Bromiums Anwendungsisolation für mehr Windows-Sicherheit
Gut eingebettet
Das kommerzielle Bromium isoliert Anwendungen in effizienten virtuellen Maschinen. Die Software für Windows-Umgebungen lässt sich im Unternehmen zentral verwalten.
Das Szenario ist gut bekannt: Man wartet am Flughafen, geht über das unverschlüsselte WLAN in der Lounge online. Eine E-Mail enthält nur scheinbar eine interessante Bewerbung und verschlüsselt als „Dank“ für das Interesse anschließend alle Daten auf dem Gerät. Und wer weder fliegt noch mailt, der surft wohl im Internet. Drive-by-Attacken, Downloads mit „Extrafunktion“ und Bilder unklaren Ursprungs gibt es dabei manchmal gratis.
Zum Absichern eines PC-Systems gibt es zahlreiche aktive Wege: Intrusion Detection, Malware- und Virenscanner et cetera. Diese überwachen das System und melden Ereignisse oder greifen sogar aktiv ein, sobald etwas verdächtig scheint. Aber auch passive Maßnahmen wie Firewalls oder das Abschotten durch Teilsysteme helfen beim Schutz des Rechners. Paketfilter-Firewalls bieten durch Filterung wirksame Abgrenzungen und können – etwa als Whitelist-System konfiguriert – sehr strikt arbeiten.
Bei der Kompartmentalisierung härtet man einen PC, indem man bestimmte Prozesse wie Browser oder den E-Mail-Client abgegrenzt vom restlichen Host-System eingezäunt ausführt. Die einzelnen Techniken schützen dabei vor verschiedenen Angriffsszenarien; manche ergänzen sich gut und bilden so ein schlagkräftiges Gespann. Und da es 100%ige Sicherheit und das perfekte Sicherheitsprodukt nicht gibt, lohnt es sich umso mehr, ein zum individuellen Bedarf passendes Gesamtsystem zu entwerfen.
Dabei besitzen die passiven Maßnahmen den Charme, im definierten Rahmen verlässlich zu arbeiten, etwa durch strikte Systemtrennung. Wenn man Onlinebanking auf Notebook A, Textverarbeitung auf Notebook B und Websurfen auf Notebook C getrennt voneinander erledigt, ist das typischerweise ein sehr wirksamer Schutz vor einer Kompromittierung des Bankkontos nach einem virulenten Ausflug ins Web. Da es für die meisten Anwender eher umständlich ist, mehrere PCs mit sich herumzutragen, erfreuen sich Client-Virtualisierungen zunehmender Beliebtheit. Sie bieten eine Systemtrennung auf logischer Ebene auf nur einer Hardware.
Viele Wege zu mehr Systemsicherheit
Bei der Wahl einer Kompartmentalisierungstechnik gibt es mittlerweile mehrere Anbieter. Das Angebot reicht von Open Source bis zu kommerzieller Software und bedient mit diversen Leistungsumfängen verschiedene Zielgruppen.