Seien wir ehrlich: Kein E-Mail-Sicherheitssystem dieser Welt (zumindest keines, das man bezahlen könnte oder wollte) kann mit 100-prozentiger Sicherheit verhindern, dass ab und an Nachrichten mit virenverseuchten Anhängen in Postfächern von Nutzern landen. Das liegt unter anderem daran, dass die Anbieter von Virenscannern immer eine gewisse Zeit brauchen, um ihre Signaturen anzupassen, nachdem ein neuer Schädling in Umlauf gebracht wurde. Bis dahin wird die Malware unerkannt zugestellt.
Man kann jedes Attachment natürlich auch erst einmal in einer abgeschotteten Umgebung auf möglicherweise bösartigen Charakter testen, im Fachjargon „Sandboxing“ genannt. Dabei öffnet man die Datei (automatisiert) innerhalb einer virtuellen Maschine und prüft, ob sie dann irgendetwas Verdächtiges tut. Ein gut gemachter Schädling kann allerdings erkennen, dass er gerade nur getestet wird, und sich dann und nur dann unauffällig verhalten – so ähnlich wie die Steuersoftware für Dieselmotoren diverser Hersteller. Ohnehin braucht Sandboxing eine Menge teure Infrastruktur und verzögert die eventuelle Zustellung von E-Mail-Nachrichten.
Retarus hat sich deswegen einen vollkommen neuartigen Ansatz überlegt. So viel sei bereits verraten: Wir können damit im Nachhinein E-Mails identifizieren, die mit einem virenverseuchten Anhang zugestellt wurden – und dann den zuständigen Admin und optional auch den Empfänger umgehend alarmieren. Mit etwas Glück wurde die gefährliche Datei noch gar nicht geöffnet und kann unbesehen gelöscht werden. In jedem Fall werden die Forensik und das Eindämmen möglicher Schäden drastisch vereinfacht – ein enormer Mehrwert nicht nur für die E-Mail-Sicherheit, sondern die IT Security insgesamt.
Das Ganze hat intern den Codenamen „Patient Zero Detection®“ und läuft bereits bei ausgewählten Kunden und bei Retarus selbst im Testbetrieb.
Ergänzend hat sich unser Chief Scientist gleich noch ein weiteres cooles Feature ausgedacht – eine „Heatmap“, mit der man plötzlich gehäuft auftauchende gleiche oder ähnliche Betreffzeilen und damit eine mögliche E-Mail-Angriffswelle visualisieren und leichter erkennen kann. Spannende Ideen für die funktionale Weiterentwicklung von „Patient Zero Detection®“ haben wir auch schon. Aber alles zu seiner Zeit. Sprich: Mehr demnächst.
