Abo
  • Services:

Application Whitelisting als Alternative

Man mag geneigt sein, hier dem Nutzer die Schuld zu geben und auf bessere Nutzerbildung und Schulungen zu setzen. Doch auch das sehen viele Sicherheitsfachleute nicht ohne Grund kritisch. Bruce Schneier hat hierzu kürzlich einen bemerkenswerten Blogkommentar mit dem Titel "Stop Trying to Fix the User" ("Hört auf zu versuchen, die Nutzer zu reparieren") geschrieben.

Stellenmarkt
  1. Universitätsmedizin Göttingen, Göttingen
  2. Ipsos GmbH, Nürnberg

Viel besser wäre es, Systeme zu entwickeln, bei denen ein Nutzer schlicht nicht versehentlich auf einen Mailanhang klicken und diesen ausführen kann. Eine mögliche Alternative zu Antivirenprogrammen ist das sogenannte Application Whitelisting. Die Idee dabei: Das System kennt eine begrenzte Zahl von Applikationen, die auf einem System ausgeführt werden dürfen. Bei einem Klick auf eine Applikation, die nicht erlaubt ist, blockiert das System die Ausführung.

Microsofts Applocker bisher nur für Enterprise-Kunden

Das mag sich zunächst ähnlich wie ein Antivirenprogramm mit Signaturen anhören, es gibt aber einen wichtigen Unterschied: Statt eine potenziell unendlich große Liste von bösartigen Programmen zu identifizieren, nutzt man kleine Whitelists von guten Programmen, die auf einem System legitim installiert sind. Alles, was nicht in der Whitelist ist, darf nicht gestartet werden. Ganz praktisch kann man Application Whitelisting in Firmenumgebungen bei Windows-Rechnern als Administrator netzwerkweit mittels der Funktion Applocker konfigurieren.

Leider ist Applocker in den Windows-Versionen für Endanwender nicht vorgesehen. Als Workaround lässt sich jedoch die Family-Safety-Funktion nutzen. Die ist eigentlich als Kindersicherungsfunktion vorgesehen, macht im Grunde nichts anderes und ermöglicht es, eine Liste von erlaubten Programmen zu definieren. Sie kann auch Erwachsene davor schützen, versehentlich bösartige Software auszuführen, indem man alltägliche Aufgaben wie E-Mails lesen und im Netz browsen in einem eingeschränkten Account durchführt.

Ideal ist das alles bisher nicht und es wäre sicher wünschenswert, Application Whitelisting auf Systemen einfacher verfügbar zu machen und nicht nur als Enterprise-Feature anzubieten. Solange keine Zero-Day-Lücken zum Einsatz kommen, ist der Schutz in Kombination mit regelmäßigen Updates komplett: Application Whitelisting verhindert die Ausführung von bösartiger fremder Software, und regelmäßige Updates sorgen dafür, dass bekannte Sicherheitslücken geschlossen werden.

Für Anwender, für die Application Whitelisting nicht praktikabel ist, übrigens noch ein Tipp: Das bei Windows selbst mitgelieferte Windows Defender gilt generell als weniger schlimm in Sachen Sicherheitslücken als andere Antivirenlösungen.

Ansätze in Richtung Application Whitelisting bergen eine ganz anders gelagerte Gefahr, die nur indirekt etwas mit Sicherheit zu tun hat: geschlossene Systeme, in denen der Nutzer nicht mehr die Hoheit hat. Ein typisches Beispiel sind etwa die iPhones und iPads von Apple. In gewisser Weise nutzen die ebenfalls eine Form von Application Whitelisting: Apps dürfen nur aus dem offiziellen Apple Store installiert werden. Der Nutzer wird entmündigt und darf nicht mehr selbst entscheiden, was er auf seinem System installiert.

Doch so problematisch diese Entwicklungen sind: Sie sprechen nicht grundsätzlich gegen Application Whitelisting. Es spricht nichts dagegen, dass Nutzer im Normalfall nur bestimmte Anwendungen ausführen können, es aber immer für den Besitzer eines Geräts - jedoch nicht notwendigerweise für den Benutzer - einen Mechanismus gibt, dies auch zu umgehen und andere Software zu installieren.

Fazit

Antivirenprogramme gelten für viele unbedarfte Nutzer als unverzichtbares Sicherheitsfeature. Doch die Antivirenbranche produziert selbst einen ganzen Haufen an Sicherheitsproblemen. Dass es bislang keine größeren Malware-Fluten gab, die diese Sicherheitslücken ausnutzen, ist fast schon eine Überraschung.

Im Vergleich zu Browsern betreiben Hersteller von Antivirensoftware oft ein geradezu katastrophales Sicherheitsmanagement. Beim Einsatz von Sicherheitsmechanismen ist die Antivirenbranche weit hinterher. Tavis Ormandy wies immer wieder darauf hin, dass bislang kein einziges Antivirenprogramm eine Sandbox nutzt. Es gibt oft von Antivirenherstellern keine Bug Bounties für Sicherheitsforscher - dafür aber manchmal juristische Klagen. Das Parsen von komplexen Dateiformaten ist fehleranfällig und die Malware-Erkennung oft in Konflikt mit anderen, vielversprechenderen Sicherheitsmechanismen. Generell hat der Ansatz, Malware automatisiert zu erkennen, theoretische Grenzen und ist angesichts der Fülle an neuer Malware eigentlich längst überholt.

Auf der vergangenen Black-Hat-Konferenz warb Palo Alto Networks mit dem interessanten Motto "Protect yourself from Antivirus". Allerdings handelt es sich auch dabei weniger um eine echte Abkehr, sondern eher um kreative Umbenennung und Werbung für "bessere" Antivirensoftware. Wie sicher die Produkte von Palo Alto Networks sind, dazu hat - wie üblich - Ormandy etwas beizutragen. "Antivirensoftware ist tot", erklärte ausgerechnet Symantec bereits vor zwei Jahren. Die darauf folgende Einstellung des Verkaufs von Norton Antivirus hat bislang nicht stattgefunden.

Kevin Walker von der Firma Juniper sagte auf der vergangenen IETF-Konferenz: "Antiviren sind tot, sie haben es nur noch nicht bemerkt". Von Junipers ganz eigenen Sicherheitsproblemen abgesehen - solche und ähnliche Äußerungen zeigen, dass viele in der Branche eigentlich wissen, dass sie falsche Lösungen verkaufen. Allerdings verkaufen sie sich wohl zu gut, um damit aufzuhören.

 Regelmäßige Updates sind die wichtigste Verteidigung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)

Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...

elcaron 28. Sep 2017

Ich habe noch nie einen Online-Virenscanner benutzt (sondern nur c't desinfec't Scanner...

helgebruhn 02. Jan 2017

Selbst wenn, lieber 60% dank Virenscanner, als 0% ohne oder? :) 100% sicher ist nur...


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek

    1. Playstation Classic im Test Sony schlampt, aber Rettung naht

      •  /