Deutsche Konzerne brauchen Echtzeit-Sicherheit

Trend Micro beschäftigt Hunderte Experten in seinen Labors. Diese überprüfen Tag und Nacht alle Bewegungen der Web-Welt auf Gefahren hin. Der Senior Security Specialist Rainer Link erklärt im Gespräch mit silcon.de, wie Security-Lösungen in Zukunft aussehen müssen, um den Kriminellen einen Schritt voraus zu sein.

silicon.de: Wie funktioniert ein solcher Scanserver?

Link: Das ist ein Server mit speziellen Sicherheitsaufgaben, die intern und extern abgestimmt werden. Hier werden beispielsweise firmeninterne Whitelists gepflegt. Viele Unternehmen haben interne Entwicklungen. Hierfür haben Externe wie wir natürlich keine Informationen, diese Information liegt dafür auf dem Scanserver. Dieser lässt die als vertrauenswürdig erkannten Anwendungen passieren und stoppt alles andere. Im Notfall klopft er bei unserem Server bei Trend Micro an und orientiert sich über die neuesten Signaturen und Schädlinge. Zusätzlich verfügen Scanserver über virtuelle Umgebungen, eine Art Sandbox für die Voranalyse. Das heißt, die Unternehmen erhalten eine dreistufige Analyse: einmal die Grundschutzfunktionen auf dem Client, dann die Analyse im Scanserver und dann werden letztendlich unsere Dienste angefragt. Das hat den Vorteil, dass geschäftskritische Informationen im Unternehmen bleiben.

silicon.de: Was macht Trend Micro mit den vielen Informationen?

Link: SPNs reputationsbasierte Dienste in Echtzeit haben auch für uns Vorteile. Wir bekommen so viel schneller mit, welche Gefahren unterwegs sind. Ein Beispiel: Der Anwender lädt sich ein Programm herunter, das von unserer Heuristik bereits als verdächtig oder potentiell verdächtig eingestuft wurde. Daraufhin wird sofort unser Webcrawler aktiv, besucht die Website und prüft alles nach. Wir haben auch spezielle Webcrawler für iFrames. Diese iFrames dienen dazu, Webuser umzuleiten. Heute verbergen sie sich gerne, sind oft sehr versteckt und verschlüsselt. Insgesamt fünf Rechenzentren von Trend Micro sorgen dabei für einen reibungslosen Ablauf. Eines davon steht in Deutschland. Für Caching nutzen wir die Dienste eines großen Anbieters.

Dabei ändern sich die Gefahren ständig und wir uns mit. Früher wurden E-Mail-Viren als Attachment verschickt – das kommt heute kaum noch vor. Heute gehen die Angreifer eher wie bei Storm-Würmern vor, sie arbeiten mit integrierter URL. Wenn also eine bestimmte URL sehr oft versendet wird, schlägt unsere Technik Alarm. Großunternehmen wie Siemens beispielsweise müssen ja schnell reagieren können. Sie können sich nicht an bestimmte Update-Zyklen halten. Das war und ist unser Ansporn, das SPN zu entwickeln.

silicon.de: Wie weit sind Sie mit diesen Plänen?

Link: Unser Programm ‘OfficeScan’ wird jetzt sukzessive damit ausgestattet. SPN ist teilweise schon in die Produkte implementiert. Bei OfficeScan wäre der Ablauf so, dass auch bei mobilem Zugriff, beispielsweise über ein VPN oder über ungesichertes WLAN, erkannt wird, ob sich der Client direkt im Unternehmensnetzwerk befindet, eine gesicherte oder ungesicherte Zugangstechnik verwendet. Im Ernstfall würde der Client im so genannten Roaming-Mode sofort mit dem Server von Trend Micro Kontakt aufnehmen, um den gewohnten Schutz auch unter diesen Umständen zu gewährleisten. Dies greift auch automatisiert, etwa bei WLAN-Aufrufen. Das ist wichtig, denn Virensignaturen werden ja normalerweise über den Firmen-Scanserver verteilt, mobile Mitarbeiter können diese aber nicht überall empfangen, ihr Client ist also des Öfteren ungeschützt. OfficeScan kann das feststellen. Es sorgt dafür, dass sich der Client des Trend-Micro-Kunden diese Updates direkt von uns holt. Die Funktionen werden aber erst nach und nach in unsere Produkte eingebaut. Es wird etwas dauern, bis alle Dienste und Produkte damit ausgestattet sind. Dazu gehört auch, dass wir Partner mit der Technik ausstatten wollen, etwa die Playstation und eine Reihe von KMU-Routern von Linksys. Mit Cisco sind wir auch in Kontakt und wollen noch mehr Partner ansprechen.

silicon.de: Die Nützlichkeit dieser Technik für Netzwerkkonzerne ist klar. Aber Trend Micro tut dies doch nicht aus Wohltätigkeit?

Link: Sicher nicht. Jeder Partner ist für uns ein Sensor, er versorgt uns mit neuen Informationen über Gefahren. Und je mehr Sensoren wir haben, desto besser können wir alle schützen. Das hat wechselseitige Vorteile: Wir sehen mehr und kommen in Bereiche, in denen wir vorher keinerlei Informationen über neue branchenspezifische Gefahren hatten. Die Playstation liefert uns Informationen über den Spielebereich. Das hat erstaunlich viel mit Enterprise-Szenarien zu tun – schließlich können die Gefahren von hier aus blitzschnell andere Bereiche attackieren und sich ausbreiten. Die Playstation ist die erste Konsole mit Echtzeit-reputationsbasierten Sicherheitsfunktionen. Die Konsole kann dann direkt bei Trend Micros Server anfragen und wird behandelt wie jeder Kunde, also auch genau wie ein Scanserver eines Konzerns.