Gefahrenabwehr in Unternehmen: Whitelists statt Virenscanner?
In Zeiten, in den Hacker Race-to-Zero-Wettbewerbe veranstalten, ist der Druck auf die Firmen-Security groß. Längst geht es nicht mehr nur um Geschwindigkeit, sondern um die richtige Taktik. Whitelisting ist eine davon.
Der Vorteil von Whitelists im Vergleich zu Blacklists liegt im Hinblick auf Computerschädlinge auf der Hand. Unbekannte Schadprogramme – auch wenn es sich nur um eine geringfügige Modifizierung handelt – kommen schlicht nicht ins System. Und auch die Probleme, die signaturbasierte Virenscanner im Wettlauf mit der Zeit zunehmend haben, sind hier umschifft.
Weil Whitelisting nichts anderes als eine signaturbasierte Erkennung ist – nur andersherum – geht es für Firmen, die eine solche Lösung einsetzen, erst einmal darum, die “guten” Programme zu identifizieren. “Dafür werden in der Regel zunächst erst einmal alle Anwendungen gescannt, die auf den Firmenrechnern laufen. Danach muss entschieden werden, welche freigegeben werden und welche nicht”, sagt Wiedemeyer. Nach seiner Erfahrung dauert der Überwachungsmodus rund vier bis sechs Wochen, noch einmal sechs Wochen können vergehen bis das System zuverlässig läuft.
Dazu gehören natürlich auch ständige Updates, ein Thema, dass beim Whitelisting kontrovers diskutiert wird. Wiedemeyer sieht hier für die Lumension-Lösung keine Probleme. “Patches und Updates werden automatisch über Windows Server Update Service (WSUS) ausgeführt, mit Patchlink Update bieten wir aber auch eine eigene Lösung an, die unabhängig von Betriebssystem oder Anwendung ist.”
Klingt also so, als würden Firmen, die auf Whitelists vertrauen in einer “heilen Welt” leben, gerade in punkto Sicherheit. Doch der Ansatz funktioniert nur, wenn eindeutig definiert werden kann, welche Software an welchem Rechner erlaubt ist. Das mag bei kleinen und mittleren Firmen funktionieren, Konzerne setzen das Konzept nicht umsonst meist erst einmal nur in Teilbereichen um.