Seit der Symantec Senior Vice President Brian Dye im Mai 2014 in einem Interview mit dem Wall Street Journal angab „Antivirus is dead“, haben sich diverse Experten und andere Personen zu diesem Thema geäußert. Es gibt Softwarehersteller, die Lösungen komplett ohne Virensignaturen anbieten und den guten alten Antivirus (AV) als nicht mehr nötig propagieren und es gibt immer lauter werdende Stimmen, die einen Schutz auf dem Endpunkt als gar nicht so wichtig erachten. In einem kürzlich veröffentlichten Artikel von Heise rät ein Entwickler sogar zur Deinstallation von Schutzsoftware.

Zu diesem Thema ist es jedoch wichtig, möglichst viele Aspekte zu kennen und auch beurteilen zu können. Fangen wir also mit der Aussage von Brian Dye im Mai 2014 an. Wer den ganzen Artikel liest, erkennt die Motivation und auch den Hintergrund seiner Aussage. Symantec verdient mit dem Verkauf von Software Geld und im Jahr 2014 gab es tatsächlich noch eine eigenständige AV-Lösung namens Norton AntiVirus neben einer Lösung mit dem Namen Norton Internet Security. Diese Lösung bot mehr Schutz durch zusätzliche Technologien und Symantec ist natürlich interessiert daran, Kunden die möglichst beste Lösung zu bieten. Allerdings war Internet Security auch etwas teurer als der reine AV-Scanner, es liegt also nahe, dass Symantec mit dieser Aussage auch den Kauf seiner teureren Lösungen antreiben wollte.

Hintergrundwissen

Der traditionelle AV funktioniert mit Signaturen, in denen Muster wie in einer Datenbank gespeichert sind (Blacklisting). Wird nun ein Programm von der Platte geladen, vergleicht der AV den Programmcode mit diesen Mustern in der DB. Heutige AV-Signaturen enthalten ca. 1 Milliarde und mehr unterschiedliche Muster welche zur Prüfung natürlich den Rechner verlangsamen. Es kommen heute täglich ca. 500.000 neue Schädlinge mit stark steigender Tendenz heraus, ein Ende der alleinigen Nutzung des herkömmlichen AV selbst bei steigender Hardwareleistung liegt also auf der Hand. Bereits in den 90er Jahren wurden deshalb heuristische Scanner entwickelt, welche auch komplexeres Verhalten von Schädlingen erkennen konnten, ohne ein Muster in der Software oder einen Hashwert der Datei zu kennen. Allerdings war auch diese Technologie kein Allheilmittel.

Wer sich weiter mit der Technik zum Schutz am Windows Endpoint auseinander gesetzt hat, der wird spätestens im Jahr 2001 mit dem Erscheinen von Windows XP erkannt haben, dass die Softwareentwickler andere Techniken einbauen mussten, um die Endpunkte besser zu schützen. Die bei XP mitgelieferte Firewall wurde von den meisten Administratoren im Unternehmen deaktiviert, da wenig Know How und Ressourcen für die Administration vorhanden waren. In diese Zeit fällt auch die Veröffentlichung einer Lösung von Symantec namens Client Security, welche für Windows XP als erste Lösung am Markt folgende Sicherheitsfunktionen für Unternehmen mitbrachte:
  • AntiVirus
  • Heuristic
  • Firewall
  • Intrusion Detection und Prevention (IPS)


Die IPS implementierte eine Technologie, mit denen Angriffe auf den Rechner bereits im Transit auf die Maschine über den Netzwerkverkehr erkannt und geblockt wurden und so gar nicht mehr vom traditionellen AV gefunden werden konnten. Die IPS ist mit ein Grund warum Dye 2014 anbrachte, dass der AV nur 45% der Schädlinge erkennt.

In der IT-Sicherheitsbranche wird daher seit ca. 2007 nicht mehr über Antivirus-Lösungen sondern über Endpoint Protection gesprochen, da für den Schutz der Clients und Server eben nicht mehr ein reiner Hash- oder Musterscanner ausreicht. Vielmehr sind heute neben dem obligatorischen regelmäßigen Patchen von Software und anderen Sicherheitsmaßnahmen mindestens 3 verschiedene Sicherheitstechnologien auf den Windows Endpunkten zu aktivieren:
  • Antivirus (Blacklisting)
  • Verhaltensbasierender Scanner
  • Intrusion Prevention


Zusätzlich zu den o. a. Technologien sind unter bestimmten Voraussetzungen auch folgende Funktionen auf den Windows Endpunkten sinnvoll:
  • Anwendungskontrolle
  • Gerätekontrolle
  • Verschlüsselung
  • Compliance Prüfungen
  • Härtung
  • Reputation
  • Firewall
  • Patchmanagement


Einige Experten äußern sogar, dass ein installierter Malwareschutz auf den Endpunkten eigene Sicherheitslücken mitbringt und deshalb per se unsicher ist. Natürlich enthält Software Sicherheitslücken, bekannte und noch unbekannte. Das ist jedoch immer der Fall, auch ohne den Malwareschutz. Andererseits kann eine Endpoint Protection auf dem Client oder Server manches Mal einen Angriff, z. B. auf die in Windows integrierten Schutzmechanismen ASLR und DEP verhindern, die genau solche Angriffe eigentlich erschweren sollen.

