als PDF

ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite I
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
IT-Security
extra
IT-Security
Schwerpunkt
Spyware
Der Spion aus dem Web
Funktionsspektrum von Spyware
und Schutzmaßnahmen
Seite I
Zwei Feinde, ein Schutz
Antispyware: Erweiterung
im Antivirenprogramm oder
eigenständiges Tool
Seite VI
Vorschau
Storage
Online-Storage
Seite VIII
Veranstaltungen
17.–20. Oktober, Amsterdam
European Open Source Convention,
conferences.oreillynet.com/eurooscon/
24.–28. Oktober, München
Systems, www.systems-world.de
2.–3. November, Heidelberg
VoIP 2005, www.voip-konferenz.org
8.–10. November, Köln
Exponet, www.exponet.de
15.–17. November, Frankfurt
Linux World, Conference & Expo, www.linuxworldexpo.de
22.–23. November, Köln
iX-Konferenz 2005.2: Bessere Software!
www.ix-konferenz.de
Der Spion aus
dem Web
Funktionsspektrum von Spyware und
Schutzmaßnahmen
Spyware birgt nach Einschätzung von Experten ein
ähnlich hohes Bedrohungspotenzial in sich wie Viren
und Würmer. Da sich die Schnüffelprogramme offenbar
bestens für lukrative Geschäfte eignen, haben findige
Autoren ausgeklügelte Methoden der Täuschung und
Tarnung entwickelt. Bei der „Schädlingsbekämpfung“
sind daher Kenntnisse über die Funktionsweise der
Spionageprogramme hilfreich.
irmenrechner sind zu
80 Prozent mit Spionageprogrammen infiziert, so das
Ergebnis des neuen Vierteljahresberichts von Webroot. Das
Unternehmen stellt eine alarmierende Zunahme der Schädlinge fest, und zwar um 19 Prozent im letzten Quartal. Außerdem haben die registrierten
Spuren von Spionen in der Datenbank des Antispyware-Herstellers die Marke von 100ˇ000
überschritten. Webroot erklärt
diese enormen Zuwachsraten
F
mit der Tatsache, dass sich
mit den Programmen viel Geld
verdienen lässt.
Spyware ist ein recht
schwammiger Begriff, und jeder
Fachmann subsummiert andere
Schädlinge darunter. Auch ist
die Abgrenzung zu Viren nicht
mehr eindeutig, weil manche
Spione sich beispielsweise über
Trojaner in die Systeme einschleusen lassen. Dennoch
weisen Programme, die zur Kategorie der „Schnüffelsoftware“
zählen können, gemeinsame
Merkmale auf: Sie installieren sich ohne das
ausdrückliche Einverständnis oder Wissen
eines Anwenders auf
seinem System, sammeln unbemerkt Daten
über ihn oder das SysUnbekannte Gefahren:
Täglich schreiben
Kriminelle neue,
heimtückische
Schadprogramme.
Schutz dagegen
bieten Tools, die
versuchen, noch
unbekannte Gefahren
zu erkennen und
abzuwehren.
