Abo
  • IT-Karriere:

Application Whitelisting als Alternative

Man mag geneigt sein, hier dem Nutzer die Schuld zu geben und auf bessere Nutzerbildung und Schulungen zu setzen. Doch auch das sehen viele Sicherheitsfachleute nicht ohne Grund kritisch. Bruce Schneier hat hierzu kürzlich einen bemerkenswerten Blogkommentar mit dem Titel "Stop Trying to Fix the User" ("Hört auf zu versuchen, die Nutzer zu reparieren") geschrieben.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Landkreis Märkisch-Oderland, Seelow

Viel besser wäre es, Systeme zu entwickeln, bei denen ein Nutzer schlicht nicht versehentlich auf einen Mailanhang klicken und diesen ausführen kann. Eine mögliche Alternative zu Antivirenprogrammen ist das sogenannte Application Whitelisting. Die Idee dabei: Das System kennt eine begrenzte Zahl von Applikationen, die auf einem System ausgeführt werden dürfen. Bei einem Klick auf eine Applikation, die nicht erlaubt ist, blockiert das System die Ausführung.

Microsofts Applocker bisher nur für Enterprise-Kunden

Das mag sich zunächst ähnlich wie ein Antivirenprogramm mit Signaturen anhören, es gibt aber einen wichtigen Unterschied: Statt eine potenziell unendlich große Liste von bösartigen Programmen zu identifizieren, nutzt man kleine Whitelists von guten Programmen, die auf einem System legitim installiert sind. Alles, was nicht in der Whitelist ist, darf nicht gestartet werden. Ganz praktisch kann man Application Whitelisting in Firmenumgebungen bei Windows-Rechnern als Administrator netzwerkweit mittels der Funktion Applocker konfigurieren.

Leider ist Applocker in den Windows-Versionen für Endanwender nicht vorgesehen. Als Workaround lässt sich jedoch die Family-Safety-Funktion nutzen. Die ist eigentlich als Kindersicherungsfunktion vorgesehen, macht im Grunde nichts anderes und ermöglicht es, eine Liste von erlaubten Programmen zu definieren. Sie kann auch Erwachsene davor schützen, versehentlich bösartige Software auszuführen, indem man alltägliche Aufgaben wie E-Mails lesen und im Netz browsen in einem eingeschränkten Account durchführt.

Ideal ist das alles bisher nicht und es wäre sicher wünschenswert, Application Whitelisting auf Systemen einfacher verfügbar zu machen und nicht nur als Enterprise-Feature anzubieten. Solange keine Zero-Day-Lücken zum Einsatz kommen, ist der Schutz in Kombination mit regelmäßigen Updates komplett: Application Whitelisting verhindert die Ausführung von bösartiger fremder Software, und regelmäßige Updates sorgen dafür, dass bekannte Sicherheitslücken geschlossen werden.

Für Anwender, für die Application Whitelisting nicht praktikabel ist, übrigens noch ein Tipp: Das bei Windows selbst mitgelieferte Windows Defender gilt generell als weniger schlimm in Sachen Sicherheitslücken als andere Antivirenlösungen.

Ansätze in Richtung Application Whitelisting bergen eine ganz anders gelagerte Gefahr, die nur indirekt etwas mit Sicherheit zu tun hat: geschlossene Systeme, in denen der Nutzer nicht mehr die Hoheit hat. Ein typisches Beispiel sind etwa die iPhones und iPads von Apple. In gewisser Weise nutzen die ebenfalls eine Form von Application Whitelisting: Apps dürfen nur aus dem offiziellen Apple Store installiert werden. Der Nutzer wird entmündigt und darf nicht mehr selbst entscheiden, was er auf seinem System installiert.

Doch so problematisch diese Entwicklungen sind: Sie sprechen nicht grundsätzlich gegen Application Whitelisting. Es spricht nichts dagegen, dass Nutzer im Normalfall nur bestimmte Anwendungen ausführen können, es aber immer für den Besitzer eines Geräts - jedoch nicht notwendigerweise für den Benutzer - einen Mechanismus gibt, dies auch zu umgehen und andere Software zu installieren.

Fazit

Antivirenprogramme gelten für viele unbedarfte Nutzer als unverzichtbares Sicherheitsfeature. Doch die Antivirenbranche produziert selbst einen ganzen Haufen an Sicherheitsproblemen. Dass es bislang keine größeren Malware-Fluten gab, die diese Sicherheitslücken ausnutzen, ist fast schon eine Überraschung.

Im Vergleich zu Browsern betreiben Hersteller von Antivirensoftware oft ein geradezu katastrophales Sicherheitsmanagement. Beim Einsatz von Sicherheitsmechanismen ist die Antivirenbranche weit hinterher. Tavis Ormandy wies immer wieder darauf hin, dass bislang kein einziges Antivirenprogramm eine Sandbox nutzt. Es gibt oft von Antivirenherstellern keine Bug Bounties für Sicherheitsforscher - dafür aber manchmal juristische Klagen. Das Parsen von komplexen Dateiformaten ist fehleranfällig und die Malware-Erkennung oft in Konflikt mit anderen, vielversprechenderen Sicherheitsmechanismen. Generell hat der Ansatz, Malware automatisiert zu erkennen, theoretische Grenzen und ist angesichts der Fülle an neuer Malware eigentlich längst überholt.

Auf der vergangenen Black-Hat-Konferenz warb Palo Alto Networks mit dem interessanten Motto "Protect yourself from Antivirus". Allerdings handelt es sich auch dabei weniger um eine echte Abkehr, sondern eher um kreative Umbenennung und Werbung für "bessere" Antivirensoftware. Wie sicher die Produkte von Palo Alto Networks sind, dazu hat - wie üblich - Ormandy etwas beizutragen. "Antivirensoftware ist tot", erklärte ausgerechnet Symantec bereits vor zwei Jahren. Die darauf folgende Einstellung des Verkaufs von Norton Antivirus hat bislang nicht stattgefunden.

Kevin Walker von der Firma Juniper sagte auf der vergangenen IETF-Konferenz: "Antiviren sind tot, sie haben es nur noch nicht bemerkt". Von Junipers ganz eigenen Sicherheitsproblemen abgesehen - solche und ähnliche Äußerungen zeigen, dass viele in der Branche eigentlich wissen, dass sie falsche Lösungen verkaufen. Allerdings verkaufen sie sich wohl zu gut, um damit aufzuhören.

 Regelmäßige Updates sind die wichtigste Verteidigung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Top-Angebote
  1. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  2. 349,99€
  3. 229,99€
  4. 43,99€ (Bestpreis!)

Bradolan 07. Aug 2019

Wo kann man so n Glas voll Öl mit 'ner Schlange kaufen? Das würd' ich mir auf den...

Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...

elcaron 28. Sep 2017

Ich habe noch nie einen Online-Virenscanner benutzt (sondern nur c't desinfec't Scanner...


Folgen Sie uns
       


Samsung Galaxy Fold - Hands on (Ifa 2019)

Das Galaxy Fold scheint gerettet: Samsungs Verbesserungen zahlen sich aus, wie unser erster Test des Gerätes zeigt.

Samsung Galaxy Fold - Hands on (Ifa 2019) Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /