Sichere Transaktionen mit PC-Virenschleudern

Ihr Rechner wurde gehackt: Er ist voll mit Schadcode und Spyware. Wer mit einem solchen PC online geht und beispielsweise Online-Bankgeschäfte erledigt, geht die reale Gefahr ein, dass seine Daten bald auf dem Schwarzmarkt landen und seine Identität gestohlen wird. "SiteTrust", ein neues Software-Werkzeug des US-IT-Security-Unternehmens Verdasys, will selbst unter solchen Umständen Nutzer vor Online-Kriminellen schützen.

"Es gibt immer mehr Malware", sagt der Technologiechef der Firma, Bill Ledingham. Viele der existierenden Schutztechnologien griffen nicht bei allen Risiken, weil sie nur bereits bekannte Angriffe abwehrten. "Die Nutzer sind gleichzeitig oft inkonsequent, was ihre Nutzung von Virenschutzprogrammen anbetrifft – sie ist nicht selten abgeschaltet oder zumindest nicht auf dem neuesten Stand." Und selbst dann gelinge es Malware-Programmierern oft genug, ihre Machwerke zu platzieren. "Unser Ansatz ist deshalb ein anderer. Wir versuchen nicht, den Rechner aufzuräumen, sondern gehen davon aus, dass er bereits infiziert ist. Wir konzentrieren uns darauf, die Übertragung zwischen dem Kunden und einer geschäftlichen Website zu schützen."

Das Problem der Malware auf vielen Rechnern sei auch für die Banken und Finanzdienstleister PC-Ärger Nummer 1, meint Forrester Research-Analyst Geoffrey Turner, Experte für Online-Betrugsfälle. Zwar können die Firmen dafür sorgen, dass die Verbindung zwischen Server und Rechner des Anwenders abgesichert ist. Was das Betriebssystem des Nutzers anbetrifft, haben sie jedoch keine Verfügungsgewalt. Die meisten erfolgreichen Versuche von Identitätsdiebstahl basieren auf Malware, die im Hintergrund läuft und die Daten mitlauscht oder selbst Transaktionen durchführt, von denen der Nutzer nichts mitbekommt. "Die Herausforderung ist, wie man den Rechner des Endanwenders absichern kann. Und: Sollte man das als Bank überhaupt?"

Verdasys glaubt, dass die Antwort ein klares Ja ist. Lizenziert ein Finanzdienstleister SiteTrust, würde das Werkzeug existierenden Antivirenlösungen einfach hinzugestellt. Nach dem Herunterladen und Installieren nimmt es weniger als ein Megabyte an Plattenplatz in Anspruch. Ist der Nutzer mit einer geschützten Site verbunden, konsumiert die Anwendung ein bis zwei Prozent der Rechenleistung. Obwohl das Werkzeug mit mehreren Websites arbeiten kann, soll es zunächst für ein spezifisches Angebot aufbereitet angeboten werden. Man erhält also pro Bank ein Stück Software.

SiteTrust umgeht Malware, weil es sich grundsätzlich um eine Art "Rootkit" handelt – ein Programm, das sich tief im Betriebssystem des Nutzers vergräbt und dort die Kontrolle über die meiste auf dem Rechner laufende Software übernimmt. Die Idee dabei sei, sagt Ledingham, dass SiteTrust auf einer tieferen Ebene als jedwede Malware auf dem System läuft. Darin habe man viel Forschungsarbeit investiert. Er räumt allerdings ein, dass im Falle eines Erfolges des Werkzeuges Angreifer versuchen könnten, noch tiefer in das Betriebssystem vorzudringen. Deshalb wolle man die Software ständig weiter verbessern, um Angreifern stets eine Nasenlänge voraus zu sein.

Gibt der Nutzer die Internet-Adresse einer geschützten Website ein, übernimmt SiteTrust. Ohne eine Veränderung der Ansicht des Nutzers trennt das Tool die sichere Verbindung von allen anderen Aktivitäten, die im PC ablaufen, in dem eine frische Version des Browser-Codes in einem eigenen Prozess ausgeführt wird. (Ein Prozess ist vereinfacht ausgedrückt eine Anzahl von Kommandos, die ein Computer abarbeitet, um ein Programm auszuführen – moderne Rechner können dutzende Prozesse gleichzeitig managen.) SiteTrust überwacht diesen Prozess dann, um sicherzustellen, dass kein anderes Programm eingreifen kann. Während der Nutzer mit der abgesicherten Website interagiert, umgeht SiteTrust viele der Löcher im Betriebssystem, in dem die Informationen von der Tastatur aus sofort verschlüsselt und dann an den Empfänger geschickt werden. Derzeit läuft SiteTrust unter Windows mit Internet Explorer und Firefox, laut Ledingham arbeitet das Unternehmen aber auch an Versionen für Linux und Macintosh.

SiteTrust ist eine neue Anwendung, die die Technologie hinter einem bereits existierenden Produkt von Verdasys nutzt. Das nennt sich "Digital Guardian" und soll eigentlich Firmen dabei helfen, den Diebstahl von Geschäftsdaten zu verhindern. Auch dieser Helfer nutzt einen Rootkit-Ansatz, der auf jedem Rechner eines Unternehmens installiert wird. Die Software überwacht, was die Nutzer mit sensiblen Informationen tun und markiert verdächtiges Verhalten. Zwar hätten Rootkit-Anwendungen in der Vergangenheit einen schlechten Ruf erworben, weil sie von einigen Unternehmen ohne Wissen des Nutzers installiert worden seien, sagt Ledingham. Verdasys habe aber seit Jahren Erfahrung mit der Technik, so dass sie die normale Rechnernutzung nicht beeinträchtige. SiteTrust beinhalte außerdem eine Deinstallationsfunktion, mit der man es vollständig löschen könne. Auch würden keinerlei Hintergrundinformationen über den Nutzer an die geschützte Website gesendet.

Forrester Research-Experte Turner sieht Verdasys' Ansatz positiv – insbesondere, weil man sich darauf vorbereitet habe, dass selbst die eigene Anwendung von Online-Kriminellen angegriffen werden könnte. Auch das Vertriebsmodell sei potenziell interessant. Ein Zusatzschutz werde von Nutzern oft nur installiert, wenn vertrauenswürdige Institutionen wie Banken dies verlangten. Auch die Angst vor Rootkits könne so womöglich verschwinden. Interessenten an SiteTrust gibt es bereits: Ein großer Online-Broker will das Werkzeug bald bei sechs Millionen Kunden einsetzen. Verdasys erhofft sich danach weitere Deals. (bsc)