I
ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite II
IT-Security
DIE TOP TEN DER SPIONE
Die zehn häufigsten und komplexesten Spionageprogramme, die in dem Bericht „State of Spyware“ von Webroot für die letzten
drei Monaten aufgeführt sind:
Name
CoolWebSearch
(CWS)
EliteBar
Installation
über HTML- und
Java-Anwendungen
über kostenlose
Software
PowerScan
„drive-by“über
ActiveX-Downloads
Look2Me
überwacht Surfaktivitäten, sendet Infos überActiveX-Download,
darüber an zentralen Server
Schwachstellen
in Webanwendungen
PurityScan
öffnet Popup-Werbung, sendet System- über Peer-to-Peer-Softinformationen an zentralen Server
ware Grokster, Kazaa
Clkoptimizer
überwacht Surfgewohnheiten, öffnet
über ActiveX-Download
Popup-Werbung
180search Assistant leitet URL an Sponsor-Site um,
über kostenlose
gibt Systeminfos weiter
Software
Web search Toolbar ändert (Hijack) Websuchvorgänge,
Drive-by-Download
Startseiten, IE-Einstellungen
mit ActiveX
ISTbar
AbetterInternet
Verhalten
ändert (Hijack) Websuchvorgänge,
Startseiten, IE-Einstellungen
ändert (Hijack) Websuchvorgänge,
Startseiten, IE-Einstellungen
öffnet Popup-Anzeigen
Toolbar für Suche nach pornografischen Sites, kapert Startseiten
öffnet als Browser Helper
Object Werbung
tem und geben diese an Werbetreibende oder andere Interessierte weiter. Außerdem ist Spyware ein Geschäft wie jedes andere: „Den Verbreitern von Spyware geht es um reinen Profit –
ob es sich nun um einen Gewinn
von einem Cent pro Pop-up
handelt oder um den Diebstahl
von Kontozugangsdaten“, weiß
William Tubbs, Vertriebsbeauftragter bei Webroot.
Von „unerwünscht“
bis „schädlich“
Nicht jedes Spionageprogramm
verursacht Schaden, manche
sind einfach nur lästig. Adware,
auf Werbung ausgerichtete
Anwendungen, die nach den
gleichen Prinzipien wie Spione
II
Drive-by-Download mit
ActiveX
über ActiveX-Download
funktionieren, ist die häufigste
Unterkategorie dieser „unerwünschten Software“. In der
letzten Zeit bewegen sich diese
Applikationen immer öfter an
der Grenze zwischen legalen
und schädlichen Programmen.
Die Eindringlinge beobachten die Aktivitäten des Nutzers
im Internet und halten Informationen wie häufig besuchte
Sites, angezeigte kommerzielle
Produkte, benutzte Suchbegriffe oder Surfgewohnheiten fest.
Doch auch persönliche Daten
können protokolliert werden,
zum Beispiel der vollständige
Namen des Anwenders, Kennwörter, seine virtuelle und tatsächliche Adresse, Kontaktdaten, Bankkonten oder urheberrechtlich geschützte Daten.
Besonderheiten
existiert in vielen Varianten,
Module verschieden kombinierbar
spioniert Surfverhalten aus, kann
willkürlich Code installieren
kann Informationen über Surfgewohnheiten an seinen Server senden
installiert sich ins Systemverzeichnis,
daher schwer zu entfernen,
kann weitere Spione installieren
kann sich selbst updaten, daher
schwer zu entfernen
kann weitere Programme installieren
kann weitere Programme installieren
„kapert“ IE-Einstellungen und installiert
eine Werkzeugleiste, über die auch persönliche Daten weitergegeben werden
installiert eine Werkzeugleiste, über die auch
persönliche Daten weitergegeben werden
gibt Infos über Surfgewohnheiten weiter
Manchmal gelangen sogar
Informationen zur Systemhardware nach draußen.
Keylogger sind besonders
gefährlich, denn diese Schnüffelprogramme zeichnen alle
Tastenanschläge des Anwenders auf und speichern sie in
einer Logdatei. Damit lassen
sich Informationen sammeln,
die für eine zielgruppengerechte
Produktbewerbung dienlich sind
– aber ebenso für andere, kriminelle Zwecke. Die Informationen werden per Remote Access
oder Mail an einen Server des
Auftraggebers weitergeleitet.
Der kann wiederum die Daten
mithilfe von Adware für auf den
Anwender zugeschnittene
Werbe-Popups nutzen.
Andere Spyware-Programme (Hijackers) sind in der Lage,
auf die Eingabe des Nutzers
zu reagieren und die passende
Werbung anzuzeigen oder die
Standardeinstellung des Browsers so zu ändern, dass der
Nutzer sowohl beim Öffnen des
Browsers als auch bei jedem
Suchvorgang eine Ansicht der
vom Spion ausgewählten Webseite erhält. Eine weitere Variante ist der Activity Monitor,
eine Spyware, die auf infizierten Systemen eine Hintertür
öffnet, durch die jemand ähnlich wie mit Remote Desktop
von Microsoft auf die Rechner
zugreifen kann. Das Ziel des
Angriffs kann neben Datendiebstahl die Verteilung von Spam
über dieses System sein.
Viele Wege führen auf
den Rechner
Ebenso vielfältig wie die Funktionen der Spionageprogramme
und ihre Methoden, an die gewünschten Informationen zu
kommen, sind die Wege, sich
in die Systeme der Opfer einzuschleichen. Sie können in einer
„kostenlosen“ Anwendung versteckt sein, die über Download
oder einen anderen Verteilmechanismus erhältlich ist. Die
Spyware-Komponente installiert der ahnungslose Anwender
iX extra 11/2005
ix.0000.x.dummy.EP 10.11.2004 14:29 Uhr ©Seite 1
Hier stand im Heft eine Anzeige.
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite IV
IT-Security
dann zusammen mit der Anwendung. Zwar sollte er dazu
sein Einverständnis erklären,
doch in dem Fall müsste er
eine lange, oft umständliche
EULA (End User License Agreement) oder eine Ausschlussklausel lesen – und genau das
tut er meist nicht.
Eine anderer häufig genutzter Weg besteht im so genannten „Drive-by“-Download zusammen mit einem Applet.
Lassen etwa die Sicherheitseinstellungen des Browsers den
automatischen Download von
Applets zu, so kann mit einer
solchen Komponente der Spion
ohne Wissen des Nutzers mit
geladen werden. Eine andere
Variante besteht darin, dass beispielsweise ein ActiveX-Control
auf einer Website ein Fenster
öffnet, das eine Sicherheitswarnung enthält mit der Aufforderung, durch den Download die
„Gefahr“ zu bannen. Lässt sich
der Anwender täuschen, so
installiert sich zugleich mit dem
Applet der Spion.
Zwar gilt ActiveX als besonders anfällig, doch sind auch
Java-Applets gegen die Schnüffler keineswegs immun. Schließlich gelangen die Schädlinge im
Paket mit Viren, Würmern oder
Trojanern in die Systeme. Zu
den bekanntesten Beispielen
zählen Varianten des TrojanDownloader, der verschiedene
Spyware-Komponenten installiert. Die Schädlinge können
ebenso HTML-Mails als Übertragungsweg nutzen. In dem
Fall ruft der Header ein bösartiges Skript auf, das ausgeführt
wird, sobald der Empfänger die
Nachricht im Outlook-PreviewFenster anzeigen lässt.
Spyware ist für gewöhnlich
so auf dem System installiert,
dass sie automatisch ausgeführt wird, sobald eine Verbindung des Systems zum Internet
besteht. Daher sorgen die Programme dafür, dass sie beim
Booten automatisch geladen
werden, so wie es auch Viren,
Würmer und Trojaner tun.
Eine andere Möglichkeit,
IV
Dem Administrator stehen verschiedene Optionen zur
Verfügung – beispielsweise kann er festlegen, ob ein
mit Spyware verseuchter Arbeitsplatz sicherheitshalber
erst einmal in Quarantäne soll.
sicherzustellen, dass der Spion
immer „online“ ist, besteht
darin, sich in eine andere Anwendung zu integrieren. Das
geschieht am häufigsten getarnt als so genannte Browser
Helper Objects (BHO), die mit
dem Internet Explorer geladen
werden, oder als Hijacker in
Form einer Symbolleiste im
Browser, die den Anwender auf
andere Webseiten weiterleitet.
Hand in Hand mit
anderen Schädlingen
Die Methoden der Programmierer werden immer raffinierter.
So lassen sie Spyware Hand in
Hand mit Viren arbeiten oder
verwenden so genannte Rootkits, die sich nach dem Eindringen auf dem kompromittierten
System installieren und dazu
dienen, Log-ins und Prozesse
zu verstecken. Rootkits sollen
dazu beitragen, die Verweildauer der Schadprogramme auf
der infizierten Maschine zu verlängern. Mittlerweile bewerben
die Verfasser „legaler“ Spyware-Programme öffentlich
deren Eigenschaft, vom Nutzer
wie auch von Schutzprogrammen unentdeckt zu bleiben.
Von Spyware infizierte
Systeme zeigen verschiedene
Symptome: Die Netzwerkver-
bindungen werden langsamer
oder Rechner weisen eine geringere Leistung auf beziehungsweise sind instabil.
Es öffnen sich unverhältnismäßig viele Popup-Fenster, obwohl ein Popup-Blocker im Einsatz ist, oder der Browser öffnet nicht die gewünschte Website. Leider gibt es auch solche
Spione, etwa Keylogger oder
generell Tracking-Software,
deren Vorhandensein unbemerkt bleibt.
Im Gegensatz zu Viren und
Würmern verwendet Spyware
noch keine Methoden zur
selbstständigen Vervielfältigung, sodass keine Ansteckungsgefahr für andere Rechner besteht. Doch dies könnte
sich in Zukunft ändern, da
die Spyware-Betreiber ständig
auf der Suche nach neuen
„Märkten“ sind.
„Spionageabwehr“
gehört dazu
So wie es heute eine Selbstverständlichkeit ist, die Systemlandschaft eines Unternehmens
vor Viren zu schützen, müssen
Vorkehrungen gegen Adware
und Spione mit in die Sicherheitsstrategie einbezogen werden. Dazu gehört in erster
Linie, Anwendern durch um-
fassende Information das Gefahrenpotenzial bewusst zu
machen. Beispielsweise kann
es hilfreich sein, eine Richtlinie
zur Nutzung des Internets zu
erstellen – und deren Einhaltung durchzusetzen –, die klare
Regeln für das Herunterladen
von Software, für Anträge auf
neue Anwendungen oder auch
für das Surfverhalten der Mitarbeiter enthält.
Administratoren sollten ohne
Ausnahme für die Konfiguration
(beispielsweise mit den Gruppenrichtlinien im Active Directory)
aller Systeme, Nutzer und Software zuständig sein. Der Verantwortliche kann – je nach
Gefährdungslage – einen zu
benutzenden Browser festlegen
und dafür entsprechende Sicherheitseinstellungen vornehmen. Ebenso sollte er Anwendungen und Websites, die als
Spyware-Quelle bekannt sind,
blockieren. Zudem lässt sich
auch das von Spyware häufig
genutzte FTP blockieren, um
einen eventuell vorhandenen
Eindringling an der Übermittlung der gesammelten Daten,
am Herunterladen des Werbeinhalts oder der Aktualisierung
des eigenen Codes zu hindern.
Ein gutes Patch-Management
wiederum kann Schlupflöcher
schließen, die Spione nutzen.
Forrester Research empfiehlt zusätzlich zu einer Server-Firewall auch Personal
Firewalls für jeden Client, um
zu sehen, welche Daten das
Unternehmen verlassen. Ergänzend sollten Intrusion-Detection-Systeme (IDS) eingesetzt
werden, die alle System- und
Benutzeraktivitäten speichern.
Um sicherzugehen, dass sich
keine Schnüffelprogramme
auf den Firmenrechnern eingenistet haben, sollte man sie in
regelmäßigen Abständen mit
entsprechenden Werkzeugen
überprüfen und die Spyware
entfernen.
Susanne Franke
ist IT-Fachjournalistin
in München
iX extra 11/2005
ix.0000.x.dummy.EP 10.11.2004 14:29 Uhr ©Seite 1
Hier stand im Heft eine Anzeige.
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite VI
IT-Security
Zwei Feinde,
ein Schutz
Antispyware: Erweiterung im Antivirenprogramm oder eigenständiges Tool
heitsinfrastruktur verstärkt Vorkehrungen gegen die Schnüffelsoftware treffen müssen.
Spyware ist sowohl für die
Sicherheit als auch für das Systemmanagement ein Albtraum.
