Computerviren: Angeblich fast alle IT-Netzwerke angriffsgefährdet

• Drucken
• Senden
• Feedback

Schon seit Jahrzehnten ist der Angriff auf Computer ein mehrstufiger Prozess, dessen Regeln aus dem Schlagabtausch von Crackern und Schützern erwachsen sind:

• Der Angreifer versucht auf verschiedenen Wegen, ein Schadprogramm auf dem Zielrechner zu plazieren.
• Die Sicherheitssoftware versucht, den Schädling zu erkennen und zu blockieren.
• Der Angreifer versucht, seine Schadsoftware zu maskieren.
• Die Sicherheitssoftware versucht, die Tarnung zu erkennen.

Und so weiter. Egal, wie weit dieses Spiel getrieben wird, ist sein Ausgang bei Erfolg des Angreifers in der Regel derselbe. "Gute" Schadsoftware setzt im Erfolgsfall die Sicherheitssoftware außer Gefecht (wirklich gute Schadprogramme schaffen das, ohne dass man es bemerkt) und laden dann auch Schadcode nach, den die Sicherheitssoftware sonst abgefangen hätte.

Sicherheit ist auch in der IT-Welt ein relativer Begriff

IT-Sicherheitsprogramme wie Virenscanner versuchen auf unterschiedlichen Wegen, Schadsoftware zu erkennen. Die wichtigsten sind:

• Erkennung über die sogenannte Signatur: Die Schutzsoftware sucht nach typischen Kennzeichen bereits erfasster Viren sowie der Toolkits, mit denen diese produziert wurden. So eine Signatur ist ein Ausschnitt aus dem Programmcode - eine Art virtueller Fingerabdruck.
• Erkennung mittels heuristischer Methoden: Dabei stellt die Schutzsoftware einen Programmcode quasi unter Schad-Verdacht, wenn dieser beispielsweise Muster enthält, die Virentypisch sind, oder unter Verwendung einschlägig bekannter Methoden gefertigt/verpackt wurde.
• Erkennung anhand des Verhaltens: Häuft sich eine als verdächtig zu bewertende Aktivität eines Programms, setzt das Schutzprogramm dieses auf die Verdachts-, respektive Blockade- oder sogar Quarantäne-Liste.

Die sicherste Methode ist die Signaturerkennung, die aber daran leidet, nur erkennen zu können, was sie eben schon kennt. Das möglichst zeitnahe Nachliefern entsprechend aktualisierter Virensignaturen ist deshalb in einen Wettlauf ausgeartet, der der IT-Welt in der Regel mehrere tausend neue Virenvarianten am Tag beschert - und den PC-Nutzern oft Dutzende Updates.

Die anderen beiden Methoden aber haben deutlich niedrigere Trefferquoten und produzieren zudem mehr Fehlalarme. Die Kombination aller drei Ansätze erbringt im PC-Alltag ein akzeptables Schutzniveau, das die Internet-Nutzung möglich macht. Zusätzliche Sicherheit bringen Firewalls, die den Datenverkehr an der Schnittstelle zum Netz beobachten und analysieren.

Intrusion Detection: Die erste Abwehrreihe

Denn ein weiteres, noch komplexeres Thema sind die Wege, auf denen Schadsoftware auf Rechnern und in Netzwerken landet. Immer mehr Schadprogramme flattern ohne Beihilfe durch PC-Nutzer, die wider besseren Willens doch das E-Mail-Attachment mit den angeblichen Nacktbildern öffnen, ins Haus: Sie tasten sich hinein über unzureichend abgedichtete Zugänge (Portscans) oder lauern auf verseuchten Webseiten (Drive-Bys). Sie werden per Hack mit Gewalt hineingedrückt oder über gefälschte, vermeintlich sichere Webseiten hineingetrickst (Phishing) oder kommen huckepack per Script.

Jetzt, behauptet Stonesoft, stünden all diese Wege noch viel offener, als sie das seit Jahren sowieso schon tun. Mit "Advanced Evasion Techniques" ließen sich verschiedenste Tarnroutinen beliebig kombinieren, bis kein Scanner mehr wisse, was ihm da gerade auf die Platte flattert. Das klingt bedrohlich - aber auch plausibel?

• zurück
• 1
• | 2
• | 3
• weiter

• 1. Teil: Angeblich fast alle IT-Netzwerke angriffsgefährdet
• 2. Teil: So versucht Sicherheitssoftware, Schädlinge zu erkennen
• 3. Teil: Konkurrenten sind skeptisch: Die Bedrohung ist da - aber wie groß ist sie?