Kampf gegen Malware: Was bringen Nutzereinschränkungen?

Bei jeglicher Diskussion um Antimalwarelösungen muss beachtet werden, dass damit nur „Massenmalware“ gefunden wird. Firmen besitzen oft vertrauliche Daten, auf die sich ein Angriff mit individuell erstellter Malware lohnt.

Ein Antivirenprogramm mit seinen Signaturen kann ein solches Programm nicht aufspüren. Firewalls helfen gegen den direkten Angriff von außen. Individuelle Malware, die versehentlich oder absichtlich ins Unternehmensnetz geschleust wurde, kann jedoch über HTTP-Port 80 Daten nach außen transportieren.

Nur wenige Fälle von Datendiebstahl, wie jüngst bei MTV, fallen den betroffenen Unternehmen überhaupt auf. Vielfach verschaffen sich Datendiebe den Zugang gänzlich unbemerkt.

Ein neuer Trend zur Bekämpfung von absichtlichen oder versehentlichen Datenlecks für Unternehmen heißt DLP, wobei die Abkürzung je nach Hersteller für Data Loss Prevention oder Data Leakage Prevention steht.

Beispielsweise Trend Micro und Utimaco, versuchen DLP-Produkte in den Markt zu bringen. Doch eine nähere Betrachtung zeigt, dass sich diese Produkte zwar durch weitere Beschränkungen für Benutzer bemerkbar machen, jedoch dem professionellen Datendiebstahl keinerlei Einhalt gebieten können.

Administratoren können damit bestimmte Dokumente als vertraulich kennzeichnen. Durch Fingerprint-Algorithmen werden Dokumente auch dann erkannt, wenn sie im Wortlaut verändert werden. Auch die Erkennung bestimmter Stichworte ist möglich. Solche Dokumente können weder auf Diskette oder USB-Stick gespeichert noch per FTP, HTTP oder E-Mail versandt werden.

Keinen Schutz gibt es hingegen gegen das Brennen auf CD oder DVD. Ebenso ist die Software machtlos gegen Programme, die eine eigene TCP-Verbindung zu einem externen Server oder einem mitgebrachten privaten Laptop beziehungsweise Pocket-PC aufbauen. Von dem Privatgerät ist der Weg zum USB-Stick wieder offen.

Die genannten Wege sind nicht etwa unter Releasedruck in die nächste Version verlegt worden, sondern es ist schlicht und einfach nicht möglich, sie zu implementieren. Ein Kopieren auf andere Laufwerke oder der Versand per E-Mail wird normalerweise per Standard-API realisiert, das die DLP-Lösung abfangen kann.

Verwendet ein Programm einfach das API zum Öffnen einer Datei und liest den Inhalt in den Hauptspeicher, so kann die DLP-Lösung nicht entscheiden, was das Programm damit macht. Zwischen „normalen Arbeiten“ und „Herausschmuggeln“ kann nicht mehr unterschieden werden.

Themenseiten: Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Kampf gegen Malware: Was bringen Nutzereinschränkungen?

Kommentar hinzufügen
  • Am 22. September 2008 um 8:38 von kepawo

    SPAM erlaubt?
    Ich dachte, spammen wäre in der BRD und auch in der EU verboten!?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *