Weiterer Schutz

Mit der Kom­bi­na­ti­on klas­si­scher Fire­walls mit Net Genera­ti­on Fire­walls las­sen sich vie­le Angrif­fe erken­nen und abweh­ren. Oft­mals ist aber ein ver­meint­lich „harm­lo­ses“ Attach­ment einer E‑Mail oder eine Datei, die her­un­ter­ge­la­den wird, gefährlich.

Aktu­el­le Viren­scan­ner erken­nen bekann­ten Schad­code, von dem es inzwi­schen mehr als genug gibt. Vor­aus­set­zung ist hier, dass der Code bereits irgend­wo als schäd­lich erkannt wor­den ist. Die Zei­ten, in denen sich ein bekann­ter Wurm durch das Inter­net ver­brei­tet, sind vor­bei – neu­er Schad­code ist heu­te (spe­zi­ell bei geziel­ten Angrif­fen) Standard.

„Neu­er“ Schad­code lässt sich mit den ent­spre­chen­den Tools rela­tiv leicht gene­rie­ren. Zur Kon­trol­le kann ein Angrei­fer sei­nen „neu­en“ Code auch im Inter­net kos­ten­frei und anonym tes­ten las­sen (z.B. bei VirusTo­tal). Der Angrei­fer erhält dann eine Über­sicht, wel­che Sicher­heits-Soft­ware den Code erkennt und wel­che nicht. Ist das Ergeb­nis ent­spre­chend, kann der Schad­code ver­sandt werden.

Eini­ge Her­stel­ler prü­fen Datei­en in einer Sand­box auf deren Ver­hal­ten. Hier gibt es unter­schied­li­che tech­ni­sche Ansät­ze. Grund­sätz­lich wird hier das Doku­ment (z.B. PDF) in einer vir­tu­el­len Umge­bung aus­ge­führt und des­sen Ver­hal­ten stu­diert. Ist dies ver­däch­tig, wird die Wei­ter­lei­tung der Datei unter­bun­den. Hier gibt es der­zeit einen Wett­lauf zwi­schen den Her­stel­lern von Schad­code und den Her­stel­lern von Sicher­heits­pro­duk­ten um eine sog. „Evas­i­on“ zu errei­chen bzw. zu verhindern.

Wir arbei­ten mit unter­schied­li­chen Her­stel­lern zusam­men, die eine sol­che Unter­su­chung bie­ten. Sie kann in der Cloud oder lokal durch­ge­führt wer­den. Neben der auto­ma­ti­schen Prü­fung besteht auch die Opti­on, dass Benut­zer ihnen ver­däch­ti­ge Datei­en manu­ell zur wei­te­ren Unter­su­chung übertragen.

Nach­dem die Aus­füh­rung von Datei­en, auch in ver­schie­de­nen Umge­bun­gen, Zeit kos­tet, bie­tet Check Point die Opti­on der „Thre­at Extrac­tion“ an. Hier wer­den die Doku­men­te in eine neue Datei über­tra­gen, wobei poten­zi­ell gefähr­li­che Inhal­te nicht kopiert wer­den. Der Benut­zer erhält also das (gerei­nig­te) Doku­ment qua­si sofort. Soll­te die Prü­fung erge­ben, dass das Doku­ment harm­los ist, kann der Benut­zer es spä­ter im Ori­gi­nal herunterladen.