Sicherheit

Unternehmen müssen „Tag der offenen Tür“ abschaffen

©mindscanner-fotolia.com

Im Büroalltag geht ohne das Internet nichts mehr. Aber ausgerechnet der Internetbrowser dient Hackern zunehmend als Einfallstor für Schadsoftware. Cyberkriminelle verwenden dabei neue Technologien, gegen die traditionelle Sicherheitsbarrieren wie Antivirensoftware wehrlos sind. Unternehmen müssen diesem „Tag der offenen Tür“ ein Ende bereiten, fordert Dr. Norbert Schirmer, Leiter der Business Unit Endpoint-Security von Rohde & Schwarz Cybersecurity.

Herr Schirmer, wie schätzen Sie die Bedrohungslage bei der Internetnutzung in Behörden und Unternehmen ein?

Als sehr hoch! Zwar sind Cyberangriffe fast so alt wie das digitale Zeitalter selbst. Aber die Angriffsflächen werden immer vielfältiger. Vor allem der Browser steht zunehmend im Visier von Hackern. Vor ein paar Jahren war die Lage noch deutlich entspannter: Fake-Mails waren schlecht verfasst und gut erkennbar. Heute sind sie optisch kaum mehr von echten E-Mails zu unterscheiden. Klickt ein Mitarbeiter auf den mitgesandten Link oder Anhang, hat der Virus freie Bahn zum gesamten Netzwerk. Mittlerweile gibt es sogar neue Angriffsmethoden, bei denen der User nicht mehr aktiv beispielsweise einen schadhaften Link anklicken muss, um sich mit einem Virus zu infizieren.

Um Zugriff auf einen Rechner zu gelangen, genügt es Hackern also schon, wenn der Mitarbeiter nur im Internet surft?

Genau. Die Schadsoftware wird bereits beim einfachen Laden der Webseite ausgeführt, ohne dass der Nutzer Links anklicken oder Dateien öffnen muss. Aktive Inhalte wie JavaScript, Java oder Flash machen es möglich. Diese Programmierschnittstellen erlauben Hackern ohne Zutun des Nutzers den Zugriff auf den PC und die Kontrolle über dessen Anwenderumgebung. Diesen neuen Szenarien müssen sich Behörden deshalb dringend stellen und ihre Systeme entsprechend anpassen. Denn traditionelle Sicherheitsmechanismen wie Antivirensoftware sind hier unwirksam. Neue Bedrohungen erfordern moderne, progressive Lösungen, zum Beispiel die Virtualisierung des Browsers.

Virtualisierung des Browsers? Was genau bedeutet das?

Eine Virtualisierung ist vergleichbar mit einer digitalen Quarantäne, in der die Viren eingeschlossen werden. Der Hardware-basierte Browser wird einfach um eine virtuelle Surfumgebung ergänzt. Alle potenziell gefährlichen Aktivitäten werden in diesem geschlossenen virtuellen Browser isoliert, bevor sie überhaupt zur Ausführung kommen. Damit werden Attacken aus dem Internet erfolgreich abgewehrt.

Gibt es auch Gründe, die gegen eine Virtualisierung sprechen?

Ja und nein. Die Virtualisierung ist das derzeit sicherste und modernste Instrument gegen Hacker-Attacken. Es gibt aber zwei Arten einer Virtualisierung: Voll- und Mikrovirtualisierung. Lösungen auf Basis von Mikrovirtualisierung können nur ein reduziertes Sicherheitsniveau bieten. Denn sie setzen nicht auf einem eigenen Betriebssystem auf, sondern sind stark mit dem vorhandenen System verzahnt. In der Regel ist das Windows. Mindestens ein Kern des Betriebssystems und optional viele weitere Komponenten werden mit dem Host-System geteilt. Diese Schnittstelle birgt ein hohes Risiko. Denn wird der Kern mit Malware infiziert, gilt das automatisch auch für alle virtualisierten Systeme. Ein weiteres schwächendes Merkmal der Mirkrovirtualisierung ist die Abhängigkeit von Windows. Knapp 90 Prozent aller Angriffe sind Windows-basiert. Schwächen in dem System, beispielsweise Bugs oder bekannt gewordene Fehler, öffnen der Cyberkriminellen trotz Virtualisierung eine Art Nebeneingang. Gezielte Angriffe sind damit praktisch vorprogrammiert. Die Mikrovirtualisierung verfolgt also den richtigen Ansatz, geht aber nicht weit genug.

Was macht die Vollvirtualisierung besser?

Bei vollvirtualisierten Surfumgebungen wird die gesamte Browserumgebung konsequent vom Netzwerk getrennt. Das Betriebssystem, auf das die Virtualisierungssoftware aufsetzt, kann dadurch bei Angriffen keinen Schaden nehmen. Bei einer Vollvirtualisierung wird sowohl vom Host-Betriebssystem des Clients als auch vom Intranet unabhängig gearbeitet. Betriebssystem und Browser haben auf diese Weise zu keinem Zeitpunkt einen direkten Zugriff auf die Hardware, sondern lediglich auf die virtuelle Umgebung. Eindringende Viren, Trojaner & Co. bleiben in dieser Umgebung eingeschlossen und können sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten.

Und das funktioniert?

Absolut! Selbst wenn unabsichtlich Malware heruntergeladen wird, kann der Virus nicht in das interne Netz vordringen. Gleichzeitig kann die Schadsoftware, wie zum Beispiel Ransomware oder Makroviren, keine Verbindung zum Internet herstellen, um die eigentliche Schadsoftware herunterzuladen. Ein großer Vorteil ist auch die Unabhängigkeit vom Betriebssystem. Indem auf das Host-System ein sogenannter „Hypervisor“ aufgesetzt wird, lässt sich ein vollwertiges eigenes Betriebssystem implementieren. So kann beispielsweise der Browser auf Linux umgestellt werden, das mit zwei Prozent Angriffen auf das System nur wenige Schlupflöcher bietet. 

Wird der Bowser neu gestartet, ist er bei der Vollvirtualisierung übrigens wieder virenfrei. Diesen Ansatz eines virenfreien Resets verfolgt zwar auch die Mikrovirtualisierung. Allerdings können hier bereits in den Kernel eingedrungene Bedrohungen nicht zurückgesetzt werden. Ein verseuchter Neustart wäre möglich. Behörden können sich aber keine Sicherheitsrisiken erlauben. Deshalb empfehlen wir von Rohde & Schwarz Cybersecurity ganz klar vollvirtualisierte Lösungen.

Diese Beitrag enthält Produktwerbung.