kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Alles, was Sie über Sicherheits-Leaktests wissen müssen

Vorwort

Der Begriff Leaktest oder Leak-Test ist in den letzten Jahren bei Sicherheitsspezialisten zu einem beliebten Schlagwort geworden. Er taucht in Nachrichtenmeldungen auf, er ist in Vergleichstabellen zu finden, aber was bedeutet er wirklich? Warum sollten normale PC-Anwender sich bei ihren alltäglichen Computeraktivitäten mit Leaktests und ihren Auswirkungen befassen? Wie können Leaktests Ihnen dabei helfen, ein solides Sicherheitsprodukt auszuwählen?

Das sind nur einige der Fragen, die dieser Artikel beantworten möchte. Nachdem Sie ihn gelesen haben, verfügen Sie über alle erforderlichen Informationen, um Leaktests zu verstehen und ihre Ergebnisse interpretieren zu können.

Was ist ein Leaktest?

Ein Leaktest ist ein Tool oder eine Reihe von Abläufen – er überprüft die Fähigkeit eines Produkts, ausgehende Daten-Sicherheitsverletzungen zu verhindern, durch die Ihre persönlichen Informationen gefährdet oder gestohlen werden sollen. Wie der Name bereits andeutet, werden Leaktests (leak, engl. = Leck, Durchsickern) verwendet, um herauszufinden, ob ein Sicherheitsprodukt Ihre Daten zuverlässig vor einer versehentlichen oder beabsichtigten Übertragung durch Sicherheitsbarrieren schützt und somit Datenlecks verhindert.

Leaktests existieren bereits seit dem Erscheinen der ersten Personal Firewalls vor mehr als fünf Jahren, und ihr Hauptziel ist es zu testen, ob die Firewall verhindern kann, dass unerwünschte Anwendungen sich mit ihrem Programmierer verbinden oder Daten auf andere Art und Weise ohne Zustimmung des Anwenders über das Internet übertragen. Leaktests haben sich vor kurzem zu einer breiter gefassten Kategorie entwickelt, die auch Tests umfasst, die das simulierte Beenden des Sicherheitsprodukts, die Kontrolle erweiterter Programminteraktionen und andere komplexe Technologien verwenden, mit deren Hilfe Hacker persönliche, auf dem PC des Anwenders gespeicherte Daten angreifen könnten.

Wenn ein Produkt einen bestimmten Leaktest besteht, bedeutet das, dass dieses Produkt einen möglichen Angriff, der auf einer bestimmten Technik des Eindringens beruht, erfolgreich abgewehrt hat. Es gibt viele Techniken, von denen bekannt ist, dass sie von Hackern eingesetzt werden, und ein solides Sicherheitsprogramm sollte in der Lage sein, jedes von ihnen zu erkennen und abzuwehren. Cyberkriminelle entwickeln ständig neue Techniken, um an persönliche Daten zu gelangen, also entwickeln auch die Hersteller von Sicherheitsprodukten laufend entsprechende Gegenmaßnahmen, um den Schutz ihrer Kunden zu gewährleisten.

Als Windows XP im Jahr 2001 auf den Markt kam, existierte bereits eine Reihe schädlicher Programme wie etwa Trojaner und Spyware, die wertvolle Benutzerdaten, z.B. Anmeldedaten oder Kreditkarteninformationen, ganz einfach stehlen und an unbefugte Dritte übertragen konnten. Um diese Sicherheitsverletzungen zu verhindern, entwickelten die Sicherheitsfirmen Firewall-Lösungen, die die von diesen schädlichen Anwendungen gestarteten Netzwerk-Aktivitäten blockierten, indem sie ihnen den Netzwerk-Zugriff nach außen verweigerten. Um die Leistung der Firewalls zu testen, entwickelten Sicherheitsfachleute spezielle Tools, die Angriffe nachahmten; diese Tools prüften, ob die Firewall solche Angriffe von einer Verbindung abhalten konnte, indem sie den Anwender zur Entscheidung aufforderte, ob die Aktivität zugelassen werden sollte. Diese ersten Leaktests waren ziemlich primitiv, sie konnten jedoch bei bestimmten Firewall-Produkten erhebliche Mängel aufdecken.

