„Klassische Sicherheitslösungen können viele Cyber-Angriffe nicht verhindern, da sie auf die Angriffserkennung angewiesen sind. Nur die konsequente Isolation aller Gefahren lässt Cyber-Attacken zuverlässig ins Leere laufen“, erläutert Jochen Koehler im Gespräch mit der TREND-REPORT-Redaktion.
Herr Koehler, wie sieht die aktuelle Bedrohungslage aus?
Nicht gerade rosig, Unternehmen und Behörden geraten zunehmend ins Visier von Cyber-Angreifern. Vor allem Phishing-Mails und maligne Downloads stellen eine immense Gefahr dar, die klassische Sicherheitsmaßnahmen nicht beseitigen können. Gefälschte E-Mails kursieren in immer größerem Umfang. Es vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Zuletzt machte etwa die E-Mail-Spam-Kampagne mit dem Onlinebanking-Trojaner Emotet von sich reden. Er infiziert E-Mail-Postfächer und Rechner und kann gesamte Netzwerke lahmlegen. Auch das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt momentan im Trend und stellt eine große Bedrohung für jedes Sicherheitssystem dar.
Vor allem aber auch das Downloaden und Öffnen von Dokumenten stellt Unternehmen wie Behörden vor ein großes Problem. Aus dem Arbeitsalltag vieler Mitarbeiter ist das Herunterladen von Dateien aus externen Quellen nicht wegzudenken. Dabei besteht aber immer die Gefahr, Opfer von Malware zu werden: sei es durch das Klicken auf Weblinks, durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffswege der Hacker sind dabei äußerst vielfältig. Zu den aktuellen Varianten zählen etwa Fake-Updates, URL-Weiterleitungen, DNS-Manipulationen, fingierte Treiber und Systemtools oder Watering-Hole Attacks („Wasserloch-Attacken“).
Generell ist zur aktuellen Bedrohungslandschaft noch zu sagen: Browser-basierte Attacken haben an Bedeutung verloren und File-basierte Angriffe stellen gegenwärtig die größte Gefahr dar. So lautet auch das Ergebnis einer Bromium-Untersuchung, für die wir die bei unseren Kunden 2018 aufgetretene Schadsoftware detailliert analysiert haben – und zwar diejenige, die von klassischen Sicherheitslösungen wie Antiviren-Software, Webfilter-Programmen oder Firewalls nicht erkannt wurde. Das Ergebnis ist eindeutig: Rund 90 Prozent aller Attacken sind File-basiert und nur 10 Prozent Browser-basiert. Bei der File-basierten Malware entfallen jeweils circa 50 Prozent auf Browser-Downloads und auf E-Mail-Anhänge. Die für die Angriffe am häufigsten genutzten Dateitypen sind *.doc, *.xls, *.pdf und *.exe.
Warum sind herkömmliche Sicherheitstools nicht in der Lage, der Gefahren Herr zu werden?
Es ist ein Ding der Unmöglichkeit, den durch E-Mails und Downloads bestehenden Gefahren mit klassischen Sicherheitslösungen wie Firewalls, Web- und E-Mail-Filter oder Antiviren-Programmen erfolgreich zu begegnen. Ihr Problem besteht darin, dass sie unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden auf die Malware-Erkennung angewiesen sind. Bisher unbekannte Schadsoftware wie einen neuen Virus in einem E-Mail-Anhang können sie mit solchen Verfahren kaum aufspüren. Selbst wenn Lösungen wie die Next-Generation-AV-Produkte eine Erkennungsrate von 99 Prozent bieten, bezieht sich auch das nur auf bereits bekannten Schadcode. Was immer bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.
Unternehmen wie Behörden sind sich oft der Begrenztheit ihrer Abwehrmaßnahmen bewusst und versuchen deshalb die Nutzer für die Gefahren durch E-Mails und E-Mail-Anhänge zu sensibilisieren. Es ist zwar richtig, greift aber zu kurz. Ebenso wichtig ist, dass die E-Mail-Nutzer mit einer technischen Lösung entlastet werden.
„Was immer bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.“
Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn
Wie sieht das Lösungsmodell von Bromium aus?
Hauptcharakteristikum der Bromium Secure Platform ist die Hardware-isolierte Micro-Virtualisierung. Zentrale Lösungsbestandteile sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz können alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen gekapselt und isoliert werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.
Jeder einzelne Task läuft bei der Lösung in einer eigenen Micro-Virtual-Machine (VM) – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Mögliche Schädigungen bleiben immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität, etwa dem Schließen eines Files oder Browser-Tabs, automatisch gelöscht wird. Damit wird zuverlässig verhindert, dass ein Schadprogramm ein Endgerät und damit ein Behörden- oder Unternehmensnetz kompromittiert. Auch versteckte Malware hat so keine Chance mehr und läuft ins Abseits.
Wo liegen die Grenzen Ihrer Lösung? Welche ergänzenden Lösungen sind sinnvoll und notwendig?
Auch wenn Virtualisierung die Begrenztheit herkömmlicher Sicherheitslösungen überwindet, überflüssig werden sie dadurch nicht. Natürlich müssen etwa Antiviren-Tools für die Erkennung bekannter Schadsoftware elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Und auch neue KI-gestützte Sicherheitssysteme haben durchaus ihre Berechtigung, gerade im Netzwerkbereich, in dem es um die Analyse großer Datenmengen geht. Im Hinblick auf Ihre Frage würde ich aber zugespitzt formulieren: Das Entscheidende ist, dass diese Lösungen letztlich nur eine komplementäre Ergänzung darstellen, und zwar von Lösungen, die einen gezielten Schutz auch vor unbekannter Malware bieten.
Können Sie uns einen Ausblick geben, wie sich Ihre Technologie entwickeln wird, Stichwort Protected App?
Generell gehen wir davon aus, dass im Bereich Sicherheit die Virtualisierung das beherrschende Thema der nahen Zukunft sein wird. Auch Bromium wird den eingeschlagenen Virtualisierungsweg fortsetzen. Die Richtung lautet „Isolation von kompletten Zugriffswegen mittels Virtualisierung“. Ziel ist, Zugriffe auf kritische Unternehmenssysteme und -applikationen wie Domain Controller, Datenbanken oder ERP-Systeme auf Basis einer Hardware-isolierten Virtualisierung zu schützen – und zwar selbst dann, wenn der Zugriff von einem kompromittierten Rechner aus erfolgt, auf dem zum Beispiel ein Keylogger installiert ist. Realisiert wird dieser Schutz durch den Aufbau eines hochsicheren Tunnels etwa mittels einer RDP- oder ICA-Verbindung.