Gegenwart und Ausblick

Seit wenigen Jahren gibt es auch eine neue Form von Schutzsoftware auf Endpunkten, die ganz ohne Signaturen auskommen wollen. Hier warnen wir ausdrücklich davor, eine solche Lösung als alleinigen Schutz zu verwenden. Die Firmen gibt es oft erst seit wenigen Jahren und die Software ist auch nicht sehr alt. Die etablierten AV-Hersteller verfügen meist über 20-30 Jahre Erfahrung, große Forschungsabteilungen und immense Forschungs- und Entwicklungsbudgets. D. h. ein etablierter Hersteller von Endpoint Security kann wesentlich einfacher die neuen Technologien in seine Software integrieren, als ein neuer Hersteller die alten Technologien.

Die neuen Technologien beinhalten z. B. Advanced Machine Learning und erweitern den Schutz vor bekannten Angriffen, wie z. B. Heap Spraying. Auch hat Microsoft in den letzten Jahren einiges getan um Angriffe zu erschweren, ASLR und DEP sind da nur zwei Ansätze. Im Grunde geht es meist darum zu verhindern, dass Malware bösartigen Code einem OS oder einer Applikation unterschiebt, in dem es den Speicher auf den zugegriffen wird mit seinem Schadcode auffüllt. Das legitime Programm wird bei Erfolg den Schadcode ausführen und dieser hat dann weitere Möglichkeiten, wie z. B. das Erhöhen seiner Rechte. Genau wie damals als die heuristische Engine in die AV-Lösungen kam, gibt es heute auch wieder Firmen die diese neue Technologie als Wunderwaffe vermarkten.

Ein weiterer Trend im Kampf gegen Schädlinge sind auch Werkzeuge und Technologien die es vor Jahren nur beim AV-Softwarehersteller gab, Stichworte Malware Detonation Engines und Big Data. Teile dieser Techniken wandern in die Unternehmen und führen in virtuellen oder gar physischen Maschinen Code aus, der von einer übergeordneten Instanz analysiert wird. Die Ergebnisse dieser Analyse können dann von weiterer Software, z. B. dem Manager der Endpunkte verwendet werden um Dateien zu blockieren und auch um die gewonnenen Daten an den Hersteller in die Cloud zu übertragen, damit diese dort korreliert werden können. Die von der Cloud Engine ermittelten Erkenntnisse können dann wiederum den Endpunkten zur Verfügung gestellt und gemäß der Konfiguration Ereignisse auslösen. Für die neuen Technologien ist eine gute Internetanbindung und die Weitergabe der Daten an den Hersteller der Lösung fast schon unabdingbar.

Mobile Geräte sind heute ebenso wichtig, wie Windows Clients und Server. Auch Linux und Mac OS ist im Fokus der Angreifer und den Herstellern von Sicherheitssoftware. Noch vor wenigen Jahren waren hier Sicherheitslösungen völlig indiskutabel, heute gehören sie zum Standard. Früher musste am Großrechnerterminal jeder Job manuell freigegeben werden. Wer weiß, vielleicht werden Administratoren mit Unterstützung von Cloudabfragen und Big Data Analysen eines Tages jede einzelne Binary in ihrem Netzwerk freigeben müssen, die Anfänge sind schon längst gemacht.

In jedem Fall hat Brian Dye eine wichtige Diskussion angestoßen und hoffentlich auch dafür gesorgt, dass der Schutz am Endpoint erweitert und nicht reduziert werden sollte.

Denn sicher ist diesem Zusammenhang nur Eines:
AV als einzigen Schutz auf Endpunkten zu betreiben ist schon lange tot – AV im Rahmen vieler weiterer Schutztechnologien zu verwenden hatte, hat und wird mit Sicherheit noch einige Zeit Bestand haben!

Referenzen
Wall Street Journal, Symantec Develops New Attack on Cyberhacking
http://www.wsj.com/news/article_emai...MDAwNTEwNDUyWj
Heise, Ex-Firefox-Entwickler rät zur De-Installation von AV-Software
https://www.heise.de/security/artike...e-3609009.html
AV-Test GmbH
https://av-test.org
Wikipedia
https://www.wikipedia.de/
Eugene Kaspersky lashes out at Symantec's 'anti-virus is dead' remark
http://www.theinquirer.net/inquirer/...is-dead-remark
Automatic Analysis of Malware Behavior using Machine Learning
http://www.covert.io/research-papers...20Learning.pdf