Whitelisting garantiert „Internet der sicheren Dinge“ Vertrauenswürdigkeit als Maßstab
18. Mai 2016Mehrere deutsche Universitäten wurden vor kurzem Opfer eines Hacker-Angriffs, bei dem sich die Cyberkriminellen in die Netzwerke der Hochschulen einwählten, um dann aus der Ferne deren Netzwerkdrucker anzusteuern und antisemitische Hetzschriften zu drucken. Dass diese Vorfälle auch in der breiteren Öffentlichkeit so viel Beachtung fanden, hat wohl vor allem mit dem politischen Hintergrund der Angriffe zu tun und weniger damit, dass derartige Attacken so selten vorkommen – im Gegenteil. Täglich werden Unternehmen und andere Organisationen zur Zielscheibe von Hackern. Als Gegenwehr empfiehlt sich das Whitelisting-Konzept.
Raffiniertere Malware
Ein effektiver Schutz gegen Cyberkriminalität war noch nie so wichtig wie heute. Die meisten Unternehmen setzen dafür auf Tools wie Anti-Viren-Programme. Dieser Blacklisting-Ansatz basiert auf einer im Hintergrund fortlaufend aktualisierten „schwarzen Liste“ an potenziellen Bedrohungen. Doch dieser Ansatz hat Nachteile – vor allem, wenn es um den Schutz geschäftskritischer Systeme geht. Hier erweist sich das „Whitelisting“ häufig die bessere und insgesamt sicherere Alternative.
Beispiele für solche „mission critical systems“ sind medizintechnische Geräte wie EKG-Maschinen in Kliniken, Alarm- und Sicherheitssysteme, Fertigungsroboter, aber auch Bankautomaten, Schalter für den Self-Check-In an Flughäfen oder Kassensysteme in Geschäften. Allen diesen Systemen ist gemeinsam, dass sie selten verändert werden, wenn sie einmal aufgesetzt sind, da sie sehr spezifische Aufgaben verrichten, die kaum variieren. Das macht sie einerseits anfälliger für Angriffe, denn regelmäßige Updates sind erforderlich, wenn zum Schutz vor Angriffen ein Anti-Viren-Programm eingesetzt wird; andererseits sind solche statischen Systeme einfacher zu schützen, denn sie eignen sich besonders für den Einsatz von Whitelisting-Lösungen.
Diese lassen dezidiert nur jene „VIP-Programme“ zu, die vorab als vertrauenswürdig eingestuft und entsprechend zertifiziert worden sind. Anstatt also nach den potenziellen Gefahren zu suchen, funktionieren Whitelisting-Technologien wie SE46 Software ID nach dem Ausschlussprinzip: was nicht als ungefährlich bekannt ist, wird geblockt.
Vorteil Whitelisting
Für den Schutz kritischer Systeme hat dieses Konzept eine Reihe von Vorteilen:
• Keine Störungen durch Sicherheitsupdates: Um mit der rasanten Entwicklung von Viren und anderer Malware Schritt halten zu können, müssen Systeme, die durch Anti-Viren-Programme geschützt werden, regelmäßigen Updates unterzogen werden. Bei geschäftskritischen Systemen, die permanent verfügbar sein müssen, sind solche Aktualisierungen entweder sehr kostspielig (z.B. im Falle eines Fertigungsroboters) oder schlicht nicht möglich (z.B. im Falle eines Röntgengeräts auf der Intensivstation eines Krankenhauses). Wird eine Whitelist eingesetzt, bedarf es keiner Updates, um nachhaltigen Schutz zu garantieren – egal welche Malware für einen versuchten Angriff eingesetzt wird. Unterbrechungen oder wirtschaftliche Einbußen durch Patching, also das Schließen von Sicherheitslücken durch Updates, fallen weg.
• Keine Gefahr durch unbekannte Malware: Immer mehr Hacker arbeiten mit maßgeschneiderter Schadsoftware, die ganz gezielt eingesetzt wird. Diese Angriffe sind für Anti-Viren-Programme jedoch häufig schwer zu verhindern, da die Malware meist noch unbekannt ist und deshalb unentdeckt bleibt. Gerade geschäftskritische Systeme werden jedoch häufig Ziel solcher „targeted attacks“ – sie sind also auch noch einem erhöhten Risiko ausgesetzt. Die Folgen erfolgreicher Angriffe können bekanntlich dramatisch sein. Whitelisting-Lösungen lassen nur die Programme überhaupt starten, die zuvor explizit als ungefährlich eingestuft worden sind. Auch unbekannte Schadprogramme stellen deshalb keine Gefahr dar, da sie wie jedes andere Programm, das nicht auf der „weißen Liste“ steht, automatisch geblockt werden.
• Keine Verbindung mit externen Anbietern nötig: Jede Sekunde werden zahlreiche neue Viren und andere Malware in Umlauf gebracht. Um zu jedem Zeitpunkt gegen diese Bedrohungen gewappnet zu sein, müssen Systeme, die mit Anti-Viren-Programmen geschützt werden, permanent mit dem Betreiber der dahinterstehenden Blacklist in Verbindung stehen. Nur so sind sie immer auf dem neuesten Stand und gegen die bekannten Schadprogramme gerüstet. Gerade bei kritischen Systemen ist eine solche Verbindung mit einem externen Anbieter, die in der Regel über das Internet erfolgt, jedoch häufig nicht wünschenswert – beispielsweise im Fall eines Röntgengeräts, über das sensible Patientendaten laufen. Whitelisting-Lösungen benötigen diese Anbindung nicht, sondern funktionieren autark: Ist einmal eine Whitelist definiert, ist das System effektiv geschützt.
• Kein Abzug wertvoller Ressourcen: Anti-Viren-Programme sind ressourcenaufwändig, denn sie kosten Zeit und ziehen Energie. Zusätzlich zu ihren eigentlichen Aufgaben müssen die so geschützten Systeme ja permanent nach schädlichen Programmen suchen und diese abwehren. Darüber hinaus nehmen Anti-Viren-Programme vergleichsweise viel Speicherplatz weg, was sich ebenfalls negativ auf die Leistung des Systems auswirkt. Im Gegensatz dazu sind Whitelisting-Programme nicht nur extrem klein, sondern haben darüber hinaus auch einen minimalen Einfluss auf das System, das sie schützen. Wertvolle Ressourcen werden also nicht für den Schutz des Systems vor Malware abgezogen und können dementsprechend zweckgebunden eingesetzt werden.
• Keine Probleme mit Garantiebedingungen und Compliance: Anti-Viren-Programme sind mit den Garantiebedingungen von Herstellern oder anderen Compliance-Anforderungen häufig nicht vereinbar, da ihre Installation und nachfolgende Updates eine Veränderung am Originalsystem darstellen. Insbesondere bei sehr teuren Maschinen ist das problematisch. Eine Whitelist der zugelassenen Programme und Anwendungen wird vor der Inbetriebnahme des Systems angelegt und in der Regel nicht mehr verändert. Compliance-Konflikte durch zukünftige Updates werden so erst gar nicht zum Problem.
Internet der sicheren Dinge
Für den Schutz geschäftskritischer Systeme sind Whitelisting-Lösungen häufig die bessere Wahl, da sie – einmal aufgesetzt – keinen weiteren Aufwand erfordern, auch durch unbekannte Malware nicht kompromittiert werden können, nicht über das zu schützende System hinaus mit einem externen Betreiber kommunizieren müssen und die Performance eines Systems kaum einschränken. Und auch im Hinblick auf Garantie und Compliance sind Unternehmen mit Whitelisting auf der sicheren Seite.
Natürlich sind Whitelisting-Lösungen kein Ersatz für leistungsfähige Anti-Viren-Programme. Insbesondere, wenn es um den Schutz einer großen Zahl an Endgeräten geht (wie beispielsweise Laptops in Unternehmen), empfiehlt sich tatsächlich eher ein Schutz über Blacklisting-Technologien. Welcher Ansatz für den Schutz eines Systems der sinnvollere ist sollte im Sinne eines ganzheitlichen Sicherheitsverständnisses von Fall zu Fall geprüft werden.
Grundsätzlich kann jedoch bereits heute festgehalten werden: Die Zahl an Geräten und Systemen, für die der Einsatz von Whitelisting-Lösungen die effektivere Schutzstrategie darstellt, wird im Zuge des „Internet of Things“ und den damit verbundenen Entwicklungen wie dem „Smart Home“ weiter steigen. Auch ein intelligentes Haus, das vom Kühlschrank bis zur Garage voll vernetzt ist, will geschützt sein – jedoch ohne ständige Updates erforderlich zu machen. Gleiches gilt für das vernetzte Auto, den Pflegeroboter oder die smarte Fabrik. Bei aller Euphorie über die Möglichkeiten der Vernetzung sollte das Thema Sicherheit nicht aus dem Blick geraten. Mit Whitelisting wird das Internet der Dinge zum „Internet der sicheren Dinge“.
Fredrik Åhgren
Hier geht es zu Nexus