Application Whitelisting als Alternative

Man mag geneigt sein, hier dem Nutzer die Schuld zu geben und auf bessere Nutzerbildung und Schulungen zu setzen. Doch auch das sehen viele Sicherheitsfachleute nicht ohne Grund kritisch. Bruce Schneier hat hierzu kürzlich einen bemerkenswerten Blogkommentar mit dem Titel "Stop Trying to Fix the User" ("Hört auf zu versuchen, die Nutzer zu reparieren") geschrieben.

Stellenmarkt
  1. Specialist HR Processes & Systems (m/w/d) - SAP SuccessFactors
    VTG Aktiengesellschaft, Hamburg
  2. Test Engineer Application (m/w/d)
    QUNDIS GmbH, Erfurt
Detailsuche

Viel besser wäre es, Systeme zu entwickeln, bei denen ein Nutzer schlicht nicht versehentlich auf einen Mailanhang klicken und diesen ausführen kann. Eine mögliche Alternative zu Antivirenprogrammen ist das sogenannte Application Whitelisting. Die Idee dabei: Das System kennt eine begrenzte Zahl von Applikationen, die auf einem System ausgeführt werden dürfen. Bei einem Klick auf eine Applikation, die nicht erlaubt ist, blockiert das System die Ausführung.

Microsofts Applocker bisher nur für Enterprise-Kunden

Das mag sich zunächst ähnlich wie ein Antivirenprogramm mit Signaturen anhören, es gibt aber einen wichtigen Unterschied: Statt eine potenziell unendlich große Liste von bösartigen Programmen zu identifizieren, nutzt man kleine Whitelists von guten Programmen, die auf einem System legitim installiert sind. Alles, was nicht in der Whitelist ist, darf nicht gestartet werden. Ganz praktisch kann man Application Whitelisting in Firmenumgebungen bei Windows-Rechnern als Administrator netzwerkweit mittels der Funktion Applocker konfigurieren.

Leider ist Applocker in den Windows-Versionen für Endanwender nicht vorgesehen. Als Workaround lässt sich jedoch die Family-Safety-Funktion nutzen. Die ist eigentlich als Kindersicherungsfunktion vorgesehen, macht im Grunde nichts anderes und ermöglicht es, eine Liste von erlaubten Programmen zu definieren. Sie kann auch Erwachsene davor schützen, versehentlich bösartige Software auszuführen, indem man alltägliche Aufgaben wie E-Mails lesen und im Netz browsen in einem eingeschränkten Account durchführt.

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    25./26.08.2022, Virtuell
  2. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    19.10.2022, virtuell
Weitere IT-Trainings

Ideal ist das alles bisher nicht und es wäre sicher wünschenswert, Application Whitelisting auf Systemen einfacher verfügbar zu machen und nicht nur als Enterprise-Feature anzubieten. Solange keine Zero-Day-Lücken zum Einsatz kommen, ist der Schutz in Kombination mit regelmäßigen Updates komplett: Application Whitelisting verhindert die Ausführung von bösartiger fremder Software, und regelmäßige Updates sorgen dafür, dass bekannte Sicherheitslücken geschlossen werden.

Für Anwender, für die Application Whitelisting nicht praktikabel ist, übrigens noch ein Tipp: Das bei Windows selbst mitgelieferte Windows Defender gilt generell als weniger schlimm in Sachen Sicherheitslücken als andere Antivirenlösungen.

Ansätze in Richtung Application Whitelisting bergen eine ganz anders gelagerte Gefahr, die nur indirekt etwas mit Sicherheit zu tun hat: geschlossene Systeme, in denen der Nutzer nicht mehr die Hoheit hat. Ein typisches Beispiel sind etwa die iPhones und iPads von Apple. In gewisser Weise nutzen die ebenfalls eine Form von Application Whitelisting: Apps dürfen nur aus dem offiziellen Apple Store installiert werden. Der Nutzer wird entmündigt und darf nicht mehr selbst entscheiden, was er auf seinem System installiert.

Doch so problematisch diese Entwicklungen sind: Sie sprechen nicht grundsätzlich gegen Application Whitelisting. Es spricht nichts dagegen, dass Nutzer im Normalfall nur bestimmte Anwendungen ausführen können, es aber immer für den Besitzer eines Geräts - jedoch nicht notwendigerweise für den Benutzer - einen Mechanismus gibt, dies auch zu umgehen und andere Software zu installieren.

Fazit

Antivirenprogramme gelten für viele unbedarfte Nutzer als unverzichtbares Sicherheitsfeature. Doch die Antivirenbranche produziert selbst einen ganzen Haufen an Sicherheitsproblemen. Dass es bislang keine größeren Malware-Fluten gab, die diese Sicherheitslücken ausnutzen, ist fast schon eine Überraschung.

Im Vergleich zu Browsern betreiben Hersteller von Antivirensoftware oft ein geradezu katastrophales Sicherheitsmanagement. Beim Einsatz von Sicherheitsmechanismen ist die Antivirenbranche weit hinterher. Tavis Ormandy wies immer wieder darauf hin, dass bislang kein einziges Antivirenprogramm eine Sandbox nutzt. Es gibt oft von Antivirenherstellern keine Bug Bounties für Sicherheitsforscher - dafür aber manchmal juristische Klagen. Das Parsen von komplexen Dateiformaten ist fehleranfällig und die Malware-Erkennung oft in Konflikt mit anderen, vielversprechenderen Sicherheitsmechanismen. Generell hat der Ansatz, Malware automatisiert zu erkennen, theoretische Grenzen und ist angesichts der Fülle an neuer Malware eigentlich längst überholt.

Auf der vergangenen Black-Hat-Konferenz warb Palo Alto Networks mit dem interessanten Motto "Protect yourself from Antivirus". Allerdings handelt es sich auch dabei weniger um eine echte Abkehr, sondern eher um kreative Umbenennung und Werbung für "bessere" Antivirensoftware. Wie sicher die Produkte von Palo Alto Networks sind, dazu hat - wie üblich - Ormandy etwas beizutragen. "Antivirensoftware ist tot", erklärte ausgerechnet Symantec bereits vor zwei Jahren. Die darauf folgende Einstellung des Verkaufs von Norton Antivirus hat bislang nicht stattgefunden.

Kevin Walker von der Firma Juniper sagte auf der vergangenen IETF-Konferenz: "Antiviren sind tot, sie haben es nur noch nicht bemerkt". Von Junipers ganz eigenen Sicherheitsproblemen abgesehen - solche und ähnliche Äußerungen zeigen, dass viele in der Branche eigentlich wissen, dass sie falsche Lösungen verkaufen. Allerdings verkaufen sie sich wohl zu gut, um damit aufzuhören.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Regelmäßige Updates sind die wichtigste Verteidigung
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anonymer Nutzer 07. Aug 2019

Wo kann man so n Glas voll Öl mit 'ner Schlange kaufen? Das würd' ich mir auf den...

Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...



Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. Maps: Google bringt kraftstoffsparende Routen nach Deutschland
    Maps
    Google bringt kraftstoffsparende Routen nach Deutschland

    In Nordamerika verwendetet Google bereits kraftstoffsparende Routen - die Funktion wurde für den deutschen Markt angepasst.

  2. Antimaterie: Antiprotonen in supraflüssigem Helium gefangen
    Antimaterie
    Antiprotonen in supraflüssigem Helium gefangen

    Forscher haben Antiprotonen in supraflüssigem Helium eingefangen und spektroskopisch untersucht. Das ermöglicht neue Untersuchungen an exotischen Atomen.
    Ein Bericht von Dirk Eidemüller

  3. LG: 2,4 Meter großer OLED-Fernseher vibriert für 5.1-Sound
    LG
    2,4 Meter großer OLED-Fernseher vibriert für 5.1-Sound

    Statt Lautsprechern verwendet LGs 97-Zoll-Display das eigene Panel als Membran. Die Technik soll 5.1-Sound simulieren können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • ebay Re-Store -50% • AVM Fritz-Box günstig wie nie • Hisense TVs günstiger • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs bis -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /