Abo
  • Services:

Application Whitelisting als Alternative

Man mag geneigt sein, hier dem Nutzer die Schuld zu geben und auf bessere Nutzerbildung und Schulungen zu setzen. Doch auch das sehen viele Sicherheitsfachleute nicht ohne Grund kritisch. Bruce Schneier hat hierzu kürzlich einen bemerkenswerten Blogkommentar mit dem Titel "Stop Trying to Fix the User" ("Hört auf zu versuchen, die Nutzer zu reparieren") geschrieben.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. ETAS GmbH, Stuttgart

Viel besser wäre es, Systeme zu entwickeln, bei denen ein Nutzer schlicht nicht versehentlich auf einen Mailanhang klicken und diesen ausführen kann. Eine mögliche Alternative zu Antivirenprogrammen ist das sogenannte Application Whitelisting. Die Idee dabei: Das System kennt eine begrenzte Zahl von Applikationen, die auf einem System ausgeführt werden dürfen. Bei einem Klick auf eine Applikation, die nicht erlaubt ist, blockiert das System die Ausführung.

Microsofts Applocker bisher nur für Enterprise-Kunden

Das mag sich zunächst ähnlich wie ein Antivirenprogramm mit Signaturen anhören, es gibt aber einen wichtigen Unterschied: Statt eine potenziell unendlich große Liste von bösartigen Programmen zu identifizieren, nutzt man kleine Whitelists von guten Programmen, die auf einem System legitim installiert sind. Alles, was nicht in der Whitelist ist, darf nicht gestartet werden. Ganz praktisch kann man Application Whitelisting in Firmenumgebungen bei Windows-Rechnern als Administrator netzwerkweit mittels der Funktion Applocker konfigurieren.

Leider ist Applocker in den Windows-Versionen für Endanwender nicht vorgesehen. Als Workaround lässt sich jedoch die Family-Safety-Funktion nutzen. Die ist eigentlich als Kindersicherungsfunktion vorgesehen, macht im Grunde nichts anderes und ermöglicht es, eine Liste von erlaubten Programmen zu definieren. Sie kann auch Erwachsene davor schützen, versehentlich bösartige Software auszuführen, indem man alltägliche Aufgaben wie E-Mails lesen und im Netz browsen in einem eingeschränkten Account durchführt.

Ideal ist das alles bisher nicht und es wäre sicher wünschenswert, Application Whitelisting auf Systemen einfacher verfügbar zu machen und nicht nur als Enterprise-Feature anzubieten. Solange keine Zero-Day-Lücken zum Einsatz kommen, ist der Schutz in Kombination mit regelmäßigen Updates komplett: Application Whitelisting verhindert die Ausführung von bösartiger fremder Software, und regelmäßige Updates sorgen dafür, dass bekannte Sicherheitslücken geschlossen werden.

Für Anwender, für die Application Whitelisting nicht praktikabel ist, übrigens noch ein Tipp: Das bei Windows selbst mitgelieferte Windows Defender gilt generell als weniger schlimm in Sachen Sicherheitslücken als andere Antivirenlösungen.

Ansätze in Richtung Application Whitelisting bergen eine ganz anders gelagerte Gefahr, die nur indirekt etwas mit Sicherheit zu tun hat: geschlossene Systeme, in denen der Nutzer nicht mehr die Hoheit hat. Ein typisches Beispiel sind etwa die iPhones und iPads von Apple. In gewisser Weise nutzen die ebenfalls eine Form von Application Whitelisting: Apps dürfen nur aus dem offiziellen Apple Store installiert werden. Der Nutzer wird entmündigt und darf nicht mehr selbst entscheiden, was er auf seinem System installiert.

Doch so problematisch diese Entwicklungen sind: Sie sprechen nicht grundsätzlich gegen Application Whitelisting. Es spricht nichts dagegen, dass Nutzer im Normalfall nur bestimmte Anwendungen ausführen können, es aber immer für den Besitzer eines Geräts - jedoch nicht notwendigerweise für den Benutzer - einen Mechanismus gibt, dies auch zu umgehen und andere Software zu installieren.

Fazit

Antivirenprogramme gelten für viele unbedarfte Nutzer als unverzichtbares Sicherheitsfeature. Doch die Antivirenbranche produziert selbst einen ganzen Haufen an Sicherheitsproblemen. Dass es bislang keine größeren Malware-Fluten gab, die diese Sicherheitslücken ausnutzen, ist fast schon eine Überraschung.

Im Vergleich zu Browsern betreiben Hersteller von Antivirensoftware oft ein geradezu katastrophales Sicherheitsmanagement. Beim Einsatz von Sicherheitsmechanismen ist die Antivirenbranche weit hinterher. Tavis Ormandy wies immer wieder darauf hin, dass bislang kein einziges Antivirenprogramm eine Sandbox nutzt. Es gibt oft von Antivirenherstellern keine Bug Bounties für Sicherheitsforscher - dafür aber manchmal juristische Klagen. Das Parsen von komplexen Dateiformaten ist fehleranfällig und die Malware-Erkennung oft in Konflikt mit anderen, vielversprechenderen Sicherheitsmechanismen. Generell hat der Ansatz, Malware automatisiert zu erkennen, theoretische Grenzen und ist angesichts der Fülle an neuer Malware eigentlich längst überholt.

Auf der vergangenen Black-Hat-Konferenz warb Palo Alto Networks mit dem interessanten Motto "Protect yourself from Antivirus". Allerdings handelt es sich auch dabei weniger um eine echte Abkehr, sondern eher um kreative Umbenennung und Werbung für "bessere" Antivirensoftware. Wie sicher die Produkte von Palo Alto Networks sind, dazu hat - wie üblich - Ormandy etwas beizutragen. "Antivirensoftware ist tot", erklärte ausgerechnet Symantec bereits vor zwei Jahren. Die darauf folgende Einstellung des Verkaufs von Norton Antivirus hat bislang nicht stattgefunden.

Kevin Walker von der Firma Juniper sagte auf der vergangenen IETF-Konferenz: "Antiviren sind tot, sie haben es nur noch nicht bemerkt". Von Junipers ganz eigenen Sicherheitsproblemen abgesehen - solche und ähnliche Äußerungen zeigen, dass viele in der Branche eigentlich wissen, dass sie falsche Lösungen verkaufen. Allerdings verkaufen sie sich wohl zu gut, um damit aufzuhören.

 Regelmäßige Updates sind die wichtigste Verteidigung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (2 Monate Sky Ticket für nur 4,99€)

Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...

elcaron 28. Sep 2017

Ich habe noch nie einen Online-Virenscanner benutzt (sondern nur c't desinfec't Scanner...

helgebruhn 02. Jan 2017

Selbst wenn, lieber 60% dank Virenscanner, als 0% ohne oder? :) 100% sicher ist nur...


Folgen Sie uns
       


Golem.de ist Kratos - God of War (Live, keine Spoiler)

Die Handlung verraten wir nicht, trotzdem wollen wir das andersartige neue God of War besprechen. Zu diesem Zweck haben wir eine stellvertretende Mission herausgesucht, in der es nicht um die primäre Handlung geht. Ziel ist es, den Open-World-Ansatz zu zeigen, das Kampfsystem zu erklären und die Spielmechaniken zu verdeutlichen.

Golem.de ist Kratos - God of War (Live, keine Spoiler) Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

    •  /