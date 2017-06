Vor drei Jahren bekam Symantec-Manager Brian Dye für seine, von einem Wirtschaftsblatt unglücklich aus dem Zusammenhang gerissene Aussage, „Antivirus ist tot“, noch reichlich Gegenwind. Der von ihm eigentlich beabsichtigten Aussage, dass reine, signaturbasierende Sicherheitsansätze längst nicht mehr ausreichen, stimmten die innovativeren Anbieter bereits damals zu. Allerdings setzten Symantec und die meisten anderen Marktteilnehmer damals immer noch auf signaturbasierende Methoden als ein Standbein einer vielfältigen Security-Strategie – sozusagen, um den gröbsten und bekanntesten Müll direkt ohne aufwändige Untersuchung in den Abfall werfen zu können.

Inzwischen scheinen die raschen Fortschritte bei Maschinenlernen und künstlicher Intelligenz dazu beigetragen zu haben, dass Ansätze, die auf Malware-Signaturen ganz verzichten, tatsächlich marktreif sind. Und möglicherweise hat sich auch die Einstellung der Anwenderunternehmen gewandelt und sind sie auch aufgrund nicht zufriedenstellender Erfahrungen mit aktuellen Methoden offener für neue.

In diese Bresche schlagen nun Anbieter, die mit cloudbasierenden Sicherheitslösungen auf den Markt drängen. Cloudbasierend nicht zuletzt auch deshalb, weil sie für ihre Berechnungen mit Maschinenlernen und künstlicher Intelligenz viel Rechenleistung benötigen und nicht davon ausgehen können – ja nicht davon ausgehen dürfen – die auf jedem zu schützendem Endpunkt vorzufinden. Außerdem nutzen sie die Möglichkeit, durch den Betrieb in der Cloud, eine zentrale Verwaltungskonsole anzubieten, die den Anwendern oder deren IT-Administratoren das Leben leichter machen soll.

Bei Trend Micro heißen die entsprechenden Angebote daher auch direkt „Worry Free“ Services, bei Bitdefender sind sie weniger sprechend unter dem Begriff Gravity Zone zusammengefasst, bei Kaspersky einfach als Kaspersky Endpoint Security Cloud und bei Secucloud ist der Name schon Programm, ebenso wie bei Symantec Endpoint Protection Cloud.

Abkehr von signaturbasierenden Erkennungsmethoden

Symantec erklärt, dass sich mit seinem Angebot „unbekannte Bedrohungen mithilfe moderner maschineller Lernverfahren und leistungsstarker intelligenter Schutztechniken“ blockieren lassen. Das legt nahe, dass für bekannte Bedrohungen weiterhin aus Signaturen zurückgegriffen wird. Trend Micro spricht bei seinen „Smart Protection Suites“ davon, dass diese „signaturlose Methoden wie maschinelles Lernen, Verhaltensanalysen, Schutz vor Bedrohungsvarianten, Prüfung der globalen Verbreitung, Applikationskontrolle, Abwehr von Exploit-Code und Prüfung auf bekannt harmlose Dateien mit weiteren Methoden, einschließlich File Reputation, Web Reputation und Sperrung von C&C-Kommunikation“ kombinieren. Es nimmt aber nicht in Anspruch oder betont zumindest nicht, auf Signaturen komplett zu verzichten.

Damit setzt bislang keiner der etablierten Anbieter so bedingungslos auf die Abkehr von signaturbasierenden Erkennungsmethoden wie das vor einigen Tagen Malwarebytes mit der Vorstellung seines neuen, cloudbasierenden Angebots getan hat. Oder wie das jetzt Fireeye in der Ankündigung seines im dritten Quartal zu erwartenden, cloudbasierenden Endpoint-Security-Angebots tut. Das Angebot von Malwarebytes umfasst insgesamt sieben Schutzschichten. Herzstück ist eine auf Machine Learning basierende Anomalieerkennung, die ohne Signaturen auskommt.

Den Ansatz hatte der Anbieter schon im vergangenen Jahr in einem Whitepaper propagiert, jetzt liegt das Produkt dazu vor. Das positioniert er konsequenterweise als Ersatz für herkömmliche Antiviren-Software. Dazu bietet seine Plattform unter anderem Module für Incident Response und Endpoint Protection.

Als börsennotiertes Unternehmen hält sich Fireeye in seiner jetzt gemachten Ankündigung mit Details noch zurück. Sicher ist, dass es auch von ihm eine cloudbasierte und virtualisierte Variante seines Produkts für Endpunktsicherheit geben wird. Die soll Anfang des dritten Quartals 2017 verfügbar sein. Das neue Angebot wird als Intelligence-basierte Endpoint Protection Platform (EPP) bezeichnet und ausdrücklich als „Anti-Virus-Ersatz und –Erneuerung“ beworben.

„Wir sehen jeden Tag, wie Endpunktsicherheitslösungen mit großen Tech-Buzzwords und noch mehr Alerts die Erwartungen unsere Kunden und Partner nicht erfüllen, wohingegen wir auf die echten Sicherheitsvorfälle reagieren. Wir bauen alle unsere Erfahrungen in unsere Endpoint-Security-Lösungen ein und können so unsere Kunden dauerhaft schützen und zugleich ihren Sicherheitsbetrieb vereinfachen”, kündigt Kevin Mandia, CEO von FireEye www.FireEye.de, in der Pressemitteilung an. John Laliberte, SVP Engineering bei FireEye, fügt hinzu: „Varianten auf Cloud- und virtualisierter Basis machen Intelligence-getriebene Endpunktsicherheit flexibel skalierbar.“

Traditionell bringen die meisten Security-Anbieter nach der Sommerpause ihre neue Consumer-Produktgeneration für das nächste Jahr auf den Markt. Oft werden um diese Zeit herum auch Neurungen für die Enterprise-Produkte angekündigt. Damit dürfte sich dann im Herbst zeigen, ob Malwarebytes und Fireeye mit ihrem Anspruch Malware völlig signaturlos erkennen zu können, Vorreiter eines neuen Trends sind oder zumindest zunächst Einzelkämpfer bleiben.

Der Markt wird zumindest genau beobachten, ob sie ihrem selbstgesteckten Anspruch gerecht werden, ganz ohne Malware-Signaturen besser zu sein als mit diesem zusätzlichen Standbein. Dass alleine signaturbasierende Erkennung ausreicht, glaubt inzwischen aber wohl keiner mehr. So gesehen hat Symantec-Manager Brian Dye dann der Entwicklung vielleicht nur etwas vorgegriffen: Antivirus, wie wir es bis dahin kannten, ist zwar nicht tot, wird aber nur noch künstlich am Leben erhalten. Oder um es anders auszudrücken: In der Hausapotheke entspricht es nur noch dem Blasenpflaster, wichtiger sind die zahlreichen anderen Mittel und Methoden.

