Posts mit dem Label Antivirus werden angezeigt. Alle Posts anzeigen

„Home of Security”, unter diesem Motto präsentiert seculution auf der diesjährigen Messe seine neue Version seculution 2.0. Bei der Ver...

„Home of Security”, unter diesem Motto präsentiert seculution auf der diesjährigen Messe seine neue Version seculution 2.0. Bei der Version 2.0 handelt es sich technisch um ein komplett neues Produkt, mit bewährter Funktion, aber vielen Neuerungen. Das Besondere an der Lösung: Mit der seculution Cloud reduziert sich der Overhead zur Verwaltung der Whitelist nochmals enorm. 

Die neue Version seculution 2.0 bietet erstmals die bereits bekannte Cloud-basierte Analysefunktionen und passende Schutzmaßnahmen für unbekannte Anwendungen als automatische Funktion: Mit der sogenannten TrustLevel Datenbank erhalten Administratoren nämlich automatisiert Unterstützung bei der Pflege und Verwaltung Ihrer Whitelist. Zwar war auch schon in der Version 1.0 eine hohe Automation für diesen zweck gegeben, jedoch umfasste diese Funktion lediglich lokale Pfade beim automatisierten Pflegen der Whitelist.

Einige Highlights der neuen Version im Überblick:

seculution Cloud: seculution pflegt eine Cloud-basierte Datenbank mit Hashes von vertrauenswürdiger Software in einem deutschen Rechenzentrum.Wie vertrauenswürdig ein Hash ist, wird von seculution mit sogenannten TrustLeveln bewertet. Die TrustLevel-Datenbank wird ausschließlich von Mitarbeitern der seculution GmbH gepflegt und liefert heute zu mehr als 99% der Anfragen einen guten TrustLevel. Mehr dazu hier.

Garantie: Machen wir uns nichts vor, es hört sich verrückt an, aber wir stehen hinter unserem Produkt. Wird auf einem Endpoint, der mit seculution abgesichert ist, eine Schadsoftware ausgeführt, die nicht auf der Whitelist steht erhalten Sie Ihr Geld zurück. Sind Sie unzufrieden mit der Leistung von seculution, erhalten Sie Ihr Geld ebenfalls zurück. Verlangen Sie das mal von Ihrem Virenscanner. Mehr dazu hier.

Dashboard: Trotz hoher Automatisierung, mit modernen Betriebssystemen muss man auch mit einer Whitelisting Lösung einen Überblick über die Änderungen seiner Whitelist behalten. Für viele Softwareprodukte eine bereits etablierte Darstellungsweise, für seculution eine Neuerung. Sie sehen auf einen Blick was auf Ihre Whitelist passiert ist. Ihr Ausgangspunkt zur Verwaltung und Navigation in der Whitelist ist das Dashboard des neuen AdminWizards.
Egal ob Client-Management, Konfigurationsoptionen oder Automatisierungen, im Dashboard wird Ihnen alles übersichtlich und transparent angezeigt. Mehr dazu hier.

„Angesichts der der vielen Sicherheitslücken und neuen Formen von Schadsoftware in den vergangenen drei Jahren, fallen Unternehmen häufig in eine Kaufpanik. Oft finden wir gleich mehrere Virenscannerlösungen gleichzeitig auf Kundensystemen. Sicherheit wird hier aber teuer mit teils horrenden Einschränkungen in der Performance und zu einem hohen Preis erkauft.” berichtet CEO  und Gründer Torsten Valentin. „Mit seculution 2.0 und der Anbindung der TrustLevel Datenbank geben wir unseren Kunden eine Lösung in die Hand, mit der sie ihren tatsächlichen Sicherheitsbedarf  besser abdecken als zuvor und – im Gegensatz zu anderen Antivirus Lösungen – sogar einen Investitionsschutz von uns erhalten.”

Umdenken bei Administratoren und Vorgesetzten

In den Vergangenen drei Jahren die seculution jetzt bereits als Aussteller mit einem eigenen Stand auf der it-sa präsent ist waren die Reaktionen auf die Vorstellung der Application Whitelist als Antivirus Lösung oft sehr gemischt. Zu aufwändig, kein Bedarf an mehr Sicherheit, zusätzliche Kosten zu hoch waren nur drei Highlights von Besuchern, die sich mit den seculution Experten über die Lösungen unterhielten. Trotzdem sahen viele Interessenten das Potential des Prinzips oder gaben an, bereits eine Whitelisting Lösung im Einsatz zu haben.

2018 gab es ein vollkommenen anderes Bild. Viele Besucher haben bewusst das Gespräch mit dem seculution Team gesucht. Ausschlaggebend war oft der Fokus Application Whitelisting den seculution bewusst seit der Gründung im Jahr 2017 verfolgt. Die Unsicherheit bei den vielfältigen Angeboten anderer Hersteller und der Erfahrung aus den vergangenen Jahren lässt Nutzer wieder auf Lösungen mit übersichtlicher Funktionalität und verständlicher Funktionsweise zurückgreifen. Keep it simple ist die Devise. Oder wie einer der Besucher es formulierte: „Ich habe eine Menge beeindruckender Lösungen hier gesehen, aber ich glaube ich kann Ihnen von keiner sagen wie sie im Detail funktioniert. Das ist hier ja sehr binär gelöst.”

Fazit

Die it-sa ist und bleibt eine zentrale Veranstaltungen für Anwender und Presse, um sich im deutschsprachigen Raum über Newcomer und Nieschenprodukte in der Branche auf den aktuellsten Stand bringen zu können. Die Sicherheitsrelevanten Vorfälle der vergangenen Jahre haben vor allem zu einem Umdenken und einer Sensibilisierung beim Endpoint Schutz geführt. Nicht zuletzt auf Grund der inzwischen verfügbaren Erfahrungen von Betroffenen wie dem Lukas Krankenhaus in neuss, das seit der Infektion mit dem Locky Erpressungstrojaner auf seculution setzt, um seine Endpoints besser abzusichern.

Interview mit Dipl.-Biol. Volker Kliewe, IT-Leiter der Betriebsstätte St. Elisabeth-Hospital Beckum. Die St. Elisabeth-Hospital GmbH ist...

Interview mit Dipl.-Biol. Volker Kliewe, IT-Leiter der Betriebsstätte St. Elisabeth-Hospital Beckum.

Die St. Elisabeth-Hospital GmbH ist Trägerin des St. Elisabeth-Hospitals Beckum. Das Beckumer Krankenhaus, das seit mehr als 150 Jahren besteht, ist ein Krankenhaus der Regelversorgung, mit 228 Betten. Mit 350 Mitarbeitern versorgt die Einrichtung rund 16.000 Patienten im Jahr. Gesellschafter sind die St. Franziskus-Stiftung Münster, mit 51 Prozent und die Stiftung St. Elisabeth-Hospital Beckum, mit 49 Prozent der Geschäftsanteile.


Wie sind Sie zu SecuLution gekommen?

Der Geschäftsführer von SecuLution, hat mich eines Tages vor sechs Jahren einfach angerufen. Da habe ich gemerkt, der ist kein reiner Verkäufer. Er hat die Software selbst programmiert. Das fand ich gut. Man hat gemerkt: Er weiß, wovon er redet. Das ist eine Ausnahme gewesen zu der Zeit. Ihn konnte man alles fragen, und er wusste darauf eine Antwort. Er hat uns das Programm dann auf einem Treffen vorgeführt. 
Dann habe ich meinen Verwaltungsdirektor gefragt, ob ich das hier einführen kann. Denn, es ist ja auch ein Kostenfaktor so eine Lösung parallel zum Virenscanner zu nutzen. Er hat zugestimmt, und dann haben wir SecuLution installiert. 


Wie war der Start?

Anfangs war ich mit dem Programm sehr restriktiv. Zu Beginn gab es auch einige Kleinigkeiten, die noch nicht so gut funktionierten. Was aber immer gut geklappt hat, das war der Support. Die Sachen, die ich gemeldet habe, hat SecuLution immer sehr schnell bearbeitet. Das fand ich wirklich gut. Die wollten ihr Produkt verbessern, das hat man gemerkt. 
Dann habe ich SecuLution immer weiter ausgerollt. Noch nicht völlig konsequent, weil das Programm natürlich sehr restriktiv reagiert wenn man einen Fehler macht. Aber, ich war immer dran und es hat recht gut funktioniert. 


War Ihr Unternehmen nun gut geschützt?

Als der Locky-Virus aufkam bekamen alle ziemliche Panik. Da dachte ich: Es läuft bei mir eigentlich gut. Jetzt packst du SecuLution mal auf die Server drauf und wirklich konsequent und ohne Ausnahme auf jede Windows-Maschine. Im Lernmodus vorerst. Auch auf die PCs, die von Externen Dienstleistern betreut werden. Ich kann für den Virenschutz dort nicht garantieren, weil ich nicht genau weiß, was da drauf läuft. Heute haben wir keine einzige Windows-Maschine mehr ohne SecuLution im Haus. Das habe ich im letzten Jahr ziemlich schnell erledigt. 
Der Locky-Virus hat – trotz Virenscanner – viele Kollegen aus anderen Häusern erwischt. Ich habe mich noch einmal rückversichert, ob SecuLution auch wirklich dagegen hilft. Dann war ich ganz entspannt. 
Wir hatten damals auch noch einen Virenscanner, der aber nicht der Bringer war. In einer Stiftung bei uns wurde damals zum Beispiel Kaspersky eingeführt. Von vielen Servern und Arbeitsstationen habe ich es schon wieder deinstalliert, weil es die Nutzer zu stark ausgebremst hat. 


Wo setzen Sie die Lösung ein?

Wir haben rund 250 Clients, 15 bis 20 Laptops, 30 Server und 250 Arbeitsstationen. Seit letztem Jahr läuft es nun flächendeckend. Die Lösung von SecuLution ist konsequent überall installiert – auch mit der integrierten Agent-Verteilung. Viren machen mir keinen Stress mehr.

Wie sind Ihre Erfahrungen?

Die Verteilung über die integrierte Lösung hat eine Zeit lang nicht so gut funktioniert. Daran haben die Mitarbeiter aber in den letzten Monaten gearbeitet. Wenn irgendwo ein Fehler gemeldet wird, der nicht auf die Nutzung zurückzuführen ist, sind sie da wirklich sehr hinterher. Das gefällt mir.
Es wurden schon etliche Angriffe abgewehrt. Wenn irgendwer wieder irgendwo drauf geklickt haben, wenn wieder ein Programm geblockt wurde, erkenne ich an den Programmnamen in den Log-Files schon, dass das wohl nichts Gutes gewesen ist. Aber sonst passiert einfach nichts. 
Notebooks stellen logischerweise ein kleines Problem dar. Wenn die Notebooks nicht online sind, verfügen sie über die Informationen der Whitelist nur in ihrem lokalen Cache.

Ist SecuLution einfach zu nutzen?

Whitelisting läuft in einem gut gemanagten Netz super. Wenn es nicht gut läuft, sollte man sich überlegen, ob man das Netz nicht sauberer administrieren müsste. Dann ist es wirklich problemlos. Ich finde, das Entscheidende ist, dass das Programm eine einfache Logik hat. Es zwingt einen, Ordnung im Netz zu halten. Man weiß dadurch wirklich, was in seinem Netzwerk läuft. 

Viel einzustellen gibt es nicht. Jeder Virenscanner, der in einem größeren Netzwerk etwas taugt, ist schwieriger zu administrieren. Bei Kaspersky ist es etwa um ein Vielfaches komplizierter. Das Prinzip von SecuLution ist sehr einfach. Dementsprechend ist es auch sehr einfach zu administrieren, weil man es schnell versteht. Das ist das Programm, das mir hier am meisten Spaß macht. 


Gab es auch Probleme?

Einmal habe ich einen Fehler gemacht: Der SecuLution Server mit der Whitelist lief auf einer ESX-Maschine, die nicht das getan hat was man von ihr erwartet hat. Ich wusste nicht, woran es lag und habe versehentlich einen falschen Regelsatz hochgeladen. Die Folge war: Im ganzen Netzwerk wurde alles verboten. Den Server musste ich erstmal vom Netz nehmen, habe es aber relativ schnell wieder hingekriegt. Wenn man das korrekte Backup einspielt, kann man es sehr schnell zum Server hochladen, dann ist alles wieder gut. Die Mitarbeiter von SecuLution haben mir im Anschluss geholfen, zu prüfen, was schief gelaufen ist. Dann habe ich den SecuLution Server wieder eingebunden, und es lief alles stabil.

Wie lautet Ihr Fazit?


Selbst jemand, der über Administrator-Rechte verfügt, kann nicht ins System kommen. Das ist ein Riesenvorteil. Ich bin nämlich keiner, der immer alles verbietet. Aber: Ich bin dafür verantwortlich, dass die Dinge laufen, Also muss ich auch genau wissen, was in meinem Netz passiert. Dafür ist SecuLution einfach perfekt.

Anm. Im Interview wird an vielen Stellen noch eine ältere Version von SecuLution beschrieben, inzwischen haben sich viele Dinge in der Benutzerführung geändert, die auch dank Nutzern wie Volker Kliewe jetzt allen SecuLution Kunden zur Verfügung stehen. Das Interview führte Johannes Klostermeier.

it-sa-Premiere: SecuLution präsentiert ersten Virenschutz mit Garantie! Verbesserte Endpoint-Security- und Antivirus-Software vereinfac...

it-sa-Premiere: SecuLution präsentiert ersten Virenschutz mit Garantie!

Verbesserte Endpoint-Security- und Antivirus-Software vereinfacht Arbeit des Administrators in Sachen IT-Sicherheit


Werl/Nürnberg, 24. September 2018 – Mehr und besseren Schutz vor Viren – dies versprechen auf der it-sa nicht wenige Anbieter. Einen Schritt weiter geht SecuLution: Mit der neuen Version seiner gleichnamigen Application-Whitelisting-Lösung gibt der deutsche Softwarehersteller erstmals eine Garantie für wirksamen Virenschutz. In der Kurzversion: Wenn auf einem mit SecuLution abgesicherten System trotzdem eine Schadsoftware ausgeführt wird, die nicht in der Whitelist steht, erhält der Kunde das Recht, innerhalb von acht Wochen alle laufenden Lizenz-, Service- und Supportverträge mit sofortiger Wirkung zu beenden – und erhält die in Verbindung damit geleisteten Zahlungen der vergangenen zwölf Monate zurück.

Zur Pressemitteilung

Application Whitelisting ist nichts Neues. Wie der Name schon andeutet ist Whitelisting der umgekehrte Ansatz zu Blacklisting. Blackli...

Die 10 größten Vorurteile gegen Application Whitelisting


Application Whitelisting ist nichts Neues. Wie der Name schon andeutet ist Whitelisting der umgekehrte Ansatz zu Blacklisting. Blacklisting als Begriff ist weniger geläufig als die Produktgattung die sich auf dieses Prinzip stützt – Virenscanner.


Das Whitelisting von Anwendungen geht den umgekehrten Weg und verweigert standardmäßig die Ausführung von Anwendungen, die nicht explizit als "bekannt und vertrauenswürdig" auf der Whitelist bekannt sind. Dieser "Default Deny"-Ansatz bietet aus vielen Gründen ein wesentlich höheres Schutzniveau als der etablierte Blacklisting-Ansatz für Antivirus Produkte.
Hauptgrund für den Einsatz von Application Whitelisting (im folgenden nur noch als AWL abgekürzt) aber ist und bleibt, dass bösartiger Code, der noch nie zuvor gesehen wurde, verhindert werden kann. So genannte "Zero-Day"-Angriffe. Ein Virenscanner der eine Blacklist bereits bekannter Schädlinge oder Verhaltensweisen führt, kann diese neuen Schädlinge nicht identifizieren.

Jeder vernunftbegabte Mensch fragt sich jetzt: Wenn Whitelisting so viel sicherer ist als Blacklisting, warum ist es dann nicht so weit verbreitet wie Blacklisting-Lösungen, also Virenscanner?

Die Antwort ist einfach. Eine Blacklisting-Lösung lässt zwar Schadcode ungehindert ins Netzwerk wenn sie einen schlechten Job macht, aber blockiert niemals gutartigen, unbekannten Code. Beispielsweise Teile des Betriebssystems. Wenn ein Whitelisting Produkt einen schlechten Job macht, sind die Systeme vielleicht extrem sicher, aber es wird die Nutzbarkeit des Systems beeinträchtigen, indem es unbekannten aber vertrauenswürdigen Code blockiert. Die meisten Menschen haben daher die einfache Handhabung von Blacklisting gegenüber der unumstritten besseren Sicherheit von Whitelisting bevorzugt.

Ein weiterer Grund, warum AWL nicht sehr verbreitet ist, sind frühe AWL-Lösungen aus den 90er Jahren. Diese waren wie beschrieben oft eher ein Hindernis im Alltag und haben dem Prinzip Whitelisting einen bis heute schlechten Ruf eingebracht. Moderne AWL-Lösungen werden daher bis heute an der schlechten Leistung der Lösungen aus dem letzten Jahrtausend gemessen. Moderne Whitelisting Lösungen können aber wesentlich automatisierter operieren und verursachen im Alltag heute weder ungewollt blockierte Software noch den oft gefürchteten Mehraufwand. Dieser Artikel soll diese und andere Vorurteile sowie Missverständnisse widerlegen, die selbst von Sicherheitsexperten immer noch gegen die Technik vorgebracht werden. Beim Blacklisting wird jede neue Datei auf einem System überprüft. Erkennt der Virenscanner eine Datei als schädlich, wird die Ausführung verhindert.

Vorurteil Nummer 1:

Whitelisting Produkte von Drittanbietern sind überflüssig, da die Technik bereits in modernen Betriebssystemen kostenlos integriert ist.

Der wohl bekannteste integrierte Whitelisting Service ist der AppLocker von Microsoft. Mit einer Windows Server Lizenz können Sie auch stolzer Besitzer einer Application Whitelisting Lösung werden. Wenn Sie also keine andere "Default-Deny" Technik nutzen, die Teil Ihres Sicherheitskonzepts ist, dann können Sie dieses Tool in Betracht ziehen, um die Lücken zu schließen, die Virenscanner konzeptbedingt hinterlassen. Die Verwendung integrierter Lösungen ist aus Sicht des Gesamtkonzepts viel sinnvoller als diese Angebote einfach zu ignorieren.

Das Problem ist jedoch, dass diese Lösungen nur schwer zu handhaben und aktuell zu halten sind. Die Verwaltung dieser Tools erfordern oft, dass der IT-Administrator alle Programme identifiziert, die erlaubt sein sollten. Auf einem Standard Betriebssystem sind das Tausende von Dateien. Änderungen und Ergänzungen der Whitelist brauchen Zeit und sind nicht direkt verfügbar. Die manuelle Verwaltung der Liste von erwünschten und vertrauenswürdigen Anwendungen, kann eine Belastung darstellen, die den Zugewinn an Sicherheit obsolet macht. Kritiker von AWL führen diese Mankos integrierter Whitelisting Tools oft als Grund an, keine AWL-Lösungen zu verwenden.

Die Frage aber bleibt: Wenn moderne AWL Lösungen so viel besser sind, warum ignoriert die überwiegende Mehrheit der IT-Administratoren und Sicherheitsexperte sie und verwendet nur Blacklisting zur Absicherung der Systeme? 

Vorurteil Nummer 2:

Application Whitelisting ist kompliziert zu handhaben und zu zeitaufwändig

Zugegeben bei tausenden von Anwendungen für einen einzigen PC klingt das nachvollziehbar. ständig ändern Updates einzelne Anwendungen oder das gesamte Betriebssystem wird gepatcht. Genau das ist eines der Kernprobleme, die moderne AWL-Lösungen schon längst gelöst haben. Denn so aufwändig es klingt, es ist ein sehr gut lösbares Problem. Moderne AWL-Produkte sind sehr geschickt darin, die relevanten Daten auf einem System zu identifizieren, Änderungen automatisch zu genehmigen und die Whitelist-Datenbank entsprechend aktuell zu halten. In einer ordentlichen AWL-Lösung ist es selten nötig einzelne Dateien der Whitelist manuell hinzuzufügen oder gar zu löschen. Änderungen, wie z.B. das Installieren eines neuen Softwarepakets bringen diese Lösungen nicht mehr dazu alles als unbekannt zu blockieren. Moderne AWL-Lösung macht das Management der Whitelist so automatisch und zeitsparend wie möglich.

Vorurteil Nummer 3:

Application Whitelisting setzt jeden Nutzer der Gnade der Administratoren aus.

Einige AWL-Lösungen folgen dem Ansatz, dass alle Entscheidungen über das, was erlaubt oder verweigert werden soll, ausschließlich in den Händen von IT-Administratoren oder Sicherheitsexperten liegen. Jedoch ist das nur in sehr statischen Umgebungen oder für PCs mit festem Anwendungsumfang überhaupt umsetzbar.

Die meisten Whitelisting Produkte ermöglichen heute, dass Aktionen die ein Nutzer ausführt sich auch mit AWL vereinbaren lassen. Dabei wird nicht dem Nutzer vertraut, sondern sogenannten Reputationsservices. Führt ein Nutzer also eine unbekanntes Programm aus, so blockiert die Whitelist die Ausführung nicht direkt, sondern versucht anhand von Informationen z.B. aus der Cloud, zu erkennen ob diese Anwendung tatsächlich schon als schädlich oder gutartig bekannt ist. In den meisten Fällen können nämlich für neue Anwendungen automatisch Freigaben erteilt werden, ohne dass der Nutzer dies mitbekommt oder in seiner Arbeit gehindert wird. Sind keine entsprechenden Erkenntnisse vorhanden oder handelt es sich tatsächlich um Schadcode wird die Software natürlich trotzdem blockiert.
Der Administrator der AWL-Lösung ist bei der Vorkonfiguration aber auch immer in der Lage, bestimmte vertrauenswürdige Anwendungen von vornherein von diesem Prozess auszuschließen. Auch wenn diese prinzipiell vertrauenswürdig sind. Spiele und andere unerwünschte Software kann so vom automatischen Lernen ausgeschlossen werden. Versucht der Endbenutzer so verbotene Software zu installieren, wird ihm das nicht gelingen, auch wenn die Software gutartig ist. Dies alles kann unter Beibehaltung der standardmäßigen "Default-Deny" Schutzfunktionen, die das gesamte System schützt, durchgeführt werden.

Vorurteil Nummer 4:

Entwickler können ihrer Arbeit nicht mehr nachgehen

Der Großteil der Dateien, die Nutzer im Rahmen ihrer Arbeit erstellen und bearbeiten, sind lediglich Daten die nicht ausführbar sind. Entwickler jedoch erstellen ausführbaren Code als Teil ihrer täglichen Arbeit. Unbekannter ausführbarer Code ist aber genau das, was AWL-Lösungen blockieren. Die vorher genannten Reputationsdienste nützen hier nichts, denn woher soll die gerade erstellte Software dort bekannt sein? Bei richtiger Vorgehensweise können auch Entwickler AWL zum Schutz ihrer Systeme verwenden, ohne ihre normale Arbeit zu beeinträchtigen.

Der einfachste Weg, Entwickler zu integrieren, ist den generierten Code zu signieren. Wenn ein Entwickler zum Beispiel Visual Studio für die Entwicklung verwendet, bedeutet das Vertrauen in Signatur mit der Visual Studio jedem kompilierten Code unterschreibt, dass jeder so signierte und ausführbare Code automatisch zur Whitelist-Datenbank hinzugefügt und zur Ausführung freigegeben werden kann.

Andere Lösungsansätze sind sogenannte Lernbenutzer. Das Anstarten einer unbekannten Software wird statt mit dem angemeldeten Nutzer einfach mit einem speziell berechtigten AD Nutzer durchgeführt. Alles was im Nutzerkontext dieses Lernbenutzers ausgeführt wird darf auch auf die Whitelist aufgenommen werden.

Eine komplett andere Möglichkeiten bietet die physische Trennung von Entwicklungsumgebungen vom Rest des Netzes. In einer DMZ braucht man keinen Schutz durch die AWL Lösung.

Vorurteil Nummer 5:

Application Whitelisting verlangt die komplette Konzipierung eines Netzwerks zu ändern.

Auch bei diesem Vorurteil kann nur wiederholt werden: für eine schlechte AWL Lösung mag das zutreffen. Ein gutes Whitelisting Produkt arbeitet nahtlos mit der bestehenden Netzwerk- und Hardwarearchitektur zusammen und integriert sowohl Softwareverteilung als auch Systemmanagement. Denn eine Whitelisting Lösung muss lediglich mit den verwendeten Tools bekannt gemacht werden, alles andere geschieht dann automatisch.

Vorurteil Nummer 6:

Application Whitelisting und bestehende Antivirus Lösungen können nicht parallel betrieben werden. 

Es gibt keinen Grund, warum Whitelisting und das Blacklisting von Virenscannern nicht parallel arbeiten sollten. Es wird sogar häufig die Empfehlung ausgesprochen beide zur gleichen Zeit zu verwenden. AWL schützt proaktiv vor Zero-Day-Angriffen, die Virenscanner andernfalls durchlassen würden. Der Virenscanner kann von der Whitelist blockierte Schadsoftware schließlich von den Endpoints entfernen, ohne dass irgendjemand dafür einen Finger rühren muss. Aus technischer Sicht sollten alle AWL-Lösungen neben allen Blacklist-Lösungen gut funktionieren. Ob es tatsächlich sinnvoll ist beide parallel zu betreiben ist wahrscheinlich eine Frage der Einstellung und der finanziellen Mittel. Der Schutz den Whitelisting bietet macht den Virenscanner überflüssig.

Vorurteil Nummer 7:

Application Whitelisting kann durch Skripte leicht umgangen werden.

Das ist einfach nur falsch. Jedes moderne AWL Produkt wird die Fähigkeit beinhalten, bestimmte Programme (Interpreter) in der Nutzung zu beschränken. Diese Option wird Application Control genannt. Nur bestimmte User wie Administratoren beispielsweise sind über Application Control in der Lage einen Interpreter wie PowerShell überhaupt auszuführen. Alle anderen User können das für das Skript notwendige Programm erst gar nicht ausführen. Es gibt sogar Lösungen die sämtliche Skripte verweigern können, jedoch wird diese Option nur in den seltensten Fällen überhaupt aktiviert, da das Blockieren von Skripten mit unter zu Problemen führt, die vorher nicht abzusehen sind. Skripte stellen überdies auch keine permanente Bedrohung für einen Endpoint dar, sobald der betroffene PC auf dem ein schadhaftes Skript läuft neu gestartet wird, ist auch das Skript wieder inaktiv.

Vorurteil Nummer 8:

Anwendungen die bereits auf der Whitelist stehen können genutzt werden um das Whitelisting zu umgehen.

Ähnlich wie bei der potenziellen Bedrohung durch Skripte würden ernstzunehmende Hersteller einen so offensichtlichen Weg die eigene Sicherheitslösung zu umgehen nicht in ihre Produkte einbauen. Obwohl Betriebssystemkomponenten natürlich ausgeführt werden dürfen, so sind diese oft nur für den Start eines Angriffs in Verwendung. Der Code der den tatsächlichen Angriff dann ausführen soll, kann wiederum nicht gestartet werden da er unbekannt ist.

Vorurteil Nummer 9:

Application Whitelisting kann während Änderungen an Systemen umgangen werden.

Dieses Vorurteil ist auf die Funktionsweise früherer AWL-Lösungen zurückzuführen. Wenn der Administrator eine genehmigte Systemänderung vornimmt, wie z.B. die Installation eines neuen Softwarepakets, wurden die Schutzvorkehrungen vorübergehend aufgehoben, so dass die Änderungen erlernbar werden. Während dieses genehmigten Lernprozesses könnten schädliche Programme die auf die Whitelist angelernt wurden gemäß der aktualisierten Whitelist ausgeführt werden. Moderne AWL-Lösungen aber lernen nur noch die Änderungen die durch die neuen Bestandteile des Updates angefragt werden und prüfen diese gleichzeitig. Parallel ausgeführte Schadprogramme werden als unbekannt oder als bekannt und schädlich blockiert.

Vorurteil Nummer 10:

Application Whitelisting benötigt sehr viel Performance.

Diese Behauptung ist bei keiner AWL-Lösung zutreffend. Dies gilt insbesondere im Vergleich zum Overhead, der bei Blacklist-Lösungen anfällt. Damit ein Virenscanner eine Datei überprüfen kann, um diese zuzulassen oder zu blockieren, muss im einfachsten Fall der gesamten Dateiinhalt mit einer Signaturdatenbank für jede jemals identifizierte Malware-Variante abgeglichen werden. Das ist keine leichte Aufgabe und es ist das, was die CPU auf jedem System wo der Virenscanner läuft tun muss, um eine Schutzfunktion zu gewährleisten.
Damit ist noch nicht auf wesentlich aufwändigere Prüfmethoden wie Sandboxing, heuristische Analysen oder Deep Learning eingegangen worden. Zudem muss der Virenscanner immer alle Dateitypen prüfen, Sie geben also immer einen Vollzugriff auf alle Ihre Daten.

Bei AWL muss das Binary einer ausführbaren Datei nur einmalig durch durch einen Algorithmus in einen Hash umgewandelt werden. Diese Methode ermöglicht die eindeutige Identifizierung des Programms, weil jedes Programm einen anderen Hash ergibt. Man kann sich das ganze vereinfacht wie eine Quersumme vorstellen bzw. wird oft vom elektronischen Fingerabdruck des Programms gesprochen. Dieser Hash wird dann einfach an die Whitelist Datenbank gesendet und abgeglichen. Wenn der Hash nicht auf der Whitelist ist, wird das Programm welches diesen Hash erzeugt blockiert. Dieser Vorgang dauert weder lange (ca. 30ms) noch benötigt das Erzeugen des Hashs viel Performance.

Fazit

Dieser Ausschnitt an Vorurteilen beleuchtet nur die am meisten genannten im Zusammenhang mit Application Whitelisting Lösungen im Allgemeinen und seculution im speziellen. Anhand dieser 10 Vorurteile kann man allerdings sehr gut klar machen, dass diese entweder nicht mehr zutreffend oder komplett aus der Luft gegriffen sind. Inzwischen wird Whitelisting sogar als primäre Antivirus Lösung noch vor Virenscannern empfohlen, da die Bedrohungslage heutzutage eine andere Herangehensweise in der IT-Sicherheit benötigt.

Entdeckt in einem Tweet. Zahl der Woche: "Durchschnittlich 180 Tage vergehen durchschnittlich bis eine Schadsoftware im Netzwerk ent...

Entdeckt in einem Tweet. Zahl der Woche: "Durchschnittlich 180 Tage vergehen durchschnittlich bis eine Schadsoftware im Netzwerk entdeckt wird." Twitterte ein deutscher Virenscanner Hersteller. Das sind Zahlen die FireEye in seinem aktuellen M-Trends Report für 2017 der EMEA Region bescheinigt. 

Jetzt fragen wir uns doch ernsthaft: Warum sollte man so ein Ergebnis veröffentlichen wollen, wo doch überall die Virenscanner sich gegenseitig mit Erkennungsraten übertrumpfen und in den vergangenen drei Jahren allen Nutzern glaubhaft versicherten alles im Griff zu haben.
Nun aber zu diesem Report. Man kann das Ganze hübsch aufbereitet hier einsehen oder herunterladen. Auch ohne die Angabe seiner Kontaktdaten.

Lediglich in Amerika sind die Tage von der Attacke bis zur Erkennung weniger geworden im Vergleich zum Vorjahr (99 Tage 2016 vs. 75,5 Tage 2017, Abb. 1). Von den APAC Ländern gar nicht zu reden (172 Tage 2016 vs. 498 Tage 2017, Abb. 1). Interessant werden diese Zahlen wenn man sich die Datenquellen anschaut, denn wir wissen ja man soll keiner Statistik glaube, die man nicht selbst manipuliert hat. Wir haben uns dann mal diesen Report näher angeschaut, weil uns das zusammen mit allen Marketing Versprechen und den hoch angepriesenen Next Generation IT-Security Lösungen doch sehr gegenläufig erscheint.

Abbildung 1 | Quelle´: FireEye M-Trends 2018

Eine Player aus der scheinbar unendlichen Reihe der Sicherheits Software Hersteller attestiert allen Produkten in diesem Report quasi die Unfähigkeit. Die untersuchten Unternehmen können nur sehr träge auf Sicherheitsrelevante Vorfälle reagieren. Scheinbar der Beleg dafür, dass sie den Marketing-Gags der Hersteller von IT-Security Produkten auf den Leim gegangen sind. Nicht genug damit, die Unternehmen können "durchschnittlich 180 Tage" nicht sagen dass in Ihrem Netzwerk eine Schadsoftware ihr Unwesen treibt.
Ebenfalls wichtig in diesem Zusammenhang, wie viele Datenpunkte werden zur Bildung dieser Ergebnisse herangezogen (Abb. 2)?

Abbildung 2 | Quelle´: FireEye M-Trends 2018


Es werden insgesamt 8 Industriezweige untersucht, plus ein nicht weiter definierter Datenpunkt, der mit "Other" betitelt ist, allerdings mit 15% einen sehr großen Umfang innerhalb der insgesamt 9 Quellen einnimmt.
Weiterhin lässt sich aus der Aufschlüsselung der Industriezweige jeweils einen sehr abweichende Zahl der beobachteten Regionen erkennen (Abb. 3).
Ein Beispiel, der Finanzsektor. In Nord und Süd- Amerika (Americas) nimmt dieser Sektor 17% des Datenpunktes ein. In den APAC Staaten sind es 39% und in der EMEA Region 24%, also irgendwo zwischen den anderen beiden.
Die krasseste Abweichung zeigt der Gesundheitssektor mit 12% Americas, und lediglich 2% in den Regionen APAC und EMEA. Alleine diese Tatsache verfälscht die Ergebnisse in eine Richtung die weniger aussagekräftig ist als man von einer solchen Untersuchung erwarten würde. Aber manchmal hat man eben aus bestimmten Branchen mehr Daten als aus anderen. Immerhin kann man sich als denkender Mensch diese Zahlen hier ansehen und sich dann selbst überlegen was man davon hält.

Abbildung 3 | Quelle´: FireEye M-Trends 2018

Nun weiß man wie viel Prozent in welchem Industriezweig denn vermehrt beobachtet wird und auch in das Reporting als Datensatz eingeflossen ist. Man findet aber an keinem einzigen Punkt im Bericht die absolute Größe der Datenpunkte, also die Menge der Unternehmen die hier untersucht werden. Woher weiß man zum Beispiel, dass die Zahlen für Nord- und Südamerika nicht wesentlich größeren absoluten Mengen von Unternehmen entsprechen und somit größere Ausreißer hier nicht so ins Gewicht des Gesamtergebnisses fallen?
Da FireEye eine amerikanische Firma ist, wird sie dem durchführenden Tochteruntenehmen Mandiant vermehrt Zugriff zu Daten der Region verschaffen können. Entsprechend kann man für die Regionen EMEA und APAC mutmaßlich nur auf wesentlich dünner besetzte Datenpunkte schauen. Das alleine führt dazu, dass eine Region (Americas) im Vergleich zu anderen Regionen vergleichsweise gut abschneidet.

Insgesamt sagt dies aber rein gar nichts über die nachträglich auch noch angezeigte Zeit für die globale Reaktion in Unternehmen beim Entdecken von Schädlingen aus. Hier wird exakt das gleiche getan wie bereits bei den extrem unterschiedlich repräsentierten Datenpunkten der drei Regionen.

Die Bandbreite der Reaktionszeiten wird stumpf aufaddiert und dann durch drei geteilt. Tadaaaa! Weltweit ist die Zeit von der Infektion bis zum Entdecken eines Angriffs seit 2016 "nur" um zwei Tage gestiegen. Auf 101 Tage (Abb. 4). Wo ist die Nachricht die es Wert wäre verbreitet zu werden?

101 Tage weltweiter Durchschnitt vom Angriff bis zur Erkennung? Ernsthaft?

Abbildung 4 | Quelle´: FireEye M-Trends 2018


Das sind über drei Monate, 14 Wochen, OHNE Erkennung. Ausreißer wie die APAC Daten (498 Tage oder über 16 Monate) mal außen vorgelassen und die recht bescheidene Gesamtgrundlage ebenfalls.

Aber jetzt kommt das Beste. Die Art der Erkennung wird jetzt noch aufgeschlüsselt (Abb. 5). In "Interne Erkennung", "Externe Benachrichtigung" und "Alle Benachrichtigungen". Denn hier liegt endlich der "große Erfolg". Die internen mittlere Erkennungszeit liegt nämlich gegen den Trend um 80 Tage unter der des Vorjahres. Ob das stimmt, muss man sich allerdings selber heraussuchen, die Vergleichszahlen werden in diesem Report nämlich erst gar nicht aufgeführt. Es wird lediglich im Fazit darauf hingewiesen.

Abbildung 5 | Quelle´: FireEye M-Trends 2018


Also weiß man jetzt, dass eigentlich weltweit neue Schädlinge generell schlechter erkannt werden, aber die interne Erkennungsrate sich zum Glück wesentlich verbessert hat. Was im Umkehrschluss nur heißt, wir erhalten viel weniger Informationen über Angriffe von Extern und erkennen intern inzwischen besser dass etwas verkehrt ist. Unterm Strich aber ist 2017 weltweit wieder schlechter bei der Erkennungsrate (Abb. 6). Was ein Ergebnis.


Abbildung 6 | Quelle´: FireEye M-Trends 2018


Weiterführende Links:
How to tell when statistics are bullshit – https://www.vice.com/en_us/article/5g9evx/statistics-more-or-less-tim-harford

FireEye M-Trends Report 2018 – https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html






Bild: allcore.ca Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nich...




Bild: allcore.ca


Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nicht gut aufgestellt sind. Die Rede ist von IT-Sicherheit. Aber was ist überhaupt IT-Sicherheit im Jahr 2017?


Es gibt nicht die eine IT-Sicherheit. Bereits seit Jahren ist IT-Sicherheit in Unternehmen ein Bereich der Expertenwissen erfordert. Kleinere Unternehmen leisten sich jedoch aus wirtschaftlichen Gründen "Allrounder", so schwer kann das doch nicht sein. Dieses Denken ist allerdings so überholt wie das Funktionsprinzip des Virenscanners. Viele IT-Verantwortliche wissen um diesen Mangel und kämpfen täglich für mehr und besser spezialisiertes Personal in ihrer Abteilung, jedoch kapitulieren viele in diesem aussichtslosen Kampf da sie kein Gehör finden.

Unternehmen suchen immer noch Full-Service


Full-Service hört sich nach einem genialen Modell an, gerade was die Kosten-Nutzen Seite angeht. Von der Werbeagentur bis hin zum Angestellten. Wer viele Kompetenzen in Personalunion vereint, der kann dem Unternehmen nur nutzen. Rein rechnerisch mag das bis zu einem gewissen Punkt auch gelten.

Schaut man sich die durchschnittliche EDV eines deutschen Mittelständlers an, stellt man oft genug fest, dass absolut solide und sinnvolle Arbeit geleistet wird. Die Abteilungen sind durch die oft traditionell bescheidenen Personalschlüssel und knappen Budgets so hocheffektiv, dass niemandem auffällt das es ein Problem gibt. Es funktioniert schließlich alles.

Alles heißt zum Beispiel die Administration und Anlage von Benutzerkonten, Verteilung, Wartung und Support von Fachanwendungen, Konfiguration von Routern damit das geliebte Internet auch sicher funktioniert, bis hin zur Betreuung der Hardware, denn die muss einwandfrei laufen. Das alles funktioniert tadellos.

IT-Mitarbeiter sind oft mit Aufgaben überfrachtet
andertoons.com

Full-Service gleich IT-Sicherheit?


Das alles ist aber nicht IT-Sicherheit, das ist wie Luft zum atmen oder Füße zum laufen. Auch wenn ich mich wiederhole, das eben Beschriebene lastet EDV-Abteilungen – die oft aus maximal 4 Mitarbeitern bestehen (und das ist viel) – bis an ihre Grenzen aus.

Und was ist jetzt mit der IT-Sicherheit? Die meisten IT-Kräfte kennen Grundlagen wie die Verschlüsselung von Kommunikation, Rechteverwaltung und wissen, dass IT-Sicherheit mehr ist als Passwörter zu vergeben. Tiefgreifendes Wissen ist aber etwas anderes.

Der geneigte Leser versteht: das ist das Problem.

Viele Mitarbeiter der EDV-Abteilung, sind keine Experten in IT-Sicherheit. Das war in der Zeit der Ausbildung der meisten Mitarbeiter auch überhaupt nicht notwendig. Digitalisierung hieß eben eine funktionierende IT-Infrastruktur zum Laufen zu bringen und diese am Laufen zu halten. Die Sicherung der Systeme kam immer Stück für Stück hinzu und auf einmal sind Experten gefragt, die funktionierende Konzepte entwickeln und umsetzen sollten. Diese Aufgabe wird nach wie vor erfüllt, jedoch benötigt es ein wenig mehr um ein Netzwerk abzusichern. Eine gute Infrastruktur ist da nur die Grundlage. Das Konzept sollte immer davon ausgehen, dass etwas schief gehen könnte was nicht durch Fehler in der Administration verursacht wurde, sondern durch die Aktionen von Dritten. Netzwerke sollten also von Anfang an mit dem Fokus auf Sicherheit entworfen und aufgebaut werden. Die Realität zeigt aber, dass in gewachsenen Strukturen umgebaut und optimiert werden muss. Denn es muss ja immer möglich sein für alle Mitarbeiter und Prozesse produktiv zu arbeiten. Die berühmte Tabula Rasa auf der ein komplett neues Netz entworfen und konzipiert werden kann ist daher die Ausnahme.

Wer macht denn nun was?


Was macht die IT-Abteilung den nun? “Die machen eben die IT.” Wofür genau die Mitarbeiter dieser Abteilung zuständig sind weiß aber niemand genau. Bestenfalls wäre die Antwort dann so etwas wie „Die sind eben dafür zuständig, dass unsere PCs, Server und alles was da dran hängt funktioniert und dass alle vernünftig arbeiten können“.

Den Betrieb aufrecht erhalten und auch mal etwas hinzuzufügen oder altes zu ersetzen, das macht die IT-Abteilung. Genau das war auch zu Beginn der Digitalisierung die Aufgabe. Wöchentlich neue Schadsoftware, von der keiner weiß was sie als nächstes tut gab es damals nicht. Inzwischen ist das aber die Realität und es ist auch mehr als klar, dass es diese Schadsoftware die EDV betrifft. Und wer ist dafür zuständig? Die IT-Abteilung.

Wenn diese IT-Abteilung jedoch in der Vergangenheit darum kämpfte dem Bereich der IT-Sicherheit mehr Raum zu geben war das Ergebnis oft ernüchternd. Lehrgänge, Schulungen und die ein oder andere Neuanschaffung im Bereich Firewall oder Antivirus Software. Als als eigenständige Disziplin kann man das wohl kaum angesichts der aktuellen Bedrohungslage bezeichnen. Bestenfalls sind die Mitarbeiter der IT nur noch mehr ausgelastet bzw. belastet. Da es lediglich mehr Arbeit für immer noch die selben Personen gibt. Nur allzu oft folgten daraus spektakuläre Sicherheitsvorfälle die so niemand antizipieren konnte, schlicht und ergreifend weil die Personalkompetenz fehlte.

Jeder sollte heute verstehen, dass es Verluste bedeutet, wenn durch Schadsoftware oder ausgefallene Hardware keine Rechnungen verschickt oder Produkte hergestellt werden können. Betriebswissen oder Geschäftsgeheimnisse sind aber bereits eine Indirektionsstufe höher angesiedelt. Wer will denn unser Firmenwissen schon haben. Die “Das haben wir aber schon immer so gemacht” Mentalität ist immer noch allgegenwärtig – auch in der IT.
Zusammen sind wir stärker

Das Problem: Sicherheit braucht Zeit und eine Mitarbeiterschaft, die auch unbequeme Maßnahmen mitträgt. Wenn die IT-Abteilung an der Belastungsgrenze ist, wird zuerst das nach hinten gestellt was am meisten Zeit beansprucht und gleichzeitig am wenigsten kritisch für die Aufrechterhaltung des Betriebes ist. Sicherheitsmaßnahmen also. Administratoren können oft schon dann kein Gehör mehr finden, wenn entweder Angestellte oder gar der Geschäftsführer sich durch beschriebene Maßnahmen zur Steigerung der Unternehmenssicherheit behindert oder eingeschränkt fühlen.

Neben den beschriebenen Aufgaben wachsen die Anforderungen an die Sicherheit aber beständig. Sicherheit ist aber spätestens seit Locky kein Nebenschauplatz in der IT. Man kann das Thema Sicherheit nicht nebenbei im Full-Service betreuen. Experten wie der Netzwerkadministrator es für alle Komponenten und Fragen der Betriebskontinuität ist müssen her. Die werden aber nicht eingestellt, weil aus Sicht der Geschäftsführung IT-Sicherheit eben auch einfach von der IT-Abteilung mitgemacht werden kann.

Geschäftsführer haben also die Möglichkeit Experten einzustellen, eigene Mitarbeiter durch entsprechende Ausbildung zu Experten zu machen und gleichzeitig von ihren bisherigen Aufgaben zu befreien oder den Sicherheitsexperten als Dienstleistung von Extern einzukaufen. Gerade die letzte Option kann für kleine Betriebe sinnvoll sein, die schlicht und ergreifend keine Mittel für eine eigene Stelle des Sicherheits-Experten haben.

Wenn die Geschäftsführung bei diesen Maßnahmen mit an Bord ist, wird es auch der IT-Abteilung leichter fallen entsprechende Maßnahmen zu ergreifen und auch gegen Widerstand aus der Mitarbeiterschaft durchzusetzen.

Was folgt daraus?


IT-Sicherheit soll unter keinen Umständen vernachlässigt werden. Die meisten Unternehmen haben jedoch auf Grund Ihrer eigentlichen Geschäftsfelder ihre Kernkompetenz naturgemäß nicht im Bereich IT-Sicherheit. Einfach zu bedienende und effektivere Lösungen können das bereits vorhandene Personal erheblich entlasten, aber auch externe Dienstleister die speziell mit der Betreuung der IT-Sicherheit beauftragt werden, können hier bereits helfen die Sicherheit zu steigern. Denn in Zukunft werden die Anforderungen an die IT und damit auch an die IT-Sicherheit nicht weniger werden, eher im Gegenteil.

Statt Full-Service sollten also auch zunehmend Spezialisten und moderne Sicherungslösungen in den Blick der Betriebe und Dienstleister rücken wenn es um Personalentscheidungen geht. Die Belastung des Budgets kann heute also kein Grund mehr dafür sein, kein tragfähiges IT-Sicherheitskonzept mit den entsprechenden Mitarbeitern vorweisen zu können. Vielmehr sollten mögliche Folgekosten von Sicherheitsrelevanten Vorfällen die treibende Kraft für die Entscheidung sein, Expertenwissen und moderne Schutzmechanismen im Unternehmen zu integrieren.

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie...

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie Daimler und Reckitt Benckiser reißen nicht ab. Trotzdem werden 100% der IT Verantwortlichen die Frage "Wie sichern Sie ihre Endpoints?" antworten, dass sie eine aktuelle Virenscanner Lösung verwenden.
100% der Hersteller dieser Lösungen haben bereits nach den ersten Angriffswellen durch die Ransomware Locky versprochen ihre Lösungen so weiter zu entwickeln, dass diese vor erneuten Angriffen schützen werden. Das die Hersteller diese Versprechen nicht einhalten konnten, ist seitdem regelmäßig in den Nachrichten zu verfolgen.


AKTION #BYOM – Bring Your Own Malware
SecuLution startet nun auf der Cloud Security Expo ab dem 28.11.2017 in Frankfurt den Gegenbeweis, nämlich dass man sich sehr wohl effektiv schützen kann. Erfahren Sie mehr in der Pressemitteilung:

Zur Pressemitteilung

Application Whitelisting hat immer noch einen schweren Stand in der IT Welt. Trotz überlegenem Schutzt und inzwischen einfachster Verwal...


Application Whitelisting hat immer noch einen schweren Stand in der IT Welt. Trotz überlegenem Schutzt und inzwischen einfachster Verwaltung der Whitelist, sind viele Administratoren fest davon überzeugt, dass Ihre aktuellen Sicherheitsmaßnahmen sie schützen. 

Die Meldungen über neue, erfolgreiche Angriffe mit Schadsoftware, die es teilweise auch schon einmal gegeben hat und die nur modifiziert wurde, reißen auch nach 2 Jahren nicht ab. Warum das so ist wird sich jeder selbst erklären können.

Die Wahrheit hier aber noch einmal für alle: Virenscanner können nicht vor diesen Gefahren schützen. Offensichtlich.

Oder glauben Sie die jüngsten Opfer wie Daimler, Reckitt Benckiser, Metabo oder Milka haben keinerlei Schutzmaßnahmen für Ihre Netzwerke parat? Trotz aktuellsten Antivirenprogrammen und modernster Hard- und Software standen hier die Produktionen teilweise tagelang still oder es mussten sogar wie im Fall von Reckitt Benckiser Umsatzprognosen in Millionenhöhe korrigiert werden (Quelle: heise).

SecuLution zeigt, dass es auch anders geht
Unter dem Hashtag #BYOM (Bring Your Own Malware) starten wir auf Veranstaltungen in Europa eine einmalige Aktion.
Attackieren Sie unser Demo System mit Ihrer eigenen Schadsoftware oder bringen Sie Schadsoftware mit, die Ihr Virenscanner beim letzten Angriff auf Ihr Netz nicht erkannt hat!

SecuLution blockiert alles, was nicht bekannt ist. Daher wird SecuLution alte Ransomware wie Locky ebenso blockieren wie nagelneue Zero-Day Attacken.

Keine leeren Versprechungen! Keine Tricks!
Die Demo Systeme sind mit SecuLution geschützte Standard Windows 10 Desktops. Erleben Sie, wie SecuLution allen Angriffen Stand hält!

Wären die Ransomware Opfer der vergangenen zwei Jahre mit der SecuLution Lösung geschützt gewesen, hätte es keine dieser Meldungen gegeben. Alle Kunden die SecuLution in Ihrem Netzwerk einsetzen, haben seither nie wieder Probleme mit Schadsoftware gehabt. So einfach kann Sicherheit sein.

Überzeugen Sie sich selbst auf der conhIT in Berlin. Vom 17. bis 19.04.2018.
Gratis Tickets inkl. eines kleinen Snacks könne Sie hier erhalten.





Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lös...


Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Lange Zeit war es ruhig um unsere Software in aktuellen Tests. Anfang 2017 haben wir jedoch auf die Anfrage des Magazins "IT-Adminis...

Lange Zeit war es ruhig um unsere Software in aktuellen Tests. Anfang 2017 haben wir jedoch auf die Anfrage des Magazins "IT-Administrator" unsere Software mit allen Modulen für einen Test zur Verfügung gestellt. Der verantwortliche Redakteur wurde von uns - wie alle unsere Kunden - einmalig geschult und nahm unsere Application Whitelist dann in einer eigenen Testumgebung in Betrieb.

Dieser Test wurde nicht von uns in Auftrag gegeben, sondern das Magazin hat eigenständig bei uns eine Test Version angefordert. Wir hatten keinerlei Einfluss auf den Artikel, es ist keine Vergütung, wie bei vielen "Tests" üblich, geflossen.

Wir möchten uns an dieser Stelle herzlich bei allen Beteiligten bedanken. Hier der Link zur Kurzversion des Tests auf der Webseite des "IT-Administrator".

This one is just in. Ein neuer Schadcode mit dem klangvollen Namen #Goldeneye treibt sein Unwesen in Bewerbungs E-Mails. Wir möchten dies...


This one is just in. Ein neuer Schadcode mit dem klangvollen Namen #Goldeneye treibt sein Unwesen in Bewerbungs E-Mails. Wir möchten dieses Ereignis nutzen um ein wenig über die Funktionsweise einer Application Whitelist und dem Vorgehen einer Schadsoftware wie #Goldeneye zu informieren.

Denn #Goldeneye erfindet das Rad nicht neu. Es greift nur gezielt die Personalabteilungen mit einer getürkten Bewerbung an, in der eine XLS Datei und teilweise auch ein PDF mit Bewerberdaten enthalten sind. Öffnet man die XLS Datei wird man dazu aufgefordert die Makros zu aktivieren. Jetzt kann über ein Script die eigentliche Schadsoftware nachgeladen und angestartet werden.

Dieser Mechanismus ist nichts neues, nur das Ziel ist jetzt die Personalabteilung von Unternehmen. Denn Bewerbungen werden dort immer empfangen. Social Engineering eben.

SecuLution schützt hier mit der Positivliste. Das bedeutet zwar, dass über die aktivierten Makros die Schadsoftware geladen werden kann, allerdings hindert der Abgleich des generierten Hashwertes mit der Positivliste die Schadsoftware an der Ausführung. Der Nutzer erhält lediglich die Nachricht, dass das Programm welches gerade ausgeführt werden sollte nicht auf der Whitelist steht und somit auch keinen Schaden anrichten kann.

Virenscanner haben gerade mit neuen Schadcodes ihre Probleme, da sie die brandneuen Schädlinge nicht kennen, sondern sich gerade noch komplett auf #Locky und Co. konzentrieren. Signaturen die vor #Goldeneye schützen haben sie nicht, so kann der Virus in den ersten Stunden nach seinem Auftauchen bereits massenhaft Systeme infizieren und ungestört arbeiten. Der Schaden ist entstanden.

Mit SecuLution bleibt alles beim alten. Ohne Signaturupdates oder aufwändige Netzwerkscans.

Für mehr Informationen zu #Goldeneye geht es hier zum Artikel von heise.de.

Sie sichern Ihr Netzwerk mit höchster Wahrscheinlichkeit gegen Angriffe von außen ab, das ist gut so. Tun Sie das auch mit aktueller Te...


Sie sichern Ihr Netzwerk mit höchster Wahrscheinlichkeit gegen Angriffe von außen ab, das ist gut so. Tun Sie das auch mit aktueller Technik und höchstmöglicher Effektivität gegen die aktuelle Welle von Schadsoftware? Über 30 Jahre alte Mechanismen werden mit immer neuen Namen versehen und tun immer noch das gleich wie in Zeiten der ersten Computerviren die keinen großen Schaden anrichten konnten.
Die Bedrohung ist heutzutage jedoch eine völlig andere als vor 30 Jahren. Immer neue Varianten von Ransomware, allen voran Locky, werden in ungeahnter Geschwindigkeit verändert und verbreiten sich ungehindert in Netzwerken um Unternehmen mit Hilfe gekidnapter Daten zu erpressen. Virenscanner können hier immer nur gegen die Versionen die bereits bekannt sind effektiv schützen.
Doch wie schützt man sich effektiver als mit den heute gängigen und leider auch komplizierten Verfahren wie Verhaltensanalyse, ständigen Paket-Scans und ressourcenfressender Netzwerküberwachung?
Gehen Sie einen Schritt zurück und fragen sich, wie es einfacher statt immer komplexer funktionieren kann.
Wie verhalten Sie sich an Ihrer Haustür? Sie lassen nur Personen in Ihr Haus die Sie kennen und denen Sie vetrauen. Würden Sie hier agieren wie ein Virenscanner würden Sie ständig auf eine Liste von bekannten Straftätern schauen wenn es klingelt. Für den Fall, dass ein Unbekannter vor Ihnen steht der nicht auf der Liste ist, lassen Sie ihn ein und beobachten wie er sich verhält.
So sichern Unternehmen heute ihr Netzwerk.
Wir müssen anfangen unsere Verbieten-Mechanismen durch Erlauben-Mechanismen auszutauschen! Kein Virenscanner wird ein neues Virus blocken wenn er es noch nicht kennt! Keine Verhaltensanalyse wird ein auffälliges Verhalten feststellen wenn es nichts auffälliges zu erkennen gibt.
Mehr unter echte-sicherheit.de

Alles dreht sich dieses Jahr um Ransomware und wie man sich effektiv schützen kann. Im Rahmen der diesjährigen it-sa in Nürnberg wird di...


Alles dreht sich dieses Jahr um Ransomware und wie man sich effektiv schützen kann. Im Rahmen der diesjährigen it-sa in Nürnberg wird dieses Thema eine der oberen Positionen für die Messebesucher einnehmen. Vor allem Krankenhäuser haben mit Ransomware zu kämpfen, hier lohnt sich der Angriff für Cyber-Kriminelle vor allem da sehr sensible Patientendaten verschlüsselt werden können. Somit sind die IT Verantwortlichen jetzt mehr dennje in der Pflicht nach Möglichkeiten zu suchen sich gegen diese neue Bedrohung zu schützen.

Das Fachjournal "Krankenhaus IT" widmet dem Thema IT Sicherheit im Krankenhaus ein komplettes Sonderheft. Auch das Whitelisting von Applikationen findet natürlich seinen Platz hier. Denn nach wie vor gilt, Application Whitelisting ist der einzig effektive Schutz vor unbekannter Software. Vorurteile gegenüber dieser Technik halten sich dennoch hartnäckig. So ist die Erstellung und Pflege einer Whitelist heute alles andere als zeitintensiv und aufwändig. Im Gegenteil, vieles kann problemlos automatisiert werden, so dass Administratoren sich nicht einen Großteil ihrer Zeit um ihre Sicherheitslösung kümmern müssen.

Der Artikel aus dem aktuellen Heft 10/2016 ist für Sie hier erreichbar: Manche Administratoren machen es sich einfach. Mit Whitelisting.

Das komplette Heft sehen Sie hier: Praxisleitfaden IT Sicherheit im Krankenhaus

Die Security Softwareschmiede SecuLution GmbH aus Werl war dieses Jahr mit ihrem gleichnamigen Application Whitelisting Produkt nicht nur...


Die Security Softwareschmiede SecuLution GmbH aus Werl war dieses Jahr mit ihrem gleichnamigen Application Whitelisting Produkt nicht nur mit einem Messestand auf der it-sa 2016 vertreten. Schon in der Pressekonferenz zur Eröffnung war Geschäftsführer Torsten Valentin als Vertreter der deutschen IT-Security Unternehmen unter den Referenten und rückte die momentane Situation in der deutschen IT Sicherheitslandschaft in den Fokus. Die Aussage "Was die IT-Branche angeht, so sind wir noch in den Kinderschuhen" sorgte für mächtig Wirbel, jedoch auch Zustimmung unter den Anwesenden. So twitterte Fraunhofer AISEC "Torsten Valentin, GF @EchteSicherheit spricht gerade sehr erfrischend auf der PK der #itsa16"

Zur Pressemitteilung.