Adieu Anti-Virus – naive Ansätze für Unternehmenssicherheit

Wissenschaftsjahr 2014: Die digitale Gesellschaft

»Digitalisierte Arbeitswelten«
– IAO-Blogreihe zum Wissenschaftsjahr 2014:
»Die digitale Gesellschaft«

»Anti-Virus is dead« erklärt Bryan Dye, welcher im Vorstand der Symantec Corp. sitzt. Symantec, das ist einer der führenden Anbieter von IT-Sicherheitsprodukten. Norton AntiVirus ist ein bekanntes Beispiel. Die meisten Nutzer werden früher oder später mit einem Symantec-Produkt in Berührung gekommen sein. Was veranlasst nun einen der führenden Anbieter von Anti-Viren-Software sein Produkt für tot zu erklären?

Das Katz- und Mausspiel mit Anti-Viren-Software

Wie Bryan Dye es richtig erkennt, werden durch Anti-Viren-Programme nicht sämtliche Bedrohungen ausgeschaltet. Sie sind lediglich in der Lage, mit bereits bekannten Bedrohungen umzugehen. Angreifer, die wirklich an Firmendaten gelangen oder Abläufe innerhalb eines Unternehmens kompromittieren möchten, lassen sich nicht durch Anti-Viren-Software abhalten, sofern diese noch unbekannte Exploits einsetzen oder solche, die noch nicht erfasst sind. Anti-Viren-Software alleine kann also keine Strategie darstellen, um sich ausreichend abzusichern.

Türschlösser sind knackbar – warum man trotzdem eins haben sollte

Also einfach vollständig auf Anti-Virus verzichten? Nutzen wir ein Beispiel, dass uns allen geläufig ist, um diese Frage zu beantworten – unsere Haustürschlösser. Sicherlich hat Ihre Haustür ein Schloss, damit Unberechtigte keinen Zutritt zu Ihrer Wohnung und somit zu Ihren Wertgegenständen und persönlichen Informationen erhalten. Uns allen ist klar, dass es jede Menge Möglichkeiten gibt, diesen Zutrittsschutz zu umgehen. Vom Bump Key bis zum Dietrich: Profi-Schlossknacker verschaffen sich innerhalb von Sekunden Zutritt zu einer Wohnung. Wozu brauchen wir dann also überhaupt ein Türschloss? Die Antwort ist ganz einfach: damit nicht auch die ungeschulten Angreifer nach Lust und Laune reinspazieren können.

Anti-Viren-Programme sind und waren nie die ultimative Maßnahme der IT-Sicherheit

Exakt genauso verhält es sich mit Anti-Viren-Software. Sie ermöglicht keinen Schutz vor gut geschulten und kreativen Angreifern, sondern schützt uns vor dem Hintergrundrauschen des Internets, wie es Brian Krebs beschreibt. Anti-Viren-Software ermöglicht es, bereits bekannte Exploits und Viren zu identifizieren und somit Angriffe abzuwehren. Dabei ist Anti-Viren-Software keine ultimative Maßnahme der IT-Sicherheit, sondern lediglich eine von vielen Maßnahmen einer einzigen Betrachtungsebene. Ist ein Nutzer beispielsweise nicht im Umgang mit Internetseiten und potenziellen Gefahren geschult, wird auch die Einführung einer Anti-Viren-Software nicht weiterhelfen. Der Nutzer läuft sogar Gefahr, leichtsinnig zu werden und Risiken einzugehen, denn jetzt ist er ja schließlich durch eine Anti-Viren-Software geschützt – ein fataler Fehlschluss.

Die meisten IT-Sicherheitsmaßnahmen sind Snake Oil…

…sofern man nicht das Gesamtpaket betrachtet. Die Erwartung an eine einzige Maßnahme, die Informationssicherheit innerhalb eines Unternehmens zu verbessern, ist naiv. Und diese Naivität wird nur allzu oft von Angreifern ausgenutzt. Wozu sollte man beispielsweise aufwendige Schadsoftware in Unternehmen einschleusen, wenn ich die Passwörter der Angestellten einfach mit einer Tafel Schokolade erkaufen kann? Um zu unserem ursprünglichen Beispiel zurückzukehren: Was bringt unser Türschloss, wenn wir dann den Türschlüssel einfach stecken lassen? Potenzielle Angriffsvektoren auf Unternehmen sind vielschichtig und beinhalten technische, rechtliche und vor allem menschliche Perspektiven. Betrachtet man darum jegliche IT-Sicherheitsmaßnahme als alleinstehend, dann ist am Ende alles »tot« oder eben wirkungslos wie Schlangenöl. Einzelne IT-Sicherheitsmaßnahmen können nur einen kleinen Beitrag leisten. Erst in einem großen Paket, gemeinsam mit einer aktuellen Kenntnis der Angriffsvektoren, können diese Maßnahmen die Informationssicherheit insgesamt verbessern.

Anti-Viren-Software ist in diesem Sinne eher untot. Was stirbt und dringend sterben muss, ist die Gleichstellung von Anti-Viren und IT-Sicherheit. Als grundlegende Maßnahme innerhalb der IT-Sicherheit ist Anti-Viren-Software jedoch nach wie vor wichtig – eingebettet als eine von vielen Maßnahmen in ein passendes Maßnahmenpaket.

Der Herausforderung, ein solches Maßnahmenpaket zu finden und dessen langfristige Integration in das Unternehmen zu gewährleisten, stellen wir uns im Rahmen der bedarfsgerechten Sicherheit. Besuchen Sie uns doch einfach mal. Zum Beispiel auf dem Open Identity Summit 2014.

Leselinks: