Sicherheitssoftware: Schlangenöl oder notwendiges Übel?

Viren, Würmer, Erpressungstrojaner, Botnetze, … die Verbindung des eigenen Geräts mit der wenig regulierten vernetzten Welt, die einen großen Teil dessen Funktionalität erst möglich macht, ist immer mit dem Risiko verbunden, Opfer eines Angriffs zu werden. Das müssen nicht einmal gezielte Angriffe sein. Rund um die Uhr suchen hunderte Systeme weltweit den zugänglichen Internet-Adressraum nach Einfallstoren ab, die die Manipulation der über die Adresse zugänglichen Infrastruktur ermöglichen.

Einige dieser Analysten bieten zeitgleich Dienste zum Schutz dieser Infrastruktur an, verwenden diese Scanmethoden also auch als Marketing-Instrument und versenden so möglicherweise sensitive Informationen als Werbemaßnahme. Zusätzlich werden täglich millionenfach E-Mails mit schädlichem Anhang versendet, um Schadsoftware zu verbreiten. Die Statistik ist hierbei der Freund des Angreifers: in einem immer komplexer werdenden IT-Umfeld reicht oft schon die eine E-Mail aus eintausend versendeten, deren Anhang versehentlich geöffnet wird, um ganze Netzbereiche zu infizieren. Die jüngsten Erpressungstrojaner-Kampagnen haben deutlich gezeigt, dass auch mediale Aufmerksamkeit den menschlichen Faktor nicht hinreichend heraus dividieren kann, um die Ausbreitung solcher Schadsoftware nachhaltig zu verhindern.

Als Gegenmaßnahme hat die Industrie Antivirensoftware und vergleichbare Produkte mit unterschiedlichem Fokus entwickelt. Einige Produkte kümmern sich um die Netzwerksicherheit, einige um die Sicherheit der Internetkommunikation, wieder andere schützen Kommunikationsendpunkte. Allen gemeinsam ist, dass sie eingehende Daten oder Datenpakete nach bestimmten bekannten Signaturen durchsuchen und bei einer Signaturübereinstimmung die auffälligen Dateien zur Prüfung in eine Quarantänezone verschieben oder den Datenverkehr verwerfen. Viele Produkte verwenden auch eine Art der proaktiven Erkennung von Schadsoftware, überwachen also installierte Anwendungen und deren Netzwerkkommunikation hinsichtlich allgemeinerer Merkmale, die Eigenschaften bekannter Schadsoftware abbilden (Heuristik). Dies ist hilfreich für die Erkennung von Bedrohungen, die noch nicht in den Datenbanken der Softwarehersteller zu finden sind.

Ein Gefühl von Sicherheit

Um das Problem greifbar für Endanwender zu machen, wurden hier Begriffe aus dem Gesundheitskontext (wie Infektion und Virus) gewählt, die beim Anwender die Aussicht auf eine umfassende Prophylaxe oder Heilung wecken. Aus marketingtechnischer Sicht ein sehr erfolgreiches Vorgehen, da es der Branche stetig wachsende Umsätze beschert (etwa 93 Mrd. $ Ausgaben für Information Security in 2018 laut aktueller Gartner-Studie). Der angestrebte Schutz vor Malware, die unwissentlich oder absichtlich den Weg auf das System des Endbenutzers findet, wird hier allerdings durch Software erkauft, die – mit hohen Privilegien – die gesamte Kommunikation damit ausgestatteter Systeme überwacht. Die signaturbasierte Prüfung von Software und auf dem System vorhandener Dateien setzt dabei voraus, dass Schadsoftware bereits weiträumig als solche erkannt und geprüft wurde. Erst anschließend wird durch Signaturupdates dafür gesorgt, dass die Schadsoftware auch beim Endkunden erkannt werden kann. Der weitaus größte Teil der Bedrohungen in den Herstellerdatenbanken bezieht sich auf Windows-Systeme, Nutzer von Linux- oder UNIX-basierten Systemen wie macOS Sierra stehen hier weit weniger im Fokus sowohl der Angreifer als auch der Verteidiger. Es besteht also für alle genannten Systemarchitekturen ein mehr oder weniger großes Zeitfenster, in dem diese durch neue Bedrohungen angreifbar sind. Sicherheitssoftware kann hier nur dabei helfen, dieses Zeitfenster klein zu halten.

Ein Problem der Endanwender, dem Antivirenhersteller sich entgegenstellen müssten, ist, dass die Verwendung solcher Software zu einem falschen Sicherheitsgefühl führen kann. Die Erkennungsraten selbst sehr teurer Antiviren-Software (AV-Software) nehmen seit Jahren ab. Dies liegt einerseits an der immer schneller wachsenden Zahl neuer Schadsoftware, anderseits daran, dass Malware gezielt AV-Software umgehen kann. Dennoch fühlen sich viele Anwender sicher, obwohl gerade neue Malware oft über mehrere Tage gar nicht erkannt wird. Die häufigen Statusmeldungen, die als Arbeitsnachweis der Antivirensoftware über die Benachrichtigungsmechanismen der Betriebssysteme abgesetzt werden, führen zudem bei Benutzern zu einem Gewöhnungseffekt: Nachrichten werden ignoriert, weggeklickt oder unterdrückt, oft unabhängig von Schweregrad und Inhalt.

Die Implementierung von Sicherheitssoftware im Firmenumfeld erfordert in der Regel die zentrale Verwaltung der Software, um ein firmenweit identisches Schutzniveau zu gewährleisten und darüber hinaus auch die Möglichkeit der Kommunikation mit dem Hersteller, um auf das Auftauchen neuer Bedrohungen reagieren zu können. Die Kommunikation mit einer zentralen Managementkonsole erfolgt dabei in der Regel mit Hilfe proprietärer, nicht auditierbarer Protokolle und die dafür notwendigen offenen Ports stellen weitere Sicherheitsrisiken dar. Aber auch die Kommunikation der Software mit herstellereigenen Update-Servern kann problematisch sein. Der Hersteller Sophos bietet beispielsweise für das automatische Update von Sophos Endpoint (Antivirus) keine Möglichkeit der verschlüsselten Kommunikation an. Diese Anforderung findet sich auf den Seiten des Herstellers bisher nur als 'Feature Request'. Bis zu dessen Umsetzung werden also nicht nur Benutzerdaten und Passwörter im Klartext übertragen, die Daten können darüber hinaus durch einen Angreifer in einer privilegierten Position im Netzwerk (als Man-in-the-Middle) beliebig manipuliert werden. Dadurch kann die Funktion der Software effektiv außer Kraft gesetzt werden.

Spyware zum Schutz vor Malware?

Sicherheitsforscher haben zudem an vier prominenten Software-Beispielen gezeigt, dass sich cloudfähige Antivirensoftware (Software, die zu Analysezwecken verdächtige Dateien an entfernte Server sendet) zur Datenextraktion missbrauchen lässt. Die Angreifer nutzen dabei eine lokal installierte Malware aus, die gesammelte Informationen so verpackt, dass sie von Antivirensoftware als schädlich erkannt werden. Dadurch ist sogar das Ausspähen von Daten aus Systemen möglich, die lediglich mit Update- oder Management-Servern kommunizieren können. Im gleichen Kontext ist kürzlich die Sicherheitsfirma Carbon Black auffällig geworden, deren Sicherheitsprodukt auf Whitelisting statt Blacklisting, also auf der Erkennung „guter“ statt schädlicher Programme beruht. Um dafür eine Erkennungsbasis zu schaffen, wurden massenhaft auch unproblematische Daten an einen cloudbasierten Multiscanner-Dienst gesendet und waren dort prinzipiell als unverdächtige Malware-Proben für zahlende Kunden einsehbar.

Zusätzlich werden seit vielen Jahren immer wieder oft gravierende Schwachstellen in Produkten aller Sicherheitssoftware-Hersteller veröffentlicht und teilweise auch aktiv ausgenutzt. Dies gilt auch für Produkte, die auf Linux- oder Unix-Plattformen laufen. Sicherheitssoftware jeder Art hat sich daher längst als attraktives Ziel für Angreifer herausgestellt. In der Regel muss die Software mit Admin- oder Root-Rechten laufen und ist sehr tief im System verankert. Da es sich um kommerzielle Anwendungen handelt, ist der Quellcode der Software meist nicht für ein potentielles Audit verfügbar. Abhilfe schaffen können hier Bemühungen von Sicherheitsforschern wie Tavis Ormandy, der kurzerhand eine Software für den Port von Windows Dynamic Link Libraries (DLLs) nach Linux geschrieben hat, um das von Microsoft vertriebene Sicherheitstool 'Windows Defender' mit Softwaretests wie Fuzzing zu untersuchen. Diese Untersuchungen hatten Mitte des Jahres zur Offenlegung schwerwiegender Schwachstellen in diesen und weiteren Tools auch anderer Hersteller von Sicherheitssoftware geführt und damit eine generelle Diskussion zum Thema befüttert, die seit Anfang des Jahres auch mehr und mehr in der Öffentlichkeit geführt wird.

Die Dosis und das Gift

Der Einsatz von Sicherheitssoftware an sich führt also nicht zwangsläufig zu einem gesteigerten Sicherheitsniveau und sollte jederzeit gegen die inhärent damit einhergehende Vergrößerung der Angriffsfläche des zu schützenden Systems abgewogen werden. In Umgebungen, in denen der Endbenutzer den Hauptteil dieser Angriffsfläche stellt, können einfache Aufklärungskampagnen und auch die Schaffung von Transparenz im Schadensfall – insbesondere die gemeinsame Aufarbeitung von Sicherheitsvorfällen unter Vermeidung von Opferbeschuldigung/Victim Blaming – helfen. Viele der mittlerweile sehr gut gemachten E-Mail-Kampagnen zur Verteilung von Schadsoftware würden vermutlich ins Leere laufen, wenn das allgemeine Stress- und Druckniveau im Arbeitsumfeld auf allgemeinverträgliche Werte reduziert würde und die Mitarbeiter besonders hinsichtlich der IT-Sicherheit am Arbeitsplatz sensibilisiert würden.

Netzwerk- und Systemadministratoren müssen in ihrem jeweiligen Umfeld nicht nur abwägen, welche Schutzmaßnahmen zum Einsatz kommen sollen, sondern auch Präventivmaßnahmen treffen. Angefangen bei der Planung und restriktiven Vergabe von Benutzerberechtigungen nach den Prinzipien 'Need to know' und 'Least privilege' über die Durchführung täglicher Backups aller betriebsrelevanten Systeme bis hin zu nicht nur regelmäßigen, sondern ständigen Sicherheitsupdates aller verwendeten Softwareprodukte sind die Möglichkeiten vielfältig, das Sicherheitsniveau in vernetzten Systemen zu beeinflussen. Die Auswahl geeigneter Schutzmechanismen vom Einsatz restriktiver, lokaler Firewalls auf Endgeräten bis hin zu zentralen Sicherheitsmaßnahmen auf Proxies und Gateways ist dabei entscheidend. Die Frage, ob eine möglicherweise schadhafte, zusätzlich installierte Antivirensoftware das Sicherheitsniveau eines Systems erhöht, auf dem beispielsweise auch ein Adobe Flash Player installiert ist (bereits mehr als 50 kritische Schwachstellen in 2017), stellt sich dann eigentlich nicht.

Interessanterweise hat auch die Industrie die Zeichen der Zeit erkannt. Ein Anbieter von Firewall-Lösungen wirbt derzeit mit dem Slogan 'Protect Yourself from Antivirus' für einen Bestandteil seiner neuen 'Next-Generation Security Platform'. Sola dosis facit venenum.