E-Mail-Spam-Kampagnen und kein Ende
Schon seit Wochen warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) intensiv vor einer E-Mail-Spam-Kampagne mit dem Onlinebanking-Trojaner Emotet. Er infiziert E-Mail-Postfächer und Rechner und kann gesamte Netzwerke lahmlegen. Das BSI konstatiert:
„Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor“
Das BSI empfiehlt zwar einige Schutzmaßnahmen, hält aber auch fest, dass es eine hundertprozentige Sicherheit nicht geben kann. So findet sich deshalb auch als verpflichtende Maßnahme aus Sicht des BSI die
„regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge“. „Natürlich ist es richtig, wenn Unternehmen oder Behörden ihre Mitarbeiter entsprechend schulen und auf die Gefahren von E-Mail-Attachments hinweisen. Noch besser wäre es allerdings, wenn E-Mail-Nutzer mit einer technischen Lösung entlastet würden“,
erklärte Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn, wie infopoint-security.de dazu berichtete.
„Isolation statt Detektion“
Sicherheitsmaßnahmen wie Firewalls, Web- und E-Mail-Filter oder Antiviren (AV)-Programmen ist, dass sie unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden auf die Malware-Erkennung angewiesen sind. Bisher unbekannter Schadsoftware wie einem neuen Virus in einem E-Mail-Anhang ist mit solchen Verfahren kaum beizukommen. Selbst wenn Lösungen wie die Next-Generation-AV-Produkte eine Erkennungsrate von 99 Prozent bieten, bezieht sich auch das nur auf bereits bekannten Schadcode. Was bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.
Die Herausforderung lautet folglich, das verbleibende Restrisiko in den Griff zu bekommen. Dabei rücken verstärkt neue Sicherheitslösungen ins Blickfeld, die einen gänzlich anderen methodischen Ansatz als herkömmliche Sicherheitslösungen wählen. Die Lösung lautet „Isolation statt Detektion“ und das technische Fundament dafür bildet vielfach die Virtualisierung.
Nicht auf die Detektion, sondern auf die Isolation zielen etwa Secure-Browsing-Lösungen ab. Sie werden aktuell in Ergänzung zu klassischen Sicherheitslösungen als zusätzliche Sicherheitslayer eingesetzt, um den zentralen Angriffsvektor Browser zu schützen.
„Sie gehen mit der Isolation von Gefahrenherden in die richtige Richtung, greifen aber mit ihrer Browser-Fokussierung zu kurz, da sie andere Sicherheitsgefahren für Endgeräte wie E-Mails oder Downloads unberücksichtigt lassen“,
so Koehler.
Infizierung des Endgerätes ausgeschlossen
Auch Bromium geht mit seiner Lösung Secure Platform den Virtualisierungsweg. Die Lösung ist auf Kosteneffizienz, Sicherheit und Mitarbeiterentlastung ausgelegt und setzt ebenfalls auf Isolation statt Detektion. Das heißt: Es ist völlig egal, ob Schadprogramme einen Rechner erreichen oder nicht. Technische Basis ist die Micro-Virtualisierung: Sie kapselt jede riskante Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs, das Downloaden eines Dokuments oder das Aufrufen einer Webseite in einer eigenen Micro-VM, die nach Beendigung jeder Aktion wie dem Schließen eines Files automatisch gelöscht wird. Eine Infizierung des Endgeräts mit neuer, bisher unbekannter Schadsoftware ist damit ausgeschlossen.
Dazu betont Köhler:
„Unsere Lösung entlastet die Mitarbeiter, da sie nicht mehr jeden Klick auf einen E-Mail-Anhang überdenken und auch nicht – wie vom BSI empfohlen – im Zweifelsfall mit dem E-Mail-Absender Rücksprache halten müssen. „Mit der Lösung wird damit nicht nur die Sicherheit erhöht, sondern auch eine Produktivitätsbeeinträchtigung verhindert.“
Weiterführende Links:
infopoint-security.de: Bromium-Lösung sperrt Schadcode gefälschter E-Mails ein
