Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov  
Most Popular Analysis



Entwicklung der IT-Bedrohungen im 3. Quartal 2014



Spam im September 2014



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013



Das nigerianische Erbe erwartet Sie



Spam im August 2014
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Freier Blick für die Zukunft: Cloud-Computing und Cloud- Sicherheit

24.04.2009   |   Ihr Kommentar

Magnus Kalkuhl

Einführung

Jedes Jahrzehnt wird von anderen Schlagworten geprägt. Auch in der IT-Branche verhält es sich kein bisschen anders: Waren es „Homecomputer“ und „Multimedia“ in den 1980ern und „interaktiv“ in den 1990ern, so konnte man in den letzten Jahren überall von „Web 2.0“ hören. Kaum hat man sich langsam mit dem jüngsten Terminus vertraut gemacht, taucht schon wieder ein neuer auf. Der aktuelle Begriff unserer Tage lautet „Cloud“ und es scheint, als wäre dieser Begriff für die meisten User – ähnlich der echten Wolken – eher nebulös. Dieser Artikel soll dazu beitragen, Licht in das Dunkel zu bringen und zudem den Unterschied zwischen Cloud-Computing und Cloud-Sicherheit erläutern.

Was haben Wolken damit zu tun?

Schematischen Netzwerk-Darstellungen, etwa dem Internet, werden standardmäßig mit einem Wolkenumriss symbolisiert. Diese Darstellung ist durchaus sinnvoll: Es ist ebenso wenig möglich, in eine Wolke hineinzusehen, wie festzustellen, welche Computer sich derzeit im Internet befinden. Ein wolkenverhangener Himmel gilt uns als glaubhafter Vorbote für einen Regenguss, ohne dass die genauen Vorgänge im Innern der Wolke bekannt sein müssen. Im Fall der Internet-Wolke genügt es, zu wissen, dass sie existiert und der Rechner an sie angeschlossen werden kann. Was sich darin abspielt, ist für das Funktionieren nicht notwendig.

Cloud-Computing

Die Vorläufer von Cloud-Computing

„Cloud-Computing“ existiert im Endeffekt schon seit geraumer Zeit – lange, bevor Windows, MacOS und Linux ihren Vormarsch auf die Anwendersysteme begannen. Allerdings fungierte das Konzept von Cloud-Computing damals noch unter dem Namen „Mainframe + Terminal“. Im Fall des Mainframes handelte es sich um einen Hochleistungsserver, auf dem alle Programme liefen und sämtliche Daten gespeichert waren. Das Endgerät war als einfaches System aufgebaut, das lediglich die Verbindung zum Mainframe herstellte. Erforderlich waren sowohl ein schneller (und daher kostspieliger) Mainframe als auch die entsprechende Netzwerkinfrastruktur. Die PCs und Heimrechner von IBM jedoch kamen ohne diese Komponenten aus – sie vereinigten sämtliche Funktionen in einem einzigen Gerät und machten somit das Konzept des Mainframes obsolet.

Unternehmen wie Hewlett-Packard, Sun und Citrix versuchten, diese Idee weiterhin am Leben zu erhalten. Sie ersetzten den Terminal durch eine Anwendung, die nun als „Thin Client“ bezeichnet wurde, und die großen Mainframes durch leistungsstarke Out-of-the-Box-Server. In der Regel nutzen diese Server die Standard-PC-Technologie – allerdings mit schnelleren und kostenintensiveren Prozessoren, mehr RAM-Speicher und größerem Speicherplatz als der durchschnittliche Desktop-Rechner. Das neue Konzept ist nach wie vor von einem leistungsstarken Server und einer schnellen Netzwerkverbindung abhängig. Von Heimanwendern wurde es bis vor kurzem nicht angenommen, da ihnen derartige Ressourcen nicht zur Verfügung standen. Inzwischen jedoch verfügen auch Privathaushalte gewöhnlich über einen High-Speed-Internetzugang und Download-Kapazitäten von mehreren Megabyte pro Sekunde.

Infrastruktur nahezu einsatzbereit

Auch wenn die Konzepte von Mainframe und Thin Client als Vorläufer von Cloud-Computing betrachtet werden können, kann man einen großen Unterschied ausmachen: Unternehmen, die die Thin-Client-Technologie nutzen, müssen in der Regel über einen eigenen Server sowie eine Hosting Location verfügen sowie die Stromversorgung und weitere Infrastruktur bereitstellen. Bei Cloud-Computing hingegen wird die gesamte Hardware vom Anbieter gekauft, der die verfügbaren Kapazitäten dann entsprechend der Bedürfnisse seiner Klienten vermietet. Der Vorteil für die Kunden besteht dabei darin, dass sie sich keinen Server komplett kaufen müssen. Die Anforderung einer bestimmten Speichermenge oder Anzahl an Prozessor-Zyklen reicht aus. Dabei müssen und wollen sie nicht wissen, ob alles auf einem einzigen Computer angesiedelt oder auf mehreren Maschinen verteilt ist. Mittels bestimmter Technologien können Provider gar ein Gerät mitsamt der Hardware bei laufendem Betrieb der Kundensoftware ohne spürbare Auswirkungen auswechseln. Dieses so genannte „Hot Swapping“ ist der eigentliche Zweck der „IT-Wolke“: Der Kunde muss sich nicht um irgendwelche Details kümmern, sondern klickt, sobald mehr Speicherplatz oder Prozessorleistung gewünscht ist, einfach auf die entsprechende Taste.

Einer der ersten „Big Player“ im Bereich Cloud-Computing war Amazon, das 2008 das Konzept „Amazon Elastic Compute Cloud“ einführte. Recently Canonical – das Unternehmen hinter Ubuntu Linux – kündigte bereits an, die Amazon-Dienste in seine neueste Version Linux Ubuntu 9.10 (erscheint im nächsten Herbst), zu integrieren. Andere Unternehmen wie Microsoft oder Google haben diesen Markt ebenfalls für sich erschlossen und werden um ihren Anteil an potentiellen Gewinnen kämpfen. Tausende von Hosting-Unternehmen bieten ihre „virtuellen Server“ kleinen Unternehmen oder Privatpersonen an, die einen preisgünstigen Webserver benötigen. All das kann ebenfalls als eine Art Dienstleistung in der Cloud verstanden werden.

Der Markt für diese Dienstleistungen ist demnach vorhanden und er wird zweifelsohne noch wachsen. Die beste Empfehlung an die Serviceanbieter lautet, die Hardware anzubieten, mit denen sie die Bedürfnisse der Kunden erfüllen können. Die Aufstellung dieser Geräte wird eine der größten Herausforderungen darstellen: Sobald die Nachfrage nach Cloud-Diensten eine bestimmte Schwelle überschreitet, werden kontinuierlich mehr Server benötigt werden. Diese Serverzentren müssen sich in geographischer Nähe zu den Kunden befinden, da jeder Kilometer die Übermittlungszeit zwischen Kunde und Server erhöht. Zwar mag die Verzögerungszeit nur minimal sein, aber High-Performance-Nutzer wie Online-Gamer empfinden schon einen Unterschied von 200 Millisekunden als inakzeptabel, da ihnen damit der Genuss des Spielens in Echtzeit verloren geht. Interessieren sich Privatpersonen erst einmal für die Nutzung von Cloud-Diensten und steigt damit der Bedarf, werden die Provider gezwungen sein, erheblich mehr Hardware zuzukaufen. Innerhalb der nächsten zehn Jahre werden wohl in jeder Stadt Serverzentren entstehen, von denen sich einige voraussichtlich in Mehrzweckgebäuden mit mehr als 100 Bewohnern befinden werden.

Vorteile

Geschäftskunden machen derzeit zwar die Hauptzielgruppe der meisten Anbieter von Cloud-Dienstleistungen aus. Allerdings wird erst die Vielzahl an Privatpersonen das Konzept zum Erfolg führen. Während Unternehmen über qualifizierte IT-Mitarbeiter verfügen, kann schon alleine der Besitz eines Computers für eine Privatperson puren Stress bedeuten. Zunächst muss der Computer gekauft werden – ein Unterfangen, das sich einfacher anhört als es tatsächlich ist. Ist ein Laptop mit dem Vorteil der Mobilität vorzuziehen, oder ist ein preisgünstigerer und häufig schnellerer Desktoprechner doch die bessere Wahl? In der Welt des Cloud-Computing ist beides gleichzeitig möglich. Der Anwender kann einen Laptop mit einer Thin-Client-Anwendung für weniger als 300 Euro kaufen und ihn dann bei Bedarf an einen Monitor und eine Tastatur anschließen. Er muss das Gerät lediglich mit dem Cloud-Provider verbinden, um soviel Leistung und Speicher in Anspruch nehmen zu können wie notwendig (oder leistbar) ist. Zwei Jahre später ist der Laptop dann gewöhnlich technisch völlig veraltet. Der Thin Client hingegen kann immer noch verwendet werden, da die Leistung von dem Provider und nicht von dem Gerät selbst geliefert wird.

Doch mit der Beschaffung der passenden Hardware ist es nicht getan. Das andauernde „Auf-dem-neuesten-Stand-Halten“ von Betriebssystem und Programmen sowie das Patchen von Sicherheitslücken kann ebenfalls eine regelrechte Herausforderung darstellen. Cloud-Computing nimmt sich all dieser Fragen an, so dass das Arbeiten mit dem Heimcomputer billiger, sicherer und zuverlässiger wird.

Abgesehen von Unternehmen und Heimanwendern würde ferner auch die Content-Industrie von einer Expansion des Cloud-Computing profitieren. Beispiel Musikindustrie: In der Vergangenheit versuchte man anhand der verschiedensten Methoden, illegales Kopieren von Musik und Filmen zu verhindern, aber keine dieser Methoden funktionierte einwandfrei. Sony wollte beispielweise die Inhalte auf den Disks schützen, was dazu führte, dass in einigen Fällen kopiergeschützte CDs von Haus aus nicht auf bestimmten CD-Spielern liefen. Dieser Faux-pas führte zu einem großen Medienskandal und letztendlich zu einem Rückruf der eingesetzten Technologie. Inzwischen verzichten immer mehr MP3-Shops auf den DRM-Kopierschutz und bieten stattdessen ungeschützte Musikdateien an.

Mit Cloud-Computing würden DRM-Dateien einen zweiten Frühling erleben, da Content-Produzenten den Kunden Filme, Spiele und Musik auf direktem Weg anbieten können. Die angebotenen Inhalte werden rein für das Abspielen innerhalb des Cloud-Computing-Systems konzipiert und die Erstellung von unautorisierten Kopien derartiger Film- und Musikdateien wird erheblich mehr Zeit und Geld kosten. Letztlich kann somit die Anzahl illegaler Kopien reduziert und der Gewinn der Produzenten gesteigert werden.

Risiken

Zwar bietet Cloud-Computing klare Vorteile – aber auch hier hat die Medaille zwei Seiten und die Risiken sind nicht von der Hand zu weisen. Kaum ein Tag vergeht ohne Meldung über abgeflossene oder verloren gegangene Daten. Die Nutzung von Cloud-Diensten bedeutet, dass der Anwender seinem Provider vollkommenes Vertrauen schenken muss. Zu welchem Unternehmen aber hat man soviel Vertrauen, dass man vollen Zugriff nicht nur auf seine E-Mail-Nachrichten, sondern auf sämtliche privaten Dokumente, Bankkonto-informationen, Passwörter, Chat-Logins und Fotos von einem selbst und der Familie gewähren würde? Selbst wenn das Vertrauen in ein bestimmtes Unternehmen vorhanden wäre, fehlt schlicht die Garantie dafür, dass die Daten nicht doch in falsche Hände geraten. Der Verlust persönlicher sensibler Daten ist zwar nicht ausschließlich ein Problem von Cloud-Computing. Hier allerdings hat der Provider umfassenden Zugang zu sämtlichen Daten und nicht nur zu einem ausgewählten Teil. Datenverlust hätte in diesem Fall weitreichende Folgen.

Werden die genannten Risiken dazu führen, dass Cloud-Computing auf dem Markt keinen Bestand hat? Das ist ziemlich unwahrscheinlich, da diese Technologie beiden Seiten Vorteile bringt: Sie ist für Anwender bequem und für Anbieter profitabel. Genauso wenig, wie ein Unternehmen zur Ausübung seiner Geschäftstätigkeiten ohne E-Mail auskommt, kann es wohl bald auch nicht mehr auf die Nutzung von Cloud-Computing-Diensten verzichten. Statt diese neue Technologie zu boykottieren, wäre es sinnvoller, neue gesetzliche Regelungen zu fordern und strenge Richtlinien für die Provider aufzusetzen. Ebenfalls müssen Technologien entwickelt werden, die es den Mitarbeitern der Providerunternehmen (nahezu) unmöglich machen, Kundendaten abzufischen. Derzeit haben Anbieter von Cloud-Computing-Diensten noch freie Hand – in zehn Jahren allerdings wird sich die Cloud-Landschaft vollständig gewandelt haben. Dann werden die Provider zur Einhaltung bestimmter Standards verpflichtet sein, wenn sie diese Dienste anbieten möchten.

Mit der Einführung von Standards wird allerdings wohl auch die Aufmerksamkeit von Malware-Autoren und Hackern geweckt werden. Dieses Phänomen hat sich schon im Zuge der Standardisierung von PCs, auf denen mit überwiegender Mehrheit das Windows-Betriebssystem installiert ist, bereits eindrucksvoll bewahrheitet. Sobald Cloud-Computing eine ausreichende Verbreitung hat, wird es mit Sicherheit auch genau auf diese Systeme spezialisierte Hacker geben. Auch hier wird es deren Ziel sein, Daten zu stehlen oder zu manipulieren – immer unter dem Hintergrund des finanziellen Vorteils. Zudem wird es weiterhin die Art Betrüger geben, die an der Technik an sich kein besonderes Interesse zeigt. Diese Kriminellen werden gegenwärtig bekannte Tricks wie 419-E-Mails anwenden, um an das Geld ihrer potentiellen Opfer zu gelangen. Wieder andere Cyberkriminelle werden Trojaner, Würmer und sonstige Schadprogramme speziell für den Einsatz „in the Cloud“ entwickeln und benutzen. Und IT-Sicherheitsfirmen werden auch weiterhin daran arbeiten, ihre Kunden vor diesen Bedrohungen zu schützen. Im Grunde wird sich kaum etwas verändern, außer, dass alle Beteiligten – Anwender, Provider und Cyberkriminelle gleichermaßen – in einer „Wolke“ agieren.

Cloud-Sicherheit

Um das Thema Sicherheit „in der Wolke“ zu beleuchten, ist es wichtig, noch einmal das zugrundeliegende Prinzip des Systems zu betrachten: Cloud-Computing bedeutet die Nutzung von Computerressourcen ohne reellen Zugriff auf diesen Computer.

Das Konzept der Cloud-Sicherheit hingegen unterscheidet sich grundlegend von Cloud-Computing: IT-Sicherheitsdienste werden hierbei ausgelagert und in einer „Rechnerwolke“ angeboten. Das Betriebssystem läuft weiterhin vor Ort auf dem PC-Desktop des Anwenders. Es existieren unterschiedliche Varianten der Cloud-Sicherheit: So bietet Kaspersky Lab beispielsweise mit den Kaspersky Hosted Security Services so genannte Managed Services an. Anti-Spam- und Anti-Malware-Dienste überprüfen dabei das gesamte Traffic-Aufkommen auf schädliche Inhalte und liefern dem Enduser den gefilterten und damit sicheren Content. Ferner bietet das Unternehmen auch Sicherheitslösungen „in der Wolke“ in Form des Kaspersky Security Network an. Der folgende Teil dieses Artikels widmet sich insbesondere dieser Art von Sicherheitsdiensten für Desktop-Lösungen.

Bereits im Februar 2006 bloggte Bruce Schneier über die Sicherheitsproblematik in der Cloud. Er war nicht der Einzige, der sich mit dem Thema beschäftigte und es existieren zahlreiche Diskussionen über die Art und Weise, wie das Konzept umzusetzen sei. Dennoch bestand ein allgemeiner Konsens darüber, dass die Umsetzung eher eine Notwendigkeit denn eine Option sei. Aus welchem Grund also haben sich die Hersteller von Antiviren-Software zwei Jahre Zeit gelassen, bevor sie mit der Implementierung dieser Technologie in ihre Produkte begannen?

Eine Frage der Notwendigkeit

Die Implementierung neuer Technologien ist nicht nur eine zeit- und kostenintensive Angelegenheit, sondern bringt auch häufig Nachteile mit sich. Der offensichtlichste Nachteil im Zusammenhang mit Cloud-Diensten – sowohl Cloud-Computing als auch Cloud-Sicherheit – besteht darin, dass der Anwender permanent online sein muss, um in den Genuss der Vorteile zu kommen. Solange die vorhandenen Technologien in der Lage waren, den Schutz vor den neuesten Schadprogrammen auch ohne Internetverbindung zu gewährleisten, bestand keine Notwendigkeit für Veränderungen. Wie immer jedoch zieht eine Wandlung in der Bedrohungslandschaft auch Veränderungen in der Antiviren-Branche nach sich.

Die klassische Art der Identifizierung von Schadprogrammen erfolgt durch die Verwendung so genannter Signaturen. Eine Signatur ähnelt einem Fingerabdruck – stimmt dieser mit einem Teil eines bekannten Schadprogramms überein, wird das Programm als Malware erkannt. Allerdings unterscheiden sich menschliche Fingerabdrücke und Signaturen in einem Punkt voneinander: Ein Fingerabdruck passt ausschließlich zu einer einzigen Person, während eine gute Signatur nicht nur eine einzige, einmalige Datei identifiziert, sondern mehrere Modifizierungen dieser Datei. Je höher also die Qualität der Signatur, umso höher die Erkennungsrate und umso geringer die Anzahl der benötigten Signaturen und folglich des Speicherverbrauchs. Aus diesem Grund ist die Anzahl der Signaturen, die von den Herstellern von Antivirenlösungen zur Verfügung gestellt werden, gewöhnlich sehr viel geringer, als die Gesamtzahl der als schädlich bekannten Dateien.

Gute Signaturen können zwar dazu beitragen, die Datenbanken klein zu halten – das eigentliche Problem wird damit allerdings nicht gelöst: Je mehr schädliche Dateien existieren, desto mehr Signaturen werden benötigt. Wie in dem vorstehenden Schema verdeutlicht, hat sich die Signaturenanzahl in den letzten Jahren (als Reaktion auf die Explosion der Anzahl an Schadprogrammen) dramatisch erhöht.

Wie schon erwähnt, führt eine steigende Anzahl an Signaturen zu einem höheren Speicherverbrauch und zusätzlichem Download-Traffic. Leider wird auch die Scanleistung merklich verschlechtert. Bei Abfassung des Artikels betrug die Größe der Signaturen-Datenbanken von Kaspersky Lab 45 Megabyte. Sollte sich der oben aufgezeigte Trend fortsetzen (wovon man ausgehen kann), werden diese Datenbanken in den nächsten drei bis vier Jahren auf 1.000 Megabyte und mehr anschwellen. Das ist mehr Speicherplatz, als der RAM-Speicher von vielen Computern bietet. Aus diesem Grund würden Datenbanken dieser Größe keinen Platz mehr für Betriebssystem, Browser oder Spiele lassen.

Kann aber der Einsatz von Computerressourcen rein zum Zweck der Überprüfung des Gerätes selbst und nicht für die Arbeit oder Spiele eine zufriedenstellende Lösung sein? Könnte man mit dem Löschen alter Datenbankeinträge, die zu MS-DOS-Schadprogrammen gehören, dieser Problematik entgegentreten?

Wohl nicht, denn der so gewonnene Speicherplatz wäre in der Tat geringer als die tägliche Zunahme an neuen Signaturen. Effizientere Signaturen könnten, wie bereits angesprochen, die Situation verbessern. Allerdings würden damit eher die Symptome als die Krankheit selbst bekämpft werden. Schlussendlich könnte dieser Schritt den Anstieg der Datenbankeinträge auch nicht stoppen.

2007 erkannten einige IT-Security-Anbieter, dass Cloud-Sicherheit den einzigen Ausweg aus dieser Situation darstellt.

Vorteile von Cloud-Sicherheit

Kaspersky Lab unterscheidet bei seinen Cloud-Sicherheitslösungen nach dem Ort der Signatur-Datenbanken: Potentiell schädliche Dateien oder Websiten werden in der „Wolke“ online und nicht mit lokalen Signaturen, die auf dem Computer selbst gespeichert sind, überprüft. Am einfachsten erfolgt diese Prüfung über die Berechnung der Prüfsumme (des digitalen Fingerabdrucks) einer Datei. Im Anschluss wird ein bestimmter Server abgefragt, ob eine Datei mit dieser Prüfsumme bereits als schädlich identifiziert wurde. Ist dem so, erscheint beim Anwender eine Warnung und die Crimeware wird in den Quarantäneordner verschoben.

Der Anwender selbst merkt – mit Ausnahme der verbesserten Rechnerleistung – zwischen diesem und dem früheren Ansatz keine großen Unterschiede. Die Überprüfung des Fingerabdrucks einer Datei erfordert kaum Prozessor-Ressourcen, so dass diese Methode um einiges schneller ist, als die Durchführung eines komplexen signaturbasierten Scans.

Cloud-Sicherheit bietet zahlreiche weitere Vorteile, die der Anwender vielleicht anfänglich nicht bemerkt, von denen er aber dennoch profitiert – beispielweise ein geringerer Speicherverbrauch sowie ein kleinerer Download-Footprint. Um den Umfang der klassischen Datenbanken zu reduzieren, schaffen Cloud-Lösungen eine simple Abhilfe: Sämtliche Fingerabdrücke werden auf Servern der Antiviren-Anbieter gespeichert. Nur die Antiviren-Software bleibt weiterhin auf dem Gerät des Endusers. Der Server wird ausschließlich dann kontaktiert, wenn die Sicherheitslösung ein nicht identifiziertes Programm auf der lokalen Festplatte entdeckt. Solange der Anwender keine neuen Programme installiert, besteht auch nicht die Notwendigkeit, neue Daten herunterzuladen. Aktuell ist es so, dass Signaturen permanent aktualisiert werden müssen – rein für den Fall, dass ein neues Programm (bei dem es sich um Malware handeln könnte) installiert wird. Der Ansatz der Cloud-Sicherheit steht in vollständigem Gegensatz dazu.

Reaktionszeiten:

Verbesserte Reaktionszeiten sind seit jeher ein heißes Thema für die Antiviren-Branche. Eine neue Signatur zur Verfügung zu stellen, ist eine unabdingbare Leistung, die zum Repertoire eines Virenschutzes gehören muss. Erhält der Anwender diese Signatur aber erst mehrere Stunden, nachdem er die infizierte Datei geöffnet hat, ist es schon zu spät. Der Computer ist bereits zu einem Teil eines Botnetzes umfunktioniert worden und wird weitere schädliche Dateien ohne aktuell existente Detektionsmöglichkeiten heruntergeladen haben. Aus diesem Grund hatte Kaspersky Lab schon mit einer stündlichen Bereitstellung von Signatur-Updates begonnen, als viele andere Hersteller von Antiviren-Lösungen noch an einem täglichen Update-Zyklus festhielten. Dennoch kann die Zeitspanne zwischen dem Erscheinen eines neues Virus und der Veröffentlichung der entsprechenden Signatur immer noch eine Stunde oder mehr betragen. Proaktive Erkennungsmethoden und kundenseitige Emulationstechnologien können diese Diskrepanz zwar überbrücken, das eigentliche Problem aber nicht beheben.

Dieses Beispiel macht die Bedeutung von Cloud-Sicherheit deutlich. Eine Überprüfung von Signaturen auf Anforderung und in Echtzeit verkürzt die Reaktionszeiten signifikant. Sobald eine Datei von einem Analysten als schädlich eingestuft wird, erhält der Kunde diese Information unmittelbar danach. Dadurch wird die Reaktionszeit auf Minuten oder sogar Sekunden reduziert.

Der Vorteil von Cloud-Computing ist dabei, dass nicht nur Signaturen für Trojaner, Viren und Würmer mit dieser Technologie übermittelt werden können. Nahezu alle Elemente, die Teil regelmäßiger Signaturen-Updates sind, profitieren von dieser Lösung – seien es URLs von gefährlichen Websites, Titel und Schlüsselwörter, die in den neuesten Spam-Nachrichten erscheinen oder komplette Programmprofile, die von Host Intrusion Prevention Systemen (HIPS) verwendet werden können (wie beispielsweise das in Kaspersky Internet Security 2009 verwendete Profil). Diese Technologie ist im Übrigen nicht nur auf Computer beschränkt. Es ist auch sinnvoll, sie zum Schutz mobiler Endgeräte zu nutzen, insbesondere da Smartphones über weniger RAM-Speicher verfügen als PCs und daher jedes Byte zählt. Die meisten Antiviren-Lösungen für Mobiltelefone sind aufgrund der Speicherbeschränkung auf die Erkennung mobiler Bedrohungen ausgerichtet. Die Detektion sämtlicher Schadprogramme, deren Zielobjekte Windows XP und Vista sind, würde schlicht zu viele Ressourcen beanspruchen. Mit der Cloud-Technologie wäre dieses Problem zu vernachlässigen.

Wechselseitige Kommunikation

Cloud-Systeme können dazu beitragen, einen Kunden darüber zu informieren, ob sein Rechner infiziert wurde. Dabei sendet das Gerät des Kunden eine Anfrage und der Server liefert die entsprechende Antwort. Dieser Prozess kann, je nachdem, wie die Technologie implementiert wurde, auch umgekehrt funktionieren. Der Kunde kann also auch dem Antiviren-Unternehmen helfen, neue Bedrohungen zu identifizieren und aufzudecken.

Wie kann das ablaufen? Angenommen, auf dem Rechner des Kunden wird eine Datei mittels Emulations- oder proaktiver Schutztechnologie analysiert. Wird bei der Überprüfung festgestellt, dass es sich um eine schädliche Datei handelt, kann dieser Schadcode dann zur weiteren Untersuchungen durch die Virenanalysten heruntergeladen werden. Selbstverständlich setzt dieses Vorgehen eine explizite Freigabe der Binärdatei durch den Kunden voraus. Eine andere Übertragungsmethode direkt aus der Software wäre die Übermittlung des Fingerabdrucks der Datei zusammen mit bestimmten Informationen (wie Dateigröße, Einstufung der Bedrohung und ähnliches) von den Modulen, mit denen die Analyse durchgeführt wurde.

Der Vorteil dieser Methode liegt auf der Hand: Verbreitet sich ein neuer Wurm mit großer Geschwindigkeit, sehen die Analysten des Antiviren-Unternehmens sofort, dass eine neue, als verdächtig gekennzeichnete Datei im Umlauf ist und plötzlich auf Tausenden von Computern auftaucht. Die Entscheidung, ob die neue Datei tatsächlich als verdächtig einzustufen ist, liegt dann bei den Analysten. Kommen sie zu dem Schluss, dass es sich um eine reale Bedrohung handelt, ist das Hinzufügen der entsprechenden Signatur ein Kinderspiel: Der Fingerabdruck für die Datei ist ja bereits vorhanden und muss nur noch in die firmeneigene Datenbank verschoben werden.

Nichts ist umsonst

Trotz aller Vorteile der Cloud-Sicherheit existieren selbstverständlich auch einige Nachteile. Das oben beschriebene Beispiel zeigt, wie das Hinzufügen einer Signatur auf Grundlage statistischer Überwachung als effiziente Möglichkeit zur Bekämpfung plötzlicher Crimeware-Epidemien eingesetzt werden kann. Allerdings erhöht sich dadurch das Risiko von False-Positives dramatisch.

Angenommen, die neue Version eines beliebten Shareware-Programms kommt auf den Markt: Die Neuigkeit verbreitet sich natürlich mit großer Geschwindigkeit und schon sehr bald laden sich zahlreiche Personen die Software herunter. Wenn aber das Programm Systemdateien beschädigt, seine Signatur nicht vorhanden ist und es vielleicht sogar weitere Programme für sein eigenes Update herunterlädt, ist die Gefahr groß, von einem automatischen Cloud-System als schädlich gekennzeichnet zu werden. Das Ergebnis wären Tausende von False-Positives, die sich in der ganzen Welt verbreiten würden.

Sobald sich ein Mensch direkt mit der Analyse des Programms beschäftigt, sinkt die Rate der Falschmeldungen. Das allerdings würde Zeit kosten und damit den potentiellen Vorteil schneller Erkennung wieder zunichte machen. Zwar könnte innerhalb der Cloud das False-Positive in wenigen Sekunden beseitigt werden (im Gegensatz zu einer klassischen Signaturen-Datenbank, in der die Falschmeldung solange verbleibt, bis das nächste Update heruntergeladen wird), aber die negativen Folgen wären nicht mehr zu stoppen.

Verständlicherweise mögen Anwender keine False-Positives. Sollte also Cloud-Sicherheit vermehrt falschen Alarm auslösen, ist das Feature schnell deaktiviert oder es wird zu einem anderen Anbieter von Antiviren-Lösungen gewechselt, der noch auf den klassischen Ansatz setzt. Um dies zu verhindern, müssen Anbieter von Sicherheitssoftware ihre eigenen Kollektionen mit als „sauber“ bekannten Dateien einrichten und pflegen. Wird ein neuer Patch oder ein neues Programm veröffentlicht, muss es von dem Antiviren-Unternehmen rasch analysiert und auf eine Whitelist gesetzt werden, bevor seine Kunden mit dem Download beginnen.

Der „Umzug in die IT-Wolke“ geht für die IT-Sicherheitsszene daher mit erheblicher Mehrarbeit einher. Neben der aktiven Pflege ihrer Kollektion sauberer Dateien müssen die Server des Unternehmens täglich 24 Stunden absolut stabil laufen. Zwar erwarten Kunden von heute eine 24/7-Verfügbarkeit, da offline geschaltete Server keine Updates liefern können, der klassische Ansatz aber arbeitet mit einigen Stunden alten Signaturen und die Erkennungsraten sind niedriger. Das große Problem des Cloud-Ansatzes: Während eines Serverstillstands haben Kunden keinerlei Schutz, da das gesamte Konzept auf On-Demand- und Echtzeit-Kommunikation basiert. Im Falle von Serverstillständen müssten heuristische Methoden in Kombination mit leistungsstarker HIPS-Technologie angewendet werden, um den Schutz der Kunden vor Bedrohungen weiterhin sicherzustellen.

Wie wird die Zukunft aussehen?

Mit dem Launch von Kaspersky Internet Security 2009 und der Markteinführung des dazugehörigen Kaspersky Security Networks zählte Kaspersky Lab zu den Pionieren von Cloud-Sicherheit. Inzwischen beginnen auch zahlreiche andere IT-Sicherheitsunternehmen mit der Implementierung der Cloud-Lösung in ihre Produkte. Man muss aber beachten, dass die ganze Branche gerade erst damit begonnen hat, das gesamte Potential dieser Technologie auszuschöpfen.

Die Situation ist vergleichbar mit der des Automobilmarkts: Zwar werden Elektroautos langfristig benzin- und dieselgetriebene Fahrzeuge verdrängen – bei der Mehrzahl der derzeit als Elektroautos angebotenen Fahrzeuge aber handelt es sich in Wirklichkeit um Hybridfahrzeuge. In der IT-Branche erfolgen Innovationen gewöhnlich in schnelleren Intervallen, weshalb wir voraussichtlich in zwei bis drei Jahren einen vollständigen Wechsel von den aktuell eingesetzten signaturenbasierten Detektionsmethoden hin zur Cloud-Sicherheit erleben werden.

Fazit

Unternehmen werden sich erst an den Gedanken gewöhnen müssen, all ihre Daten ihrem jeweiligen Serviceprovider offen zu legen. Daher wird es wohl noch einige Jahre dauern, bis mit der Cloud-Computing-Technologie wirklich durchgestartet werden kann.

Einige Antiviren-Lösungen mit implementierter Cloud-Technologie sind bereits auf dem Markt und es besteht kein Zweifel daran, dass die Technologie bis Ende dieses Jahres auf eine generelle Akzeptanz stoßen wird. Im Laufe der Zeit werden beide Ansätze miteinander verschmelzen, so dass Privatpersonen und Unternehmen mittels Cloud-Sicherheitsdiensten geschützte Cloud-Computer benutzen werden. Ist die Entwicklung einmal soweit fortgeschritten, wird das Internet eine ebenso wesentliche Rolle für unsere täglichen Aktivitäten spielen wie Elektrizität heutzutage.

Quelle:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen