Wie Sie mit Application Whitelisting Ihre IT-Sicherheit verbessern  

Volle Kontrolle: Wie Application Whitelisting Sicherheitsrisiken minimiert

Schwachstellen und Sicherheitslücken in Applikationen werden häufig missbraucht, um Malware einzuschleusen, IT-Systeme zu übernehmen oder Daten zu stehlen. Application Whitelisting kann helfen, diese Risiken zu minimieren, indem es die ausführbaren Anwendungen auf eine Positivliste begrenzt. Die Definition und Pflege einer solchen Whitelist stellt IT-Teams jedoch vor neue Herausforderungen.

Software-Schwachstellen gehören zu den größten IT-Risiken in Unternehmen. Im Jahr 2023 waren Sicherheitslücken in Applikationen die dritthäufigste Ursache für erfolgreiche Cyberangriffe – nach dem Diebstahl von Zugangsdaten und Phishing-Attacken. Die CVE-Datenbank (Common Vulnerabilities and Exposures), die alle bekannten Softwareschwachstellen sammelt, verzeichnete im vergangenen Jahr knapp 30.000 neue Einträge. Zero-Day-Exploits, bei denen Hacker neue noch nicht gepatchte Sicherheitslücken ausnutzen, können ebenfalls zu gravierenden Sicherheitsrisiken führen. Eines der bekanntesten Beispiele aus jüngster Zeit ist die Schwachstelle Log4Shell im weit verbreiteten Java-Framework Log4j. Sie wurde 2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als extrem kritisch eingestuft.

Oft brauchen Cyberkriminelle auch gar keine Softwarelücke, um Systeme zu übernehmen. Mit Phishing-Mails, und Social Engineering bringen sie ihre Opfer dazu, auf gefährliche Links zu klicken, Schadcode herunterzuladen und gefährliche Programme zu starten. Laut dem Global Risks Report 2022 des Weltwirtschaftsforums (WEF) lassen sich 95 Prozent aller Cybersicherheitsvorfälle auf menschliche Fehler zurückführen.

Softwaresicherheit umsetzen

IT-Sicherheitsexperten haben in den vergangenen Jahrzehnten verschiedene Strategien und Methoden entwickelt, um Softwarerisiken zu minimieren. Eine der wichtigsten Maßnahmen ist das Patch-Management. Es schließt im Idealfall Sicherheitslücken, sobald Sicherheitsupdates verfügbar sind. Was in der Theorie gut klingt, ist in der Praxis alles andere als leicht umzusetzen. Oft fehlt dem IT-Team der Überblick, welche Applikationen überhaupt eingesetzt werden, wer welche Version nutzt und wer welche Rechte hat. Auch personelle Engpässe in der IT können dazu führen, dass Applikationen nicht mit der notwendigen Geschwindigkeit und Sorgfalt gepatcht werden. Es ist deshalb nicht ungewöhnlich, dass längst bekannte und eigentlich geschlossene Sicherheitslücken missbraucht werden. So konnten Cyberkriminelle im Februar 2023 eine Schwachstelle in Microsoft Exchange für Cryptominer-Attacken ausnutzen, für die bereits seit 2021 ein Sicherheitsupdate zur Verfügung steht.

Die zweite unverzichtbare Verteidigungslinie in jeder Cybersecurity-Strategie ist ein Virenscanner, der heute meist als Bestandteil einer EDR-Lösung (Endpoint Detection and Response) eingesetzt wird. Er nutzt zur Erkennung von Schadsoftware Signaturdatenbanken sowie sogenannte heuristische Verfahren, die bestimmte auffällige Verhaltensweisen detektieren. Zunehmend kommt bei der Malware-Erkennung auch künstliche Intelligenz (KI) zum Einsatz. Mit ihrer Hilfe lässt sich verdächtiges Verhalten zuverlässiger erkennen als mit herkömmlichen statistischen Methoden. KI-basierte Tools verursachen zudem deutlich weniger falsch-positive Alarmmeldungen.

Durch die intelligente Verhaltensanalyse bieten moderne KI-basierte Nextgen-AV-Lösungen auch einen gewissen Schutz vor Zero-Day-Exploits und menschlichen Fehlern. Dennoch dürfen sich Unternehmen nicht in allzu großer Sicherheit wiegen, denn Cyberkriminelle und IT-Security-Experten liefern sich ein ständiges Katz-und-Maus-Spiel. So nutzen Angreifer ebenfalls längst KI, um beispielsweise zu erkennen, ob ihre Malware automatisiert in einer isolierten Testumgebung (Sandbox) ausgeführt oder tatsächlich von einem menschlichen Anwender genutzt wird. Wird eine Sandbox erkannt, verhält sich die Malware unauffällig und wird erst aktiv, wenn sie sich auf einem Produktivsystem befindet.

Mehr Sicherheit durch Application Whitelisting

Application Whitelisting (AWL) ist eine gute Methode, um die Angriffsfläche für Schadsoftware zu minimieren. Dabei definiert das Unternehmen einen Katalog an erlaubter, geprüfter und als sicher eingestufter Software. Anwender können nur Applikationen installieren und ausführen, die sich in diesem Katalog befinden und die für sie freigegeben sind. Die Freigabe kann individuell, rollenbasiert oder auch unternehmensweit erfolgen. Versuche, Benutzer per Phishing oder Social Engineering zur Ausführung schädlicher Software zu motivieren, laufen ins Leere, weil der Anwender das nicht gelistete Programm nicht ausführen kann. Auch bislang unbekannte Malware, die über Schwachstellen ins Firmennetz gelangt, lässt sich so blockieren.

Application Whitelisting entlastet darüber hinaus das IT-Team bei der Applikationsverwaltung und beim Patch-Management, da es sich nur noch um eine sehr begrenzte Zahl von Anwendungen kümmern muss. Weniger Applikationen brauchen außerdem weniger Speicherplatz und Systemressourcen, was sich positiv auf die Performance der IT-Systeme auswirken kann. Schließlich kann sich Application Whitelisting auch positiv auf Compliance und Datenschutz auswirken, weil nicht regelkonforme Anwendungen gar nicht erst installiert oder gestartet werden können.

Application Whitelisting mit Bordmitteln

Microsoft bietet zwei Lösungen für das Application Whitelisting: die Windows Defender-Anwendungssteuerung (WDAC) und AppLocker. WDAC-Richtlinien sind gerätebasiert und gelten daher für alle Benutzer eines Geräts. Administratoren können über Gruppenrichtlinien festlegen, dass nur Anwendungen gestartet werden können, die codesigniert sind, bestimmte Metadaten oder Hashwerte aufweisen oder vom Microsoft Intelligent Security Graph (ISG) als seriös eingeschätzt werden. Die Installation und der Start von Applikationen lässt sich auf bestimmte Installationsprogramme und Pfade beschränken.

AppLocker-Regeln können geräte- oder benutzerbasiert eingerichtet werden. Die Definition der Regeln erfolgt auf Basis von codesignierenden Zertifikaten, Attributen der Binärdateien einer Applikation oder dem Pfad, aus dem die Anwendung gestartet wird. Microsoft entwickelt AppLocker nicht weiter, bietet aber Sicherheitsupdates an. Der Hersteller empfiehlt den Einsatz nur noch in bestimmten Fällen und motiviert Kunden, WDAC zu nutzen.

In Apple macOS gibt es über die Systemeinstellungen „Sicherheit & Datenschutz“ sowie „Bildschirmzeit“ die Möglichkeit, die Applikationsnutzung einzuschränken. Für den professionellen Einsatz ist allerdings das Open-Source-Tool Google Santa besser geeignet. Es besteht aus einer Systemerweiterung, die die Ausführung von Programmen überwacht, einem Daemon, der auf Basis einer lokalen Datenbank Applikationen zulässt oder verbietet, einem GUI-Agenten, der eine Nachricht anzeigt, wenn ein Programm blockiert wird, und einem Befehlszeileneditor, mit dem sich das System verwalten lässt.

In Linux-Systemen kann der File Access Policy Daemon (fapolicyd) zum Einsatz kommen. Das fapolicyd-Framework basiert auf dem Konzept der Vertrauenswürdigkeit. Eine Anwendung gilt als vertrauenswürdig, wenn sie vom Paketmanager ordnungsgemäß installiert wurde und im System registriert ist. Ein Plugin registriert jede Systemaktualisierung und benachrichtigt den fapolicyd-Daemon über Änderungen in der Datenbank. Will ein Administrator Anwendungen hinzufügen, die nicht registriert sind, muss er sie über benutzerdefinierte Regeln freigeben und den fapolicyd-Dienst neu starten. Das Tool kann die Integrität einer Datei anhand der Dateigröße, dem SHA-256-Hashwert oder über ein IMA-Subsystem (Integrity Measurement Architecture) prüfen. In der Standardkonfiguration führt fapolicyd allerdings keine Integritätsprüfung durch.

Verwaltungsaufwand

Application Whitelisting mit Bordmitteln bietet zwar einen guten Schutz vor bösartigen Anwendungen, bringt aber auch Nachteile mit sich. Anwender müssen sich jedes Mal an die Administratoren wenden, wenn sie eine nicht-gelistete Applikation installieren oder starten wollen. Wenn diese Anfragen nicht schnell beantwortet werden können, leiden Produktivität und Nutzerzufriedenheit. Die IT-Abteilung sieht sich unter Umständen einer Flut von Anfragen gegenüber und muss zahllose Applikationen auf ihre Vertrauenswürdigkeit prüfen. Auch die bestehende Whitelist ist kontinuierlich zu pflegen.

Kommerzielle AWL-Lösungen zielen deshalb darauf ab, diesen Verwaltungsaufwand zu minimieren. Hier einige Beispiele:

Application Allowlisting von ThreatLocker bietet beispielsweise einen Agenten, der zunächst im Lernmodus alle im System genutzten Applikationen und deren Abhängigkeiten registriert und katalogisiert. Administratoren können diesen Katalog prüfen und Anwendungen, die sie für nicht relevant oder zulässig halten, entfernen. Wird eine Applikation geblockt, erhält der Nutzer eine Nachricht und kann direkt per Knopfdruck deren Freischaltung beantragen. ThreatLocker verspricht, dass die Prüfung und Genehmigung nur 60 Sekunden in Anspruch nimmt.

Application Control Plus von ManageEngine basiert auf dem Least-Privilege-Prinzip. Anwendungen werden automatisiert in eine White- beziehungsweise Blacklist eingeordnet, zugelassene Applikationen erhalten nur für die Ausführung notwendige Rechte, lokale Accounts mit Adminrechten werden weitgehend abgeschafft. Sind für eine Aufgabe erweiterte Rechte notwendig, werden diese automatisiert und temporär auf Applikations- und nicht auf Nutzerebene vergeben. Nutzeranfragen sollen so reduziert und Sicherheitsrisiken durch Privileged Accounts minimiert werden.

Auch der deutsche AWL-Spezialist Seculution bietet einen Lernmodus zur initialen Whitelist-Erstellung. Die Whitelist selbst wird zentral auf den Servern des Kunden gehostet. Clients erhalten für den Offline-Betrieb eine lokale Kopie der Whitelist, die regelmäßig synchronisiert wird. Der Abgleich erfolgt live mit der zentralen Whitelist des Kunden. Ist der Hash-Wert einer Applikation dort nicht bekannt, wird dieser gegen eine Cloud-basierte Datenbank geprüft, die vom Hersteller kontinuierlich gepflegt wird. Nach Angaben des Anbieters lassen sich so 99 Prozent aller Anfragen ohne zusätzlichen Administrationsaufwand erledigen. Seculution garantiert Kunden außerdem, dass sie sich bei Einsatz der Lösung nicht mehr mit Schadsoftware infizieren.

Fazit: Application Whitelisting – ein wichtiger Schritt zu mehr IT-Sicherheit

Application Whitelisting kann das Sicherheitsniveau deutlich steigern und das Risiko von Malware-Befall reduzieren. Die Akzeptanz von AWL steht und fällt jedoch mit der Nutzerfreundlichkeit, sowohl aufseiten der Administratoren als auch der Anwender. Unternehmen sollten daher bei der Wahl einer AWL-Lösung vor allem darauf achten, dass sie den Verwaltungsaufwand klein hält und eine gute Balance zwischen Sicherheit und Nutzerzufriedenheit bietet.