicht ohne Grund "Standpunkt Sicherheit" heißt, werde ich die reinen Produktvorstellungen am Donnerstag bringen und hier meinen Senf zu zwei Themen dazugeben.

Fangen wir mit einer DPA-Meldung vom Donnerstag an: Eugene Kaspersky befürchtet, dass die Hersteller von Sicherheitssoftware den Kampf gegen die wachsende Internet-Kriminalität verlieren werden. Und wenn ein Fachmann wie Eugene Kaspersky das sagt, sollte man die Warnung ernst nehmen. Als Gegenmaßnahme fordert er polizeiliche Maßnahmen: "Deshalb setzte ich mich für eine Art Internet-Interpol ein. Auch die beste Sicherheitssoftware allein könnte bald nicht mehr reichen." Aber wird das reichen? Wie schnell kann eine internationale Organisation reagieren, die ja weiterhin auf die Informationen aus den einzelnen Staaten angewiesen ist? Bis da IP-Adressen und Nutzer zusammengebracht sind und sich eine verfolgbare Spur entwickelt, sind die Täter vermutlich schon längst bei der dritten oder vierten Straftat und meilenweit vom ersten 'Tatort' entfernt. So richtig und wichtig es ist, die Täter dingfest zu machen - mittelfristig sehe ich da schwarz.

Aber wie sieht es denn bei der Technik aus? Noch einmal Eugene Kaspersky: "Sie sind viele und sie sind unabhängig voneinander in der Welt verstreut, während die Flut ihrer Programme von einer Handvoll Unternehmen aufgehalten werden muss. Und für sie gibt es mit dem Internet keine Grenzen." Recht hat er. Wie viele Antiviren-Hersteller gibt es – 10, 15, sogar mehr? Ich habe mir nicht die Mühe gemacht zu zählen, aber ich tippe auf maximal 15 Hersteller mit eigenen Forschungsabteilungen. Und das ist der Punkt, an dem ich ansetzen würde: Wieso wird jeder neue Virus von jedem Hersteller analysiert? Würde es nicht reichen, zwei Labore (etwas Redundanz ist immer gut, eigentlich würde sogar eines reichen) würden sich den Virus vornehmen und die Ergebnisse würden in einer standardisierten Form untereinander geteilt? Ein Virus ist auch nur ein Programm, da sollten sich Wege finden lassen, eine für alle brauchbare Beschreibungsform zu finden. Was spricht dagegen, eine Organisation zu gründen, die die auftauchenden Viren auf die einzelnen Untersuchungseinrichtungen verteilt und die Ergebnisse dann an die anderen weiterreicht?

Vereinfacht betrachtet, gibt es bei der Virenerkennung doch nur 3 Komponenten: Die Viren selbst, die Signaturerkennung bekannter Viren – und die diversen Funktionen zur Erkennung neuer, bisher unbekannter Viren. Die Viren sind immer gleich, für den Erfolg eines Virenscanners ausschlaggebend ist die Erkennungsleistung. Darin unterscheiden sie sich, nicht im "Ausgangsprodukt". Den Herstellern dürfte es nicht schaden, wenn sie sich die erste Untersuchung der Viren teilen. Derjenige, der den jeweiligen Virus untersucht, hat zwar einen kleinen Zeitvorteil bei der Anpassung seiner Signaturdateien, aber das nivelliert sich durch die Verteilung der Viren, jeder ist ja mal mit der Analyse an der Reihe. Insgesamt dürfte das die Erstellung neuer Signaturen beschleunigen, denn wenn jetzt angenommene 15 Hersteller jeweils den gleichen Virus parallel untersuchen, könnten dann 15 verschiedenen Viren gleichzeitig untersucht werden. Detaillierte Untersuchungen zur Verbesserung der Erkennungsfunktionen können dann immer noch folgen. Mir geht es nur um die ersten Untersuchungen zur Anpassung der Signaturdateien – das ist der Punkt, an dem man ansetzen könnte und sollte. Da muss es so schnell gehen, dass den Virenherstellern keine Zeit bleibt, aus ihren Entwicklungen Kapital zu schlagen.

Und nochmals Eugene Kaspersky, zu sich selbst verändernden Programmen: "Normalerweise kann man ein Gegenmittel für einen Trojaner schon nach wenigen Sekunden parat haben. Bei solcher Software muss man erst ein Gegenprogramm schreiben. Das kann eine Stunde, zwei Stunden oder einen ganzen Tag dauern. In dieser Zeit ist man ungeschützt." Möchte irgendjemand dagegen wetten, dass solche Programme in Zukunft vermehrt auftauchen werden? Schließlich erhöhen sie die "Überlebenszeit" des Trojaners – und damit den Gewinn dessen Entwicklers. Die Entwicklungskapazitäten der Antiviren-Hersteller müssen entweder massiv aufgestockt oder optimaler genutzt werden.

Kommen wir noch schnell zu einem weiteren Schlagwort, dem ich mich Montag auch auf der CeBIT widmen werde: Unified-Threat-Management-Systeme. Ein ketzerischer Gedanke dazu: Handeln wir uns damit (wie auch immer die einzelnen Hersteller das definieren, eine Firewall ist ja fast immer mit im Boot) zum Teil nicht genau die Probleme ein, die immer gegen eine Personal Firewall vorgebracht werden? Die Firewall ist beim UTM-System Bestandteil des zu schützenden Systems. Nach einem erfolgreichen Angriff auf eine der anderen Komponenten ist die Firewall kein Schutz mehr. Zugegeben, eine Security-Appliance ist kein normaler Desktop- oder Server-Rechner. Betriebssystem und Programme der Appliances sind speziell gehärtet (oder sollten es zumindest sein) und sollten Angriffe besser widerstehen. Aber trotzdem bleibt zumindest bei mir ein ungutes Gefühl zurück.

Carsten Eilers