Sicherheit im Netz

Das Internet wird nervös - und sicher

Von Peter Welchering
16.07.2012
, 15:15
Auf die Suche gegangen
Das Netz ist ein gefährlicher Ort. Um es sicherer zu machen, wollen Computerexperten das menschliche Nervensystem imitieren. Millionen Sensoren sollen sich auf die Suche nach schädlicher Software machen.
ANZEIGE

Die Leitwarten der Sicherheitsunternehmen und Antivirenhersteller lassen allesamt bei ihren Besuchern das Gefühl aufkommen, als seien sie im Kontrollraum eines Raumschiffes gelandet. Egal, ob man das Virenlabor des russischen Spezialisten Kaspersky in Moskau besucht, die Überwachungszentrale der X-Force genannten Sicherheitstruppe der IBM in Kassel oder die entsprechende Abteilung im Forschungslabor von Hewlett-Packard im englischen Bristol: An der Frontseite der jeweils im Halbrund oder elliptisch angeordneten Arbeitstische ist das große Display mit der Weltkarte. Hier kann der aktuelle Sicherheitszustand des Netzes abgelesen werden. Denn einige hundert Punkte zeigen, wo auf der Welt gerade Dateien mit Schadsoftware im Netz unterwegs sind.

ANZEIGE

Nicht nur das Mobiliar der Überwachungszentralen ähnelt sich, auch die eingesetzten Sicherheitssysteme arbeiten mit vergleichbaren Methoden. Virtuelle Netzpolizisten schauen im Web nach dem Rechten. „Wir setzen dieselbe Suchtechnik ein wie Google & Co“, berichtet Carsten Dietrich, Deutschland-Chef der X-Force von IBM.

15 Millionen Sensoren im Einsatz

Sogenannte Suchroboter oder Crawler besuchen Websites und Server, lesen die Inhalte aus und analysieren Dateien auf riskanten Gehalt. „Da kann es sich um Kinderpornographie handeln, aber auch um Schadsoftware“, erläutert Dietrich. Täglich werten die Kasseler Experten rund sechs Millionen Server aus. Beim Konkurrenten Symantec kommen die Profis auf ähnliche Zahlen. Sie arbeiten ebenfalls mit äußerst effizienter Suchtechnik, die sie von bestimmten Netzpunkten - Sensoren genannt - losschicken. „Insgesamt haben wir 15 Millionen Sensoren ständig im Einsatz“, erklärt Alexander Peters von Symantec: „Bei Bedarf können wir in Krisensituationen auf bis zu 150 Millionen erweitern.“

Von diesen Sensoren oder Endpunkten starten die Suchroboter, und sie erhalten auch die ersten Suchergebnisse, verdächtige Dateien, die dann weiter analysiert werden. „Das ist vergleichbar mit Sensoren, die den Druck oder Temperaturen messen“, erläutert Chefanalyst Richard Brown aus dem HP-Forschungslabor in Bristol, „nur dass sie statt der Temperaturwerte Werte für die Gefährlichkeit von schädlichen Mustern weitergeben“.

In einer ersten groben Analyse werden Dateien auf den Servern nach sogenannten Schad-Signaturen untersucht. „Das sind Muster im Dateiaufbau, die einen Virus oder andere Schadsoftware verraten“, berichtet Boris Jembolzky, Chef des Moskauer Virenlabors von Kaspersky. „Google erstellt von den untersuchten Dateien einen Volltextindex für die Suche, wir erstellen einen Schadindex“, vergleicht X-Force Chef Dietrich die Arbeitsweisen. Dabei gehen die Sicherheitsexperten ein Stück weiter als die Suchmaschinenspezialisten.

ANZEIGE

„Es reicht auf Dauer nicht mehr aus, Dateien auf Signaturen zu untersuchen oder mit einer Datenbank der bekannten Schwachstellen und Sicherheitslücken abzugleichen“, meint Alexander Peters von Symantec. Die Mustererkennungssoftware, mit der Dateien auf Schadsoftware analysiert werden, ist inzwischen ein lernendes System geworden. „Das Ganze ist durchaus vergleichbar mit dem menschlichen Nervensystem“, zeigt Richard Brown auf. Die Sensorpunkte sind die erste Instanz, an die Webcrawler und Suchroboter die Risikowerte übermitteln. Dateiaufbau, bekannte Programmiermuster für Schadsoftware, das Anspringen bestimmter Speicheradressen, die als Schwachstellen bekannt sind, und der Entstehungsort der Datei liefern die Hinweise.

ANZEIGE

Schadsoftware-Updates im Fünf-Minuten-Takt

Kann ein Risiko nicht ausgeschlossen werden, folgen weitere Analysen. „Mit speziellen Anti-Malware-Algorithmen untersuchen wir verdächtige Dateien dann genauer“, sagt Alex Gostev von Kaspersky. Diese Analysen laufen inzwischen mehr oder weniger eigenständig ab. Lediglich das komplette sogenannte „Re-Engineeren“, das Entschlüsseln des Quelltextes eines Maschinencodes bei gänzlich unbekannter neuer Software wie dem kürzlich gefundenen Spionagevirus Flame, ist den menschlichen Virenspezialisten vorbehalten. Neu gefundene Dateimuster nachgewiesener Schadsoftware werden von den Programmen für die Analyse verarbeitet. „Teilweise wird hier mit hoch entwickelten und weitgehend autonom agierenden lernenden Systemen gearbeitet“, urteilt Analyst Richard Brown. Das sei ein Trend der künftigen Sicherheitstechnik. „Wir haben es häufig mit Schadsoftware-Updates im Fünf-Minuten-Takt zu tun“, stellt Brown fest. Das kann nach seinem Dafürhalten nur noch von selbständig lernenden Sicherheitssystemen bewältigt werden.

Er vergleicht die Arbeitsweise künftiger Sicherheitssysteme gern mit biologischen Abwehrmechanismen. „Nur haben wir es hier nicht mit Eiweißstrukturen, sondern mit Dateistrukturen zu tun“, führt er den Vergleich fort. Und die Webcrawler zum Auslesen der Server will er mit Zusatzaufgaben versehen, so dass sie den weißen Blutkörperchen ähnlich werden. Mit Sensorpunkten und Webcrawlern arbeiten inzwischen alle Security-Unternehmen.

Unterschiedlich sind hingegen die dahinterliegenden Algorithmen für die Analyse verdächtiger Dateien. „Doch auch hier bilden sich zunehmend Standards heraus“, urteilt Richard Brown von HP. Lernende Systeme zählen ebenso dazu wie der automatische Scan nach Sprungadressen und Speicherstellen, hinter denen sich sogenannte Schwachstellen verbergen. „Diese lassen sich beim Programmieren von Betriebssystemen, Kommunikationsprotokollen oder Anwendungssoftware nie ganz vermeiden“, meint der Bonner Informatik-Professor Hartmut Pohl. Ein Angriffsprogramm, Fuzzer genannt, erzeugt bei der Prüfung zufällig Daten und gibt sie in das zu kontrollierende System ein. Sogenannte Monitoring-Software protokolliert anschließend das Verhalten des Zielsystems. „Die Software schaut, was das Programm macht. Bricht es zusammen? Verbraucht es plötzlich viel mehr Rechenzeit? Vielleicht steigt der Speicherdarf“, erläutert Professor Pohl die Vorgehensweise.

ANZEIGE

Kein Gegenpaar: Sicherheit und Freiheit

Das Softwareverhalten gibt also Hinweise auf Anomalien. Diese werden dann genauer untersucht und führen zu den Schwachstellen und Sicherheitslücken, die eine Angriffssoftware, wie zum Beispiel ein Computervirus, ausnutzen kann. Sind die Sicherheitslücken identifiziert, können sie zum einen rasch geschlossen werden. Zum anderen aber werden sie in die lernenden Sicherheitssysteme eingespeist, die damit Dateien auf Schadsoftware analysieren können. „So verschiebt sich alles in der Sicherheitstechnik“, meint Alexander Peters: Im Mittelpunkt stehen nämlich nicht mehr geschützte und teilweise abgeschottete Systeme, sondern der Schutz der Dateien. „Wir nennen das den informationszentrischen Ansatz, weil in den Dateien die Informationen gespeichert sind“, erklärt Peters. Um die Information schützen zu können, muss das „Nervensystem“ des Internet ständig wissen, wer welche Dateien und damit Informationen erzeugt hat, welche Struktur sie haben und welche Risiken damit verbunden sind.

„Das geht in Richtung Selbstmonitoring“, meint auch Richard Brown. Ähnlich wie ein Organismus sich selbst überwacht und zum Beispiel bei einem Virenangriff Gegenmaßnahmen einleitet, etwa Antikörper ausschüttet und die Körpertemperatur erhöht, muss das Netz-Nervensystem dank der Sensorpunkte ständig über den aktuellen Status des Netzes und die Gefahrenlage informiert sein. Erkennt das Netz-Nervensystem mit seinen unterschiedlichen Prüf- und Analyse-Algorithmen eine gefährliche Datei wie zum Beispiel einen Computervirus, müssen anderen Dateien davor geschützt werden. Der Computervirus wird analysiert und unschädlich gemacht.

Mit diesem Ansatz lässt sich ein sehr hoher Sicherheitsstandard realisieren. „Das hat nur einen Haken“, meint Daniel Pradelles, bei HP in Paris für den Datenschutz und den Schutz der Privatsphäre zuständig: Die Sicherheitssysteme haben das Internet dann völlig unter Kontrolle. Genau diese Kontrolle muss eingeschränkt werden. „Sonst schaffen wir auf Dauer Privatsphäre und Meinungsfreiheit ab“, warnt Pradelles. Es müsse sichergestellt sein, dass die Systeme zum Beispiel die eigene Analyse sofort wieder vergessen, wenn von den inspizierten Dateien keine Gefahr ausgehe. „Ein solches Vergessen können wir von biologischen Systemen lernen“, meint Richard Brown. „Erst wenn wir implementiert haben, dass das Internet vergessen kann, wird der Durchbruch zum sicheren Internet möglich“, sagt auch der Saarbrücker Sicherheitsforscher Professor Michael Backes. Einen ersten Ansatzpunkt sieht Daniel Pradelles darin, die schon existierenden Sensorpunkte nur zur Analyse einzusetzen, die Ergebnisse der Analyse aber nicht zu sichern. „Die Internetnutzer stehen vor einem bedeutenden Paradigmenwechsel in Sachen Netzsicherheit“, prognostiziert der HP-Experte und erntet damit die Zustimmung seiner Kollegen aus der gesamten Sicherheitsbranche. Denn in einem sind sich alle einig: Sicherheit und Freiheit dürfen auch im Netz kein Gegensatzpaar sein.

Quelle: F.A.S.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE