Rainer M. Richter

ist Director für Central & Eastern Europe bei SentinelOne

DSGVO-konformer Endpunktschutz: verhaltensbasierte Malware-Erkennung

Viele Unternehmen müssen ihr Sicherheitsmanagement noch nachbessern, wenn sie den Forderungen der EU-DSGVO gewissenhaft nachkommen wollen. Dabei sollten sie vor allem den Endpunktschutz im Auge behalten.

Wenn am 25. Mai 2018 die Datenschutz-Grundverordnung der EU in Kraft tritt, kommen auf Unternehmen neue Standards und Dokumentationspflichten hinsichtlich des Schutzes personenbezogener Daten zu. Wer fortan nicht alle ihm zur Verfügung stehenden technischen und organisatorischen Maßnahmen ergreift, um Datenmissbrauch oder einen unbeabsichtigten Verlust beziehungsweise Abfluss von Daten proaktiv zu verhindern, dem drohen hohe Bußgelder und Schadensersatzzahlungen.

Malware Spionage (Bild: Shutterstock)

Der Schutz sensibler Daten vor nicht-autorisierten Zugriffen, Diebstahl und Missbrauch ist für Unternehmen heute kein leichtes Unterfangen mehr – raffinierter Malware, großangelegter Cyber-Erpressung und organisierten Hackergruppen sei Dank. Bedenkt man, dass vernetzte Endpunkte nach wie vor Hauptangriffsziel für fast alle Arten von Cyberattacken sind, ist eine Bestandsaufnahme und Effektivitäts-Analyse der eigenen Endpunktschutz-Strategie im Vorfeld der DSGVO eigentlich unerlässlich.

Unternehmen, die sich nach wie vor auf herkömmliche Sicherheitslösungen – etwa klassischen Antivirus-Schutz – verlassen, werden feststellen, dass sie vor der heutigen Bedrohungslandschaft längst nicht mehr ausreichend geschützt sind. Warum traditionelle Sicherheitslösungen den Forderungen der DSGVO nicht gerecht werden und wie proaktiver Endpoint Protection aussieht, möchte ich im Folgenden kurz erläutern.

Intelligent verschleierte Malware

Das wohl größte Manko herkömmlicher Endpunktschutz-Lösungen ist ihr Fokus auf bekannte und geläufige Elemente, sei es eine bekannte Signatur, ein bekannter Hash, eine bekannte IP-Adresse oder bekannte Verhaltensweisen. Denn die größte Gefahr geht heute von neuen und vollkommen unbekannten Bedrohungen und Schadcodes aus.

Malware (Bild: Shutterstock.com/Maksim Kabakou)

Mit Hilfe verschiedener – teils im Netz frei verfügbarer – Verschleierungs-Tools können Hacker bekannte Schadsoftware relativ unproblematisch abändern. Oft werden dabei verschiedene Verschleierungstechniken miteinander kombiniert, um bekannten Binärprogrammen ein komplett neues und vermeintlich unbedenkliches Erscheinungsbild zu geben und herkömmlicher Sicherheitslösungen erfolgreich zu umgehen.

Darüber hinaus sehen wir uns heutzutage immer öfter auch mit dateiloser Malware konfrontiert, die den Arbeitsspeicher infiziert und keine festplattenindizierten Indikatoren aufweist. In diesen Fällen sind die klassischen Antivirenprogramme hilflos.

Benutzer- und Ressourcen-Unfreundlichkeit

Ein weiteres Problem ist die Benutzer- und Ressourcenunfreundlichkeit der gängigen Security-Lösungen und deren Auswirkungen auf die Sicherheit in Unternehmen. So führen viele IoC (Indicators of Compromise)- basierte Sicherheitstechnologien wie Intrusion Detection-Produkte oder im Netzwerk installierte Black Boxes zu vielen Fehlalarmen, da sie auch viele Situationen melden, die zwar wie Bedrohungen aussehen, tatsächlich aber keine sind. Doch mit der steigenden Zahl an False Positives steigt auch das Risiko, tatsächliche Infektionen zu unterschätzen oder sie in der Flut der falschen Alarme zu übersehen.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Aber auch ressourcenunfreundliche Lösungen bedeuten für IT-Abteilungen großen Stress. Vor allem traditionelle Antivirenprogramme konsumieren mit ihren Updates Bandbreite und verursachen mit ressourcenintensiven Scans CPU-Spitzenauslastungen, was nicht nur zu hohen Ausfallzeiten führt, sondern auch zu frustrierten IT-Managern und Benutzern, die Updates und Sicherheitswarnungen übergehen oder die Software zeitweise ganz abschalten und so den an sich schon mangelhaften Schutz noch weiter reduzieren.

Umgebungsintelligenz überlistet Sandbox-Umgebungen

Als vor einigen Jahren netzwerkbasierte Sandbox-Umgebungen auf den Markt kamen, schien es, als lasse sich schädlicher Code von nun an unproblematisch und effektiv herausfiltern, da das Dateiverhalten während der Ausführung in einer “geschützten” Versuchsumgebung überwacht werden kann.

Software-Lücken (Bild: Shutterstock/Chaban Oleksandr)

Längst ist jedoch klar, dass Sandbox-Lösungen die Erkennungsrate bei neuen Cyberbedrohungen zwar erhöht, Infizierungen mit Schadsoftware aber dennoch nicht zu hundert Prozent verhindern kann. Denn immer öfter wird Malware mit einer speziellen Umgebungsintelligenz ausgestattet, die es ihr ermöglicht, Sandbox-Umgebungen zu identifizieren. Durch Beobachten bestimmter Eigenschaften wie begrenzte Emulationszeit und mangelnde Benutzeridentifikation ist dies relativ leicht möglich.

Angreifer können so sicherstellen, dass ihr Schadcode in der emulierten Sandbox-Umgebung nicht ausgeführt und so als für gutartig befunden wird und seinen Weg zum Endpunkt ungehindert fortsetzten kann.

EU-DSGVO-konformer Datenschutz dank Next-Generation-Technologien

Für Unternehmen, die dem Postulat der DSGVO nach einem umfangreichen und proaktiven Schutz personenbezogener Daten gewissenhaft nachkommen wollen, ist der Einsatz herkömmlicher Endpunkt-Security also längst nicht ausreichend. Sie brauchen letztlich Lösungen, die den statischen und signaturbasierten Sicherheitsansatz um dynamische Technologien erweitern. Anstatt nur nach etwas Bekanntem oder dessen Varianten zu suchen, wie es etwa bei AV der Fall ist, analysieren diese Next-Generation-EPP Lösungen das Systemverhalten auf dem Endpunkt, so dass auch verschleierte und unbekannte Schadsoftware-Varianten identifiziert und abgewehrt werden.

SenitnelOne liefert forensische Informationen zu einer Ransomware in Echtzeit. (Bild: SentinelOne)
SenitnelOne liefert forensische Informationen zu einer Ransomware in Echtzeit. (Bild: SentinelOne)

Dabei setzen sie auf Technologien wie dynamische Verhaltensanalyse, maschinelles Lernen und intelligente Automatisierung, um Bedrohungen und Angriffe wirksam zu erkennen und zu blockieren. Sobald ein schädliches Muster identifiziert wird, werden automatisch verschiedene Reaktionen ausgelöst, die den Angriff im Keim ersticken. Neben der Abwehr der Bedrohungen durch konfigurierbare Richtlinien wie dem Beenden von Prozessen oder dem Verschieben schädlicher Binärprogramme in die Quarantäne, zählt dazu auch die Immunisierung der Systeme, um auf diese Weise die anderen Endpunkte im Netzwerk vor koordinierten Angriffen zu schützen.

Um die Unversehrtheit personenbezogener Daten zu wahren, verfügt moderner Endpunktschutz darüber hinaus über die Fähigkeit zur Reparatur schadhafter Modifikationen. Wurden Dateien manipuliert oder gelöscht beziehungsweise Konfigurationseinstellungen oder Systemdateien geändert, werden diese automatisch in den ursprünglichen Zustand vor dem Angriff versetzt.

Umfrage

Welche Auswirkungen sehen Sie in Ihrem Unternehmen durch die EU-Datenschutz-Grundverordnung (GDPR)?

Ergebnisse

Loading ... Loading ...