Die Meinung der SAP-Community IT-Security Kolumne MAG 1805

Virenschutz-Lösungen – modernes Schlangenöl?

It Security

Im Wilden Westen versprach „Clark Stanley’s Snake Oil Liniment“ Linderung bei vielen Erkrankungen – und entpuppte sich als völlig wirkungslos. Seither steht Schlangenöl für teure, nutzlose Produkte – genau wie heutige Anti-Viren-Lösungen?

In der IT-Security-Szene ist die Diskussion über die Wirksamkeit von Anti-Viren-Produkten ein Dauerbrenner. Zuletzt wurde sie durch Äußerungen von Robert O’Callahan, einem ehemaligen Mozilla-Entwickler, und Justin Schuh, Director of Chrome Security bei Google, beflügelt.

Sie behaupteten, Anti-Viren-­Lösungen seien in vielen Fällen ein Hemmschuh bei der Entwicklung sichererer Browser und könnten möglicherweise die effektive Sicherheit sogar verringern. Sie verwiesen auf Tavis Ormandy, Sicherheitsforscher bei Google, der kurz zuvor in manchen Virenschutzlösungen Sicherheitslücken entdeckt hatte.

Die betroffenen Hersteller haben diese allerdings so umgehend gefixt, dass selbst Ormandy das Tempo lobte. Dennoch ging O’Callahan in einem Blog-Post so weit, Nutzern sogar zu raten, ihre Anti-Viren-Lösung zu deinstallieren!

Zudem finden sich online zahlreiche „Studien“, die belegen sollen, dass signaturbasierte Lösungen Malware-Erkennungsraten von lediglich 30 bis 40 Prozent erreichen und extrapolieren, dass der Gewinn an Sicherheit bestenfalls marginal sei.

Unter Security-Experten ist es unumstritten, dass rein signaturbasierte Malware-Erkennung allein keinen hinreichenden Schutz darstellt, insbesondere für interaktiv bediente Desktop-Systeme, bei denen Web-Surfing und E-Mail die wichtigsten Infektionsvektoren bleiben.

Die schiere Anzahl und hohe Volatilität der Malware, die sich „in-the-wild“ befindet, ist einfach zu groß. Auch ist es richtig, dass simple Pattern-Matching-Verfahren bei komplexer Malware mit mutierendem, polymorphem Code konzeptbedingt versagen.

Tatsache ist aber auch, dass die Mehrzahl der Malwares eben nicht ein solch hohes Maß an Komplexität an den Tag legt. Weiterhin wird es Security-Herstellern nicht gerecht, wenn moderne Viren-Scan-­Engines auf reines Pattern-Matching reduziert werden.

Alle Anbieter haben die Mustererkennung längst durch Heuristiken, zahlreiche Decoder, Whitelists und Varianten-Erkennung derart erweitert, dass es selbst für „Custom Malware“ immer schwieriger – wenngleich nicht unmöglich – wird, unerkannt zu bleiben.

Joerg SchneiderErlauben Sie mir, einen Vergleich zu bemühen, um aufzuzeigen, dass PR-wirksame, provokante Statements, wie die von O’Callahan, Otto Normal­usern einen Bärendienst erweisen. Es sollte klar sein, dass ein normales Zylinderschloss einen versierten Einbrecher nicht davon abhält, in ein Haus einzubrechen.

Wenn aus Sicht des Einbrechers die Aussicht auf die Beute das Risiko und den Aufwand rechtfertigen, wird das besagte Schloss zwar eine Hürde darstellen, die aber überwunden werden kann.

Diese Tatsache rechtfertigt aber nicht den Verzicht auf ein Türschloss. Dies nämlich reduziert den Aufwand für den Einbrecher faktisch gegen null und verschiebt die Aufwand-Nutzen-Rechnung für den Einbrecher zugunsten des Einbruchs.

Genauso werden Systeme ohne Virenschutz zum Punkt des geringsten Widerstandes für Angreifer und beschwören Angriffe herauf. Keinesfalls sollen Security-Hersteller in Schutz genommen werden, deren Produkte nicht die Anforderungen sicherer Software-Entwicklung erfüllen. Hier müssen Kunden die Hersteller in die Pflicht nehmen.

Sie haben mit ihren Kaufentscheidungen einen erheblichen Hebel, Nachbesserungen und Qualität von denjenigen Herstellern einzufordern, die sich ihren Anteil am Enterprise-Endpoint-Security-Markt (laut Forrester ein Marktvolumen von 5,9 Milliarden US-Dollar jährlich bis 2021) sichern wollen.

Ebenso denke ich nicht, dass signaturbasierte Malware-Erkennung allein geeignet ist, um jede Art von Endpoint umfassend gegen Malware zu schützen.

Sehr wohl aber bin ich der Ansicht, dass moderner Virenschutz auf absehbare Zeit ein integraler Bestandteil einer jeden ernsthaften, mehrschichtigen Sicherheitsstrategie bleiben muss. Diese Lösungen sind dort die einzige Verteidigungslinie, wo Malware nicht ausgeführt, sondern lediglich abgelegt wird. Gemeint sind zentrale Verteilerpunkte im Unternehmensnetz, auf die zahlreiche interne und externe User zugreifen – wie Storage, Dokumenten-Management und nicht zuletzt auch SAP-Systeme!

Über den Autor

Jörg Schneider-Simon, Bowbridge Software

Jörg Schneider-Simon ist Chief Technical Officer von Bowbridge Software, einem Hersteller von Cybersecurity-Lösungen für SAP-Anwendungen.

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2