Die ersten Leaktests setzten einfache Methoden ein, z.B. Spoofing von Dateinamen oder die Ausführung einer vertrauenswürdigen Anwendung mit zusätzlichen Parametern, die veranlassten, dass ein bestimmter Text-String an einen Ziel-Standort geschickt wurde. Durch diese Täuschung sollte die Firewall diese Aktivität als zulässige Aktion der vertrauenswürdigen Anwendung sehen und die Übertragung entsprechend zulassen. Der früheste bekannte Leaktest war der „Leak Test" von Steve Gibson von GRC. Er simulierte einen Angriff, bei dem ein schädliches Programm sich selbst in Internet Explorer (eine zulässige, internetfähige Anwendung) umbenannte und ermittelte, ob die Firewall diese Änderung erkennen konnte.

Seit damals hat sich einiges geändert, und die heutigen Leaktests sind wesentlich raffinierter und verwenden hochentwickelte Interaktionsmechanismen und Netzwerk-Eigenschaften, um die Data-Mining-Fähigkeiten zu simulieren, die für heutige Malware charakteristisch sind.

Leaktests untersuchen die proaktiven Schutzfähigkeiten von Sicherheitslösungen, indem sie überprüfen, wie sie auf eine bestimmte Eindringenstechnik oder bestimmte Angriffsvektoren reagieren. Hier liegt ein erheblicher Unterschied zum Überprüfungsprozess für Antiviren-Programme, bei dem Tests verwendet werden, um festzustellen, ob eine Virenschutzlösung einem bestimmten Malware-Muster widersteht.

Von Leaktests verwendete Techniken

Leaktests variieren so sehr, dass sie sich nicht einfach nach Arbeitsweisen in Kategorien einordnen lassen, und die meisten basieren auf unterschiedlichen Techniken zum Test von Sicherheitsprodukten. Diese Techniken werden ständig weiterentwickelt und verbessert, und je mehr Leaktests es gibt, desto strengeren Tests werden Sicherheitslösungen unterzogen.

Verallgemeinernd kann man sagen, dass Leaktests versuchen, eine der folgenden Techniken nachzuahmen:

  • Annahme der Identität einer zulässigen, auf einem Computer installierten Anwendung oder Verwendung von deren Zugriffsberechtigungen, um Informationen über das Internet zu senden (d.h. Spoofing, Start einer vertrauenswürdigen Anwendung mit speziellen Parametern)
  • Interaktion mit einer zulässigen Anwendung über eingebettete Windows-Steuerungsmöglichkeiten wie OLE-Automatisierung oder DDE-Aufrufe
  • Veränderung aktiver Anwendungen im Arbeitsspeicher, Anhängen schädlicher Komponenten an zulässige Anwendungen – z.B. Komponenteninjektion, direkte Speicherpatches, Erstellung schädlicher Threads
  • Verwendung vertrauenswürdiger Netzwerk-Dienste und -Protokolle zur Übermittlung unzulässiger Daten in der Hoffnung, dass die Firewall die ungewöhnlichen Aktivitäten übersieht; solche Aktivitäten können u.a falsche DNS-Anforderungen, Ausnutzen von Sicherheitslücken im BITS-Dienst oder nachlässige ICMP-Filterung umfassen.
  • Installation eines neuen Netzwerkadapter-Treibers, über den Daten geroutet werden sollen
  • Unterbrechung oder Deaktivierung der Schutzfunktionen eines installierten Sicherheitsprogramms
  • Auslösen des Herunterfahrens des Systems, um zu überprüfen, ob die Firewall die Aktivitäten nicht vertrauenswürdiger Prozesse bis zum völligen Ausschalten überwacht
  • Abfangen von Tastatureingaben

Zusammenfassung: Programm-Interaktivität

Der Großteil der Leaktests wurde für Windows XP entwickelt, das im Gegensatz zu Vista die Berechtigungen eines Programms zur Interaktion mit anderen installierten Programmen oder die Durchführung anderer Aktivitäten aus der obengenannten Aufzählung nicht überprüft, wenn der Anwender über Administrator-Rechte verfügt. Diese Situation ermöglicht das Ausnutzen von Sicherheitslücken, da jedes schädliche Programm sich an eine vertrauenswürdige, zulässige Anwendung anhängen kann, um gezielte Angriffe auszuführen. Die Zeiten, in denen Malware selbst versuchte, die Daten des Anwenders zu stehlen, sind längst vorbei; nun würde Malware die Netzwerk-Zugriffsberechtigungen verwenden, die eine zulässige Anwendung bei der Firewall hat, um Daten zu übertragen. Sicherheitslösungen müssen in der Lage sein, nicht nur schädliche Programme zu erkennen, sondern auch die Integrität zulässiger Anwendungen und die Nutzung von Netzwerk-Ressourcen für die hoch entwickelten Datenleck-Techniken der heutigen Malware zu überwachen./

Abwägung: umfangreiche Warnmeldungen oder weniger strenge Kontrolle

Auf einem PC spielen sich stündlich Tausende von internen Interaktionen ab. Natürlich ist nur ein Bruchteil davon schädlich. Wenn also die Firewall jeden Vorgang überwacht und jedesmal den Anwender zu einer Eingabe auffordert, wird der Anwender derartig mit Warnmeldungen bombardiert, dass eine produktive Nutzung des Computers nahezu unmöglich ist. Um das zu verhindern, haben Hersteller von Sicherheitsprogrammen einen Mechanismus integriert, der die Reaktion des Anwenders auf ein bestimmtes Ereignis „speichert“. Wenn dieses Ereignis noch einmal eintritt, wird die vorherige Eingabe für den Umgang mit diesem Ereignis abgerufen und es wird keine Warnmeldung angezeigt. Darüber hinaus verwenden die Hersteller der führenden Sicherheitslösungen wie Outpost Security Suite Pro, Kaspersky Internet Security und Comodo Firewall Online-Datenbanken, um einem Großteil der Windows-Programme automatisch Genehmigungen zuzuweisen. Dadurch werden die Entscheidungen im Hintergrund getroffen, ohne die normale PC-Nutzung des Anwenders zu unterbrechen. Windows Vista hat mit seiner neuen Funktion der Benutzerkontensteuerung (User Account Control - UAC) erhebliche Fortschritte bei der Verhinderung unzulässiger oder unbefugter Aktivitäten gemacht. Zu diesem Zweck werden die Berechtigungen herabgesetzt, bis der Anwender einen bestimmten Vorgang genehmigt, indem er in der im Vordergrund eingeblendeten Eingabeaufforderung seine Zustimmung gibt. Leider werden die gegebenen Antworten nicht gespeichert, so dass das Warnfenster immer wieder eingeblendet wird und den Anwender erneut stört.

Andere Anbieter wie Symantec und ESET haben sich dazu entschlossen, weniger Ereignisse auf dem Computer des Anwenders zu kontrollieren und so die Anzahl der Eingabeaufforderungen, die dem Benutzer angezeigt werden, zu verringern. Der Nachteil bei diesem Ansatz besteht darin, dass das Überwachungsniveau sinkt – das bietet eine geringere Kontrolle über die Aktivitäten und bedeutet für einige aktiv in Malware eingesetzte Techniken unter Umständen eine Möglichkeit, den Schutz zu umgehen. Es ist also nicht überraschend, dass diese Lösungen in Gruppentests relativ schlecht abschneiden. Mit der Zeit wird sich zeigen, welcher Ansatz der bessere ist. Angesichts der Tatsache, dass Malware immer raffinierter wird, muss eine wirkungsvolle Sicherheitslösung allerdings wirklich in der Lage sein