Zwischen Juni 2006 und Juni 2007 stieg die Anzahl webbasierter Viren-Infektionen um 150 Prozent. Der Filterservice TrustedSource von Secure Computing registriert jeden Tag 5.000 neue Webseiten, auf denen sich User mit Viren infizieren können. Die Anzahl virenverseuchter E-Mails ging im gleichen Zeitraum um die Hälfte zurück. Die Entwicklung, die namentlich auf die wachsende Zahl von Web 2.0-Anwendungen zurückzuführen ist, hat viel Bewegung in den Markt für Gateway-Security gebracht. Ingolf Hahn, Geschäftsführer des auf IT-Security spezialisierten Distributors entrada, berichtet: „Als Distributor und technischer Helpdesk bekommen wir täglich Anfragen von Unternehmen, die sich in Blogs oder beim Instant Messaging einen Virus eingefangen haben.“ Hahns Empfehlung: „Dedizierte Gateway-Security-Appliances – am besten ergänzt durch einen reputationsbasierten Filter.“
Secure Computing bietet für die Abwehr webbasierter Malware die Webwasher Web Gateway Security Appliance an. Die Plattform vereint eine Gateway-Antivirus-Lösung mit einem proaktiven, verhaltensbasierten Malware-Schutz und öffnet sogar temporär den SSL-Datenverkehr. In der aktuellen Version 6.5 unterstützt die Appliance zudem reputationsbasiertes URL-Filtern auf Basis von TrustedSource. Bei diesem globalen Service trägt Secure Computing mithilfe von Kundenfeedback, Web-Detektoren und Dutzenden weiterer Analyseverfahren Listen potenziell schädlicher Internetseiten zusammen. TrustedSource blockiert Zugriffe auf die entsprechenden URLs, auf die IP-Adressen infizierter Rechner (Bots) und Spam-Nachrichten, die von diesen verschickt werden.
„Web 2.0-Anwendungen sind gefährlich, weil sie über etablierte Internet-Protokolle wie HTTP neue, ursprünglich nicht vorgesehene Dienste bereitstellen“, erklärt Frank Kölmel, Director Sales Central und Eastern Europe bei Secure Computing. So wird das ursprünglich unidirektional entworfene HTTP-Protokoll heute bidirektional genutzt, um Blogs zu befüllen, Wikipedia-Beiträge zu erstellen und zu editieren oder E-Mails zu versenden. Kölmel warnt: „Für diese Funktionen war HTTP ursprünglich nicht gedacht. Daher gibt es für die bidirektionale HTTP-Kommunikation keine Sicherheitsmechanismen.“ Das Sicherheitsleck wurde im November 2006 von Hackern ausgenutzt, die bösartigen Code in Wikipedia-Einträgen referenzierten und Zehntausende von PCs mit Spyware verseuchten.
Gefahrenquelle HTTPS
Ebenso wie HTTP wird das verschlüsselte Protokoll HTTPS zunehmend zweckentfremdet: HTTPS wurde für die Sicherung von Banktransaktionen konzipiert, wird aber vermehrt für Web-2.0-Anwendungen wie Hosted Customer Relationship Management sowie für die Absicherung webbasierter E-Mail-Dienste genutzt. Auch hier droht Gefahr: Da die E-Mails als verschlüsselte HTTPS-Daten über Port 443 der Firewall geleitet werden, umgehen sie sowohl den Virenschutz auf dem Mail-Gateway als auch die Sicherheitsmechanismen nahezu aller Firewalls und Web Proxies, die für den HTTP-Port 80 gelten. Mitarbeiter können mit dem Herunterladen einer einzigen E-Mail das gesamte Netzwerk infizieren. „SSL hat sich über die Jahre zu einer der gefährlichsten Sicherheitslücken entwickelt“, berichtet Frank Kölmel, und rät: „Unternehmen sollten darauf achten, dass ihr Security-Gateway einen speziellen SSL-Filter unterstützt.“ Ähnliche Risiken birgt der Einsatz von Instant Messaging (IM). Anwender nutzen die Echtzeittools häufig, um Peer-to-Peer-Dateiübertragungen anzustoßen. Die IM-Software startet die Downloads je nach Verfügbarkeit der Ports über HTTP (Port 80), FTP (Port 21) oder einen beliebigen anderen offenen Port. Kommen die Daten nicht über HTTP oder FTP herein, werden sie auch nicht durch die Virenscanner auf Desktop- und Serverebene geprüft. Malware kann ins Netz gelangen.
Sicherheit für das Web 2.0
Die Webwasher Gateway Security Appliance schließt diese Sicherheitslücken zuverlässig: Webwasher-Kunden wurden in Echtzeit vor Malware-Downloads über die gehackte Wikipedia-Seite geschützt. Darüber hinaus unterstützt die Appliance spezielle Malware-Filter für SSL- und Instant Messaging-Daten. „Wir empfehlen die Appliance allen Unternehmen, in denen viel mit dem Internet gearbeitet wird“, berichtet Distributor entrada. „Durch die Integration eines reputationsbasierten Filters lassen sich nicht nur Web 2.0-Anwendungen absichern, sondern auch Bedrohungen wie Image-Spam gut in den Griff bekommen.“