Administratoren kämpfen als
Folge mit Performance-Problemen ihrer Systeme oder mit
Netzwerkstörungen durch den
Kommunikations-Overhead, den
die Schädlinge verursachen. Die
„üblichen“ Sicherheitsvorkehrungen sind zwar hilfreich und
notwendig, stoßen jedoch bei
den Eindringlingen häufig an
ihre Grenzen: Eine Firewall
untersucht den eingehenden
Datenverkehr, filtert die Inhalte
und identifiziert potenzielle Angreifer. Doch damit ist das Programm noch nicht als Spyware
erkannt, außerdem laden sich
die Spione häufig als Drive-by
eines anderen „legalen“ Programms oder Applets, sei es
Java oder ActiveX, sodass die
Firewall den Eindringling nicht
erkennt. Immerhin kann sie aber
verhindern, dass Spione ihre
gestohlenen Daten an einen
Auftraggeber weiterleiten.
IT-Verantwortliche müssen ihre Systeme vor den Spionen
schützen. Ob dafür die vorhandene Antivirenlösung
ausreicht, eine Antispyware-Erweiterung hinzukommen
soll oder gar eine eigenständige Lösung, will sorgANBIETER VON ANTI-SPYWARE-PRODUKTEN
fältig überlegt sein.
ie Zeiten, in denen IT-Verantwortliche Spyware
zwar als lästig, aber harmlos
einstufen konnten, sind endgültig vorbei. Das zeigt etwa eine
Meldung von Sunbelt, die vor
kurzem für Aufsehen sorgte. Der
Anbieter von Sicherheitssoftware hatte bei einer Untersuchung
des Spions CoolWebSearch
(siehe Kasten „Top Tenˇ…“
Seite II) eine Datei entdeckt, die
vertrauliche Daten von Internetnutzern enthielt – etwa zu Kennwörtern, Login-IDs, Bank- und
Ebay-Konten, aber auch zu verschiedenen Vorlieben. CWS-Programme leiten Surfer auf andere
Webseiten um, die wiederum
mit Keyloggern infiziert sind.
Diese zeichnen vertrauliche
Daten auf, um sie dann an einen
Webserver eines Auftraggebers
weiterzuleiten.
Das Erschreckende an diesem Vorfall ist nicht nur die
Menge der entwendeten Daten
(Größe der Datei: 20 MByte),
sondern vor allem die enorme
kriminelle Energie, die Spyware-Entwickler entfalten können, um ihre Profitspanne zu
erhöhen und ihre Distributionskanäle auszubauen, indem sie
unter anderem die unterschiedlichen Varianten der Spione
zusammenarbeiten lassen.
Der Fall zeigt ebenfalls, dass
Unternehmen in ihrer Sicher-
D
VI
Hersteller
Aladdin
Aluria Software
Astaro
Barracuda Networks
Blue Coat
Central Command
Checkpoint
Cisco
Computer Associates
CP Secure
Cyberguard
Cyphertrust
Finjan
Fortinet
F-Secure
Gdata
Grisoft
H+BEDV Datentechnik
ISS
Kaspersky Lab
LAN Desk
LavaSoft
McAfee
MessageLabs
Microsoft
Omniquad
Panda Software
Phion
Secure Computing
Secure Wave
Sonicwall
Sourcefire
St. Bernard Software
Sunbelt
Surfcontrol
Symantec
Trend Micro
Webroot
Websense
Zone Labs
Produkt
eSafe
Paladin
Security Gateway
Spyware Firewall
Spyware Interceptor
Vexira
Connectra
ASA 5500, IPS 4200
eTrust Pestpatrol
Content Security Gateway
Webwasher CSM Suite
IronMail
Appliance NG 5700
Fortigate
Anti-Virus Client Security
Internet Security 2006
AVG Anti-Virus plus Firewall
AntiVir
Proventia Integrated Security
Antivirus Business Optimal
Security Suite
Ad-Aware Enterprise
Anti-Spyware Enterprise
Web Protect
Windows Anti-Spyware (Beta)
Antispy Enterprise
ClientShield
netfence
Sidewinder G2
Sanctuary Device Control
Content Security Manager
IS5800-Serie
Spy Expert
Counterspy Enterprise
Enterprise Protection Suite
Norton Internet Security
InterScan Web Suite
Spy Sweeper
Security Suite
Integrity Enterprise Endpoint Security
Website
www.aladdin.de
www.aluriasoftware.com
www.astaro.com
www.barracudanetworks.com
www.bluecoat.de
www.centralcommand.com
www.checkpoint.com
www.cisco.de
www.pestpatrol.com
www.cpsecure.com
www.cyberguard.com
www.cyphertrust.com
www.finjan.com
www.fortinet.com
www.fsecure.de
www.gdata.de
www.grisoft.de
www.hbedv.de
www.iss.net
www.kaspersky.de
www.landesk.com
www.lavasoft.de
www.mcafeesecurity.com/de
www.messagelabs.de
www.microsoft.de
www.omniquad.com
www.panda-software.de
www.phion.com
www.securecomputing.com
www.securewave.com
www.sonicwall.com
www.sourcefire.com
www.stbernard.com
www.sunbelt-software.com
www.surfcontrol.com
www.symantec.com/region/de/
www.trendmicro-europe.com
www.webroot.com
www.websense.de
www.zonelabs.com
ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite VII
IT-Security
Viele Unternehmen haben
Intrusion-Detection-Systeme
(IDS) im Einsatz. Hostbasierte
IDS zeichnen zwar die Benutzeraktivitäten auf dem Host auf,
können jedoch nur auswerten,
was bereits gespeichert wurde
und folglich auf einen Angriff
erst reagieren, wenn er schon
erfolgt ist. Netzwerkbasierte
Systeme mit Anomalie-Erkennung wiederum geben bisweilen zu viele False-PositiveMeldungen aus, wenn sie eine
Netzwerkstörung oder ein bislang unbekanntes Verhalten
eines Nutzers entdecken.
Der Einsatz von Antivirenprogrammen sollte mittlerweile
in jedem Unternehmen selbstverständlich sein. Die Software
identifiziert Schädlinge anhand
bekannter Signaturen, die sie
mit einer Datenbank abgleicht.
Besorgt sich jedoch ein Hacker
über DNS-Spoofing oder Sniffing eine akzeptierte IP-Identität, kann er ohne Schwierigkeiten seine Spyware etwa zusammen mit einem Trojaner
ins Unternehmensnetz einschleusen. Deshalb müssen
Anwender heute zusätzlich
darauf achten, dass das vorhandene Werkzeug auch Spyware erkennen sowie beseitigen kann. Als Alternative gibt
iX extra 11/2005
es eigenständige AntispywareTools.
Viele Hersteller haben im
vergangenen Jahr ihre Antivirenwerkzeuge mit Funktionen
für die Spyware-Erkennung und
-Entfernung ausgestattet. „Spyware, seien es Keylogger oder
Remote Administration Tools,
ist lediglich eine Unterklassifizierung der Trojaner“, erklärt
Mirco Rohr, technischer Leiter
bei Kaspersky Lab. „Deswegen
schützt ein gutes Antivirenprogramm auch vor dieser Art
von Schädlingen.“
Das sehen Antispyware-Spezialisten anders, denn diese Art
von Eindringlingen stelle die Abwehr vor neue technische Herausforderungen. „Spionageprogramme bestehen anders
als Viren meist aus mehreren
Komponenten, die sich an
unterschiedlichen Stellen tief im
System festsetzen und sich beliebig zusammensetzen“, erläutert William Tubbs, Vertriebsbeauftragter bei Webroot. Ein
Werkzeug müsse erst alle Module erkennen, damit es sie
löschen könne, möglichst ohne
das System oder andere Programme zu beschädigen. Überdies verändere sich Spyware so
schnell – manchmal sogar während ihres Betriebs –, dass die
Suche auf der Grundlage von
Signaturen nicht ausreiche.
„Auch verdächtige Programme,
für die keine Definition vorhanden ist, müssen sich aufgrund
von Indizien wie deren Zugriff
auf das Betriebssystem, dem
Vorhandensein von ausführbarem Code oder dem Versuch,
sich mehrfach zu installieren als
unerwünscht klassifizieren lassen“, so Tubbs weiter. Je weniger „Irrtümer“ (False Positive)
vorkommen, etwa die falsche
Einschätzung eines Druckertreibers, desto besser sei das Tool.
Experte gegen Experte
Die zweite Herausforderung für
eine Lösung sei das Entfernen
der Schädlinge, behauptet der
Spyware-Fachmann. Wird ein
Virus gelöscht, kann er sich normalerweise nicht wieder selbst
regenerieren oder laden. Anders
ein Spion: Die Programme versuchen mittlerweile, sich durch
ausgeklügelte Techniken vor
ihrer Entdeckung zu schützen,
etwa durch proprietäre Verschlüsselungsalgorithmen oder
indem sie sich in .dll-Code verstecken. CWS beispielsweise
installiert eine „Wächter“-exeDatei, die, falls eine Komponente gelöscht wird, diese durch
eine ausführbare Kopie ersetzt.
Diese exe-Datei setze sich in
Boot-Dateien fest und müsse
auch dort gelöscht werden,
damit CWS sich nicht regeneriert. Tubbs ist der Ansicht, dass
dies heutzutage noch kein Antivirenprogramm leisten kann.
Bei der Entscheidung, ob ein
Unternehmen für den Schutz
vor bösartigen Programmen
zwei voneinander unabhängige
Werkzeuge wählt, eine aus beiden kombinierte Lösung oder
eventuell lediglich eine Antivirenlösung, spielen nicht nur
die ausgeklügelten Funktionen
eine Rolle. Konfigurierbarkeit ist
nach Ansicht von Andre Hohner,
Senior Consultant bei Unilog
Avinci, das wichtigste Kriterium,
wenn es um die Wahl des richtigen Schutzes geht. Eine gute
Konfigurierbarkeit bedeutet einerseits die Möglichkeit, die Einstellungen für die Sicherheit der
Systeme sehr genau vornehmen zu können. Beispielsweise
müssen zwar alle Viren ausgeschlossen werden, doch wollen
Anwender unter Umständen
eine bestimmte Art von AdwareTechnik zulassen, etwa für Remote-Monitoring. Des Weiteren
sollte der Administrator alle Einstellungen durchführen können,
ohne dass der Nutzer selbst
VII
ix.1105.x.01-08
04.10.2005
15:04 Uhr
Seite VIII
IT-Security
etwas konfigurieren muss oder
gar die Option hat, etwa den
Spyware-Schutz abzuschalten.
Demgegenüber steht der
Wunsch des Administrators, die
Konfigurationen möglichst einfach zu halten.
Zudem sollte ein Unternehmen abwägen, ob es für eine
höhere Sicherheit durch den
Einsatz von Best-of-Breed-Produkten auch einen eventuell höheren Administrationsaufwand
in Kauf nehmen will, nämlich
mit der Installation, Konfiguration, Verteilung und Verwaltung
mehrerer separater Produkte.
„Um den Administrationsaufwand über eine zentrale Konsole möglichst gering zu halten,
empfehle ich vor allem größeren Unternehmen eine kombinierte Lösung, sogar dann,
wenn sie dafür gewisse Abstriche in deren Leistungsfähigkeit
hinnehmen müssen,“ so der
Rat des Unilog-Fachmanns.
Doch eine solch zentrale Verwaltungskonsole, von der aus
man alle Module administrieren
kann, ist seiner Meinung nach
noch Zukunftsmusik. Die derzeitigen „Security-Management-Cockpits“ sind noch stark
verbesserungswürdig und die
tatsächliche Integration der verschiedenen Tools eher gering.
eine Software vorzuziehen,
die eine umfangreiche, häufig
aktualisierte Schädlingsliste
mitliefert und automatisiert die
Patches für die Werkzeuge lädt.
Auch hier gilt die grundsätzliche Überlegung: Reicht eine
Antivirenlösung mit einer Datenbank, die möglichst viele
Trojaner-Signaturen enthält,
aber relativ unvollständig ist,
wenn es um Definitionen spezieller Spyware geht? Ist die
Gefahr, die von Schnüfflern
ausgeht, hoch, empfiehlt sich
eine zusätzliche AntispywareSoftware mit der entsprechend
spezialisierten Definitionsdatenbank. Gerade bei diesen Lösungen spielt die sorgfältige
Identifizierung eines Spionageprogramms eine wichtige Rolle.
Die so genannten False Positives können dazu führen, dass
eine legale und erwünschte Anwendung als Spion blockiert
oder gar beschädigt wird.
VIII
Doch werde sie daran gehindert,
automatisch neu zu starten oder
sich zu installieren. Die Devise
des Fachmanns: „Wir empfehlen, jedes Sicherheitsprodukt
immer als Teil einer schichtweise aufgebauten Lösung und
nicht als alleiniges Wundermittel
zu betrachten. Desktop-Firewalls, die Filterung von WebContent, Virenschutzprogramme
und natürlich geeignete Anwendungsrichtlinien tragen alle dazu
bei, das Risiko für eine Organisation zu verringern“.
Letztendlich hängen Art
und Qualität des Schutzes vor
Spyware von den spezifischen
Anforderungen eines Unternehmens ab. Nicht nur die Überlegung, wie viel Risiko man
akzeptieren kann und möchte,
sollte entscheidend sein, sondern auch der Administrationsaufwand und die Kosten für
den wirksamsten Schutz.
Susanne Franke
In iX extra 12/2005:
Storage – Online-Storage: Datenhaltung und -sicherung
Storage beschränkt sich
schon längst nicht mehr auf lokale Datenträger. Neben separaten Speichernetzen im eigenen Haus gewinnt auch das
Qualität der Signaturdatenbanken zählt
Als zweites Kriterium bei der
Wahl einer Lösung nennt Hohner die Qualität der mitgelieferten Signaturendatenbank.
Zwar gebe es im Internet viele
kommerzielle sowie freie Signaturendatenbanken, doch ist
Die Wahl des geeigneten
Produkts wird durch die Tatsache erschwert, dass es derzeit
kaum anerkannte Tests oder
Zertifizierungen für Anti-Spyware-Produkte gibt. Einige befinden sich in der Entwicklung.
Beispielsweise haben die ICSA
Labs von Cybertrust ein solches
Testprogramm vorgestellt.
Dr. Artur Heil, Geschäftsführer
EMEA von Cybertrust, weiß aus
den Forschungsarbeiten und
hausinternen Erfahrungen bei
der Entwicklung von Testkriterien sowie Testprotokollen für
Anti-Spyware um die Komplexität des Unterfangens. „Nach
ersten Erkenntnissen bieten
auch die besten am Markt verfügbaren Produkte nur einen
Schutz beziehungsweise Erkennungsgrad von etwa 90 Prozent
und eine Neutralisierungsrate
von 80 Prozent“, erklärt er.
Dies bedeute keine vollständige Entfernung der Spyware.
Internet für die Datenhaltung
und -sicherung immer mehr an
Gewicht. iX extra gibt einen
Überblick über die Methoden
des Online-Backup und der
zentralen respektive ausgelagerten Datenhaltung und stellt
die Protagonisten vor.
Erscheinungstermin:
10.ˇ11.ˇ2005
DIE WEITEREN IX EXTRAS:
Ausgabe
Thema
01/06
Netzwerkhardware
Modulare Switches
Erscheinungstermin
15. 12. 05
02/06
Mobility
Add-ons für PDAs und Handys
12. 01. 06
03/06
IT-Security
Consulting-Angebote
09. 02. 06
iX extra 11/2005