Klassische Antivirusprogramme stoßen heute an ihre Grenzen: Als signaturbasierte Lösungen können sie nur bekannte Schwachstellen erkennen. EDR (Endpoint Detection and Response) Software schließt diese Sicherheitslücke mit einem neuen technischen Ansatz.
Malware früher und heute
Lange Zeit bestand die Funktionalität von Schadprogrammen in Form von Viren darin, sich selbst in das angegriffene System zu kopieren und sich dort weiter zu replizieren. Die Übertragung war meistens an physische Datenträger gebunden und war abhängig von einer Ausführung des infizierten Wirtsprogrammes durch einen Anwender.
Mit der rasant ansteigenden Vernetzung von Geräten seit den 2000er Jahren löst das Internet als häufigster Infektionsweg den physischen Datenträger ab. Demnach sind prinzipiell alle mit dem Internet verbundenen Geräte von einer Malware-Infektion bedroht.
Auch die Strategie der Schadsoftware hat sich weiterentwickelt: Die sich heute im Umlauf befindliche Malware besitzt meistens eine Funktionalität der Kommunikation eines infizierten Rechners mit einer außerhalb des Netzwerkes liegenden Kontrollinstanz (C&C Server). Auf diese Weise kann weitere Schadsoftware aus dem Internet auf das Gerät geladen oder eine weitere Backdoor eingerichtet werden, die einem Angreifer weitgehende Kontrolle über das kompromittierte System erlaubt.
Die Malware verbirgt sich meist an einer unauffälligen Stelle im System und ist nicht mehr abhängig von der direkten Ausführung eines Wirtsprogrammes durch einen Nutzer, sondern kann sich unter Ausnutzung von Sicherheitslücken unabhängig von einer Benutzerausführung aktivieren.
Wo klassische Antivirussoftware zur Abwehr von Malware an seine Grenzen trifft
Klassische Antivirenprogramme können gute Dienste leisten, Geräte vor bekannten Viren zu schützen. Allerdings gelangen jeden Tag neue und immer schwerer zu entdeckende Schadprogramme auf den Markt. Die als Antwort darauf vom Hersteller ständig aktualisierten Virensignaturen können wiederum leicht durch ständig andere Dateicharakteristiken umgangen werden (polymorphische Malware). Allgemein ist das Problem, dass die Erkennungsrate bei von Legacy Antivirussoftware nie bei 100 % liegt, da die Signaturenliste immer zeitverzögert nach dem erstmaligen Auftreten einer neuen Schadsoftware aktualisiert werden kann.
EDR – Endpoint Detection and Response
EDR Software wählt einen neuen Ansatz für eine bessere Erkennungsrate: Anstatt ausschließlich Dateien auf Virensignaturen zu scannen, analysiert die Software die Nutzungsmuster von Programmen und Prozessen. Schadsoftware wird damit vermehrt am Verhalten und nicht mehr an typischen Dateimerkmalen erkannt. Der größte Vorteil ist, dass dadurch auch Bedrohungen erkannt werden, die (noch) nicht auf der Virensignaturliste stehen.
Zusätzlich zu dem Erkennen, Blockieren und Isolieren von Schadsoftware überwacht ein fortschrittliches EDR System laufend Änderungen an Dateien und Systemeinstellungen und ist im Falle einer Infektion in der Lage, Änderungen durch Schadsoftware rückgängig zu machen, indem das System in einen Zustand vor der Infektion zurückgesetzt wird (Rollback).
Oftmals bietet EDR Software zusätzlich Tracking- und Loggingfunktionen, die über Aktivitäten wie Dateiänderungen und Netzwerkaktivitäten Auskunft geben, was die Früherkennung von Schwachstellen und den strategischen Ausbau der IT-Sicherheitsinfrastruktur erleichtert.
Zusammenfassend ist EDR Software deutlich besser gewappnet, Unternehmen vor moderner Malware und Cyberkriminalität zu schützen als ein klassischer Virenscanner. Nehmen Sie noch heute Kontakt zu uns auf um herauszufinden, wie auch Ihr Unternehmen von EDR profitieren kann. Gerne beraten wir Sie zur Gestaltung Ihres individuellen Sicherheitskonzeptes.
