https://www.faz.net/-gy9-71cpv

Sicherheit im Netz : Das Internet wird nervös - und sicher

  • -Aktualisiert am

Auf die Suche gegangen Bild: © Patrick George/Ikon Images/Cor

Das Netz ist ein gefährlicher Ort. Um es sicherer zu machen, wollen Computerexperten das menschliche Nervensystem imitieren. Millionen Sensoren sollen sich auf die Suche nach schädlicher Software machen.

          5 Min.

          Die Leitwarten der Sicherheitsunternehmen und Antivirenhersteller lassen allesamt bei ihren Besuchern das Gefühl aufkommen, als seien sie im Kontrollraum eines Raumschiffes gelandet. Egal, ob man das Virenlabor des russischen Spezialisten Kaspersky in Moskau besucht, die Überwachungszentrale der X-Force genannten Sicherheitstruppe der IBM in Kassel oder die entsprechende Abteilung im Forschungslabor von Hewlett-Packard im englischen Bristol: An der Frontseite der jeweils im Halbrund oder elliptisch angeordneten Arbeitstische ist das große Display mit der Weltkarte. Hier kann der aktuelle Sicherheitszustand des Netzes abgelesen werden. Denn einige hundert Punkte zeigen, wo auf der Welt gerade Dateien mit Schadsoftware im Netz unterwegs sind.

          Nicht nur das Mobiliar der Überwachungszentralen ähnelt sich, auch die eingesetzten Sicherheitssysteme arbeiten mit vergleichbaren Methoden. Virtuelle Netzpolizisten schauen im Web nach dem Rechten. „Wir setzen dieselbe Suchtechnik ein wie Google & Co“, berichtet Carsten Dietrich, Deutschland-Chef der X-Force von IBM.

          15 Millionen Sensoren im Einsatz

          Sogenannte Suchroboter oder Crawler besuchen Websites und Server, lesen die Inhalte aus und analysieren Dateien auf riskanten Gehalt. „Da kann es sich um Kinderpornographie handeln, aber auch um Schadsoftware“, erläutert Dietrich. Täglich werten die Kasseler Experten rund sechs Millionen Server aus. Beim Konkurrenten Symantec kommen die Profis auf ähnliche Zahlen. Sie arbeiten ebenfalls mit äußerst effizienter Suchtechnik, die sie von bestimmten Netzpunkten - Sensoren genannt - losschicken. „Insgesamt haben wir 15 Millionen Sensoren ständig im Einsatz“, erklärt Alexander Peters von Symantec: „Bei Bedarf können wir in Krisensituationen auf bis zu 150 Millionen erweitern.“

          Von diesen Sensoren oder Endpunkten starten die Suchroboter, und sie erhalten auch die ersten Suchergebnisse, verdächtige Dateien, die dann weiter analysiert werden. „Das ist vergleichbar mit Sensoren, die den Druck oder Temperaturen messen“, erläutert Chefanalyst Richard Brown aus dem HP-Forschungslabor in Bristol, „nur dass sie statt der Temperaturwerte Werte für die Gefährlichkeit von schädlichen Mustern weitergeben“.

          In einer ersten groben Analyse werden Dateien auf den Servern nach sogenannten Schad-Signaturen untersucht. „Das sind Muster im Dateiaufbau, die einen Virus oder andere Schadsoftware verraten“, berichtet Boris Jembolzky, Chef des Moskauer Virenlabors von Kaspersky. „Google erstellt von den untersuchten Dateien einen Volltextindex für die Suche, wir erstellen einen Schadindex“, vergleicht X-Force Chef Dietrich die Arbeitsweisen. Dabei gehen die Sicherheitsexperten ein Stück weiter als die Suchmaschinenspezialisten.

          „Es reicht auf Dauer nicht mehr aus, Dateien auf Signaturen zu untersuchen oder mit einer Datenbank der bekannten Schwachstellen und Sicherheitslücken abzugleichen“, meint Alexander Peters von Symantec. Die Mustererkennungssoftware, mit der Dateien auf Schadsoftware analysiert werden, ist inzwischen ein lernendes System geworden. „Das Ganze ist durchaus vergleichbar mit dem menschlichen Nervensystem“, zeigt Richard Brown auf. Die Sensorpunkte sind die erste Instanz, an die Webcrawler und Suchroboter die Risikowerte übermitteln. Dateiaufbau, bekannte Programmiermuster für Schadsoftware, das Anspringen bestimmter Speicheradressen, die als Schwachstellen bekannt sind, und der Entstehungsort der Datei liefern die Hinweise.

          Schadsoftware-Updates im Fünf-Minuten-Takt

          Kann ein Risiko nicht ausgeschlossen werden, folgen weitere Analysen. „Mit speziellen Anti-Malware-Algorithmen untersuchen wir verdächtige Dateien dann genauer“, sagt Alex Gostev von Kaspersky. Diese Analysen laufen inzwischen mehr oder weniger eigenständig ab. Lediglich das komplette sogenannte „Re-Engineeren“, das Entschlüsseln des Quelltextes eines Maschinencodes bei gänzlich unbekannter neuer Software wie dem kürzlich gefundenen Spionagevirus Flame, ist den menschlichen Virenspezialisten vorbehalten. Neu gefundene Dateimuster nachgewiesener Schadsoftware werden von den Programmen für die Analyse verarbeitet. „Teilweise wird hier mit hoch entwickelten und weitgehend autonom agierenden lernenden Systemen gearbeitet“, urteilt Analyst Richard Brown. Das sei ein Trend der künftigen Sicherheitstechnik. „Wir haben es häufig mit Schadsoftware-Updates im Fünf-Minuten-Takt zu tun“, stellt Brown fest. Das kann nach seinem Dafürhalten nur noch von selbständig lernenden Sicherheitssystemen bewältigt werden.

          Weitere Themen

          Topmeldungen

          Coronavirus : British Airways setzt Flüge nach China aus

          Das Coronavirus breitet sich aus und einzelne Unternehmen treffen Notmaßnahmen: British Airways fliegt nicht mehr nach China, Toyota stoppt dort seine Produktion und Starbucks hat in der Volksrepublik mehr als die Hälfte der Filialen geschlossen.
          Im Halbfinale: Alexander Zverev gewinnt gegen Stan Wawrinka.

          Australian Open : Das erste Grand-Slam-Halbfinale für Zverev

          Alexander Zverev steht als erster Deutscher seit elf Jahren im Halbfinale eines Grand-Slam-Turniers. Sein Sieg gegen Stan Wawrinka war nach dem Verlust des ersten Satzes eindrucksvoll. Nun trifft Zverev auf Rafael Nadal oder Dominic Thiem.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.