19.04.2007 | Autor / Redakteur: Christian Hanisch / Ulrike Ostler
Malware wird zumeist reaktiv bekämpft. Doch das befriedigt längst nicht alle Ansprüche. Die Neuinstallation von PCs und der additive Prozess einer automatischen Wiederherstellung persönlicher Benutzerumgebungen erscheinen hingegen auf den ersten Blick radikal. Dafür ist dieses Vorgehen aber sicher und effizient.
Dass sich Sicherheitsexperten Gedanken über Schad-Software, so genannte schlafende Malware, machen, gilt durchaus noch als ein vergleichsweise neues Thema. Der Startpunkt lässt sich sogar benennen.
2005 gab es den „Spyware-Skandal“. Der Musikverlag Sony BMG setzte damals das Rootkit „XCP“ für das Digitales Rechte-Management ein. Es sollte unberechtigte Kopieren von CDs verhindern.
In der Regel werden Rootkits von Programmierern von Mal- und Spyware verwendet, um ihre illegalen Aktivitäten vor Benutzern und Antiviren-Programmen zu verbergen. Das Sony-Rootkit überlebte mehrere Monate unentdeckt, da keine Signatur für dessen Erkennung existierte und richtete keine weiteren Schäden an.
Malware taucht in verschiedenen Formen auf. Sie stammen sowohl aus banalen Quellen wie etwa aus einem E-Mail-Anhang aber auch aus ausgeklügelten Quellen wie zum Beispiel nach Netzwerkeinbrüchen mit professionellen und daher oft unentdeckten Hacking-Methoden.
„Normale“ Malware lässt durch eine Vielzahl von kommerziellen Standard-Produkten wie Antivirus-Software, Anti-Spyware und ähnlichen Lösungen entdecken und behandeln. Ausgeklügelte Angriffe sind aber in der Regel auf einzelne Systeme abgestimmt, was deren Beseitigung erschwert. Da diese Angriffe selten öffentlich gemacht werden, ist es jedoch schwierig, sie mit kommerziellen Applikationen zu identifizieren.
Die meisten Versuche gegen Malware verwenden jedoch einen Doppelangriff: Zunächst werden die Systeme ständig mit den neuesten Patches und Updates versorgt und anschließend kontinuierlich nach bekannten Malware-Signaturen gesucht. Beide Ansätzen erweisen sich als problematisch und selbst der gleichzeitige Einsatz der beiden Methoden kann die benötigte Sicherheit für kritische Systeme nicht gewährleisten.
Ein nützliches Werkzeug für das Betriebssystem-Update ist das Patch-Management. Es nimmt dem Administrator viel Routinearbeit ab bei der Identifizierung fehlender Patches und dem Roll-Out von Patches auf die beteiligten Systeme im Netzwerk.
Microsoft hat in den vergangenen Jahren die Patch-Datenbanken seiner unterschiedlichen Produkte zusammengefasst und damit die Möglichkeiten des Patch-Managements verbessert. Dennoch bleibt es bei einem Treffer-/Niete-Verfahren, das heißt, es kann nie zu 100 Prozent sichergestellt werden, dass ein Patch tatsächlich die Lösung gegen einen speziellen Malware Typ ist.
Patch-Management droht daher auf vielfältige Weise zu scheitern: Nicht permanent angebundene Systeme müssen berücksichtigt werden. Bei Netzwerkproblemen kann das ordnungsgemäße Installieren eines Patches scheitern. Es existieren sich widersprechende Patches oder Patches, die einander aufheben. Dies verkompliziert den Prozess, die Desktop-Systeme „sauber“ zu halten.
Damit bietet Patch-Management im besten Fall ein minimales Maß an Sicherheit, da es nur gegen bekannte Probleme verteidigt. Es schützt die Systeme jedoch nicht vor Sicherheitslücken im Betriebssystem oder in den Anwendungen, die bisher noch nicht entdeckt wurden. Dies gilt insbesondere, wenn spezielle Systeme attackiert werden.
Während Patch-Management und Scannen gegen allgemeine und bekannte Malware schützt, existiert kein Schutz gegen neue oder angepasste Bedrohungen. Erst wenn diese erkannt sind, kann eine Signatur dagegen entwickelt werden. So bleibt die Virus- und Malware-Erkennung in vielen Organisationen ein reaktiver Prozess und leidet an einem logischen Problem: Wie kann die IT wissen, dass Malware vorhanden ist, wenn sie noch nicht identifiziert wurde?
Einige Experten empfehlen die regelmäßige Neuausstattung von PCs, um das Malware-Risiko zu minimieren. Selbst Microsoft räumt im Falle eines Rootkit ein, dass die erneute Installation des kompletten Systems der einzig gangbare Weg ist. Auch das neue Betriebssystem Vista wird hier keine Besserung bringen.
Dieser Weg birgt jedoch auch Gefahren. So können Daten der Anwender verloren gehen oder persönliche Einstellungen nach der Neuinstallation müssen wieder mühevoll nachkonfiguriert werden. Lediglich ein zweistufiges Verfahren kann die Kosten für die Systemwiederherstellung gering halten.
Im ersten Schritt wird ein standardisierter Prozess für alle PC-Installationen aufgesetzt. Im zweiten Schritt werden nur durchgängige Prozesse zum Erhalt, zur Sicherung und Wiederherstellung der Benutzerumgebung verwendet. Dieser Lösungsansatz stellt die Desktops der Anwender schnell wieder her und stattet sie gleichzeitig mit der aktuellen oder einer neuen Betriebssystemversion inklusive aller Voreinstellungen aus. Damit sind Anwender zügig wieder arbeitsfähig und Ausfallzeiten werden minimiert.
Der Prozess des „Von-Grund-auf-neu-aufsetzen“ schützt effizient vor Sicherheits- und Virus-Angriffen. Entsprechende Werkzeuge löschen sicher die auf den Systemen vorhandenen Daten. Dann werden durch eine Prozesskette saubere Kopien des Betriebssystems, der Applikationen und Utilities auf das System aufgebracht. Stammen die wieder installierten Komponenten und Applikationen aus einer bekannten Quelle, ist das Ergebnis dieser Neuinstallation bedrohungsfrei. Diesen Grad an Vertrauen erreichen Patch-Management und nachträgliches Scanning nicht.
Dies ändert sicht jedoch, sobald äußere Einflüsse wie E-Mail-Eingänge oder Netzwerkzugriffe beginnen. Obwohl der Einsatz von Mail-Gateways, Firewalls, DMZs und eine Vielzahl anderer Techniken die Gefährdungen durch E-Mail und Netzwerk reduzieren, existieren Bedrohungen sobald das System den „bekanntermaßen guten“ Zustand verlässt.
Dieser Teufelskreis lässt sich durchbrechen, wenn der „bekanntermaßen gute“ Zustand in regelmäßigen Abständen – beispielsweise täglich – wieder hergestellt wird. Insbesondere vorgefertigte Images von „bekanntermaßen guten“ Installationen stellen die bekannte Umgebung schnelle und einfachen wieder her.
Noch zu lösen ist das Problem, dass Anwender ihre Umgebung bei jeder Benutzung des PC verändern: Sie erzeugen Dokumente und Daten, passen die Umgebung an ihre persönlichen Vorlieben an, erhalten E-Mails und führen täglich Aufgaben durch, die zusammengefasst ihr persönliches Benutzerprofil ergeben.
Einen PC wieder in den „bekanntermaßen guten“ Zustand zu bringen, reduziert zwar Gefahren, gleichzeitig löscht es aber auch die Konfigurationsdaten und individuellen Einstellungen des Anwenders, die er für das Arbeiten mit seinem PC benötigt. Analysten rechnen, dass es zwischen ein und zwei Tagen dauert, bis ein PC wieder in dem ehemals konfigurierten, produktiven Status ist. Drucker und Netzwerklaufwerke, Favoriten, E-Mail-Konten mit Informationen, Dateien, Einstellungen, Regeln und viele weitere Funktionalitäten müssen nach einer Neuinstallation wieder im System eingestellt werden.
Um die vielen individuellen Einstellungen des Anwenders im Rahmen einer Neuinstallation ohne nachträgliche manuelle Schritte beizubehalten, existieren Software-Tools wie beispielsweise „DX-Union Migration powered by Tranxition“ von Materna. Diese Tools erhalten, schützen und transportieren die Benutzer-Einstellungen und Schlüsseldaten, das „Profil“ des Anwenders. Sie sichern und bewahren den bekannten Inhalt sowie die Einstellungen, die Administratoren vorgenommen haben.
Die Software weiß, wo diese Einstellungen abgelegt sind und bietet leistungsfähige Datei- und Einstellungsregeln, die Systemverwalter lediglich einmal zentral definieren und dann allen PCs zuweisen können. Gute Software erlaubt, die zu sichernden Daten granular zu spezifizieren. Dies verhindert ein Verschmutzen des Systems nach dem erneuten Einspielen der Daten und Neuinstallationen können regelmäßig erfolgen, ohne die Anwenderproduktivität zu verringern.
Der Prozess läuft dabei wie folgt ab: Die Migrations-Software wird auf den Systemen installiert. Das erlaubt, in regelmäßigen Abständen Benutzerprofile zu extrahieren und sie auf gültige Richtlinien zu prüfen. Steht nach einem festgelegten Intervall die Neuausstattung eines PCs an, wird das jeweils letzte Profil eingespielt.
Dieser Prozess funktioniert ebenfalls, wenn ein infiziertes System wiederhergestellt werden muss. Hierzu analysiert der Administrator alle gespeicherten Profile, sortiert Eindringlinge aus und spielt nur die einwandfreien Dateien wieder in das System.
Christian Hanisch ist Berater bei der Materna GmbH.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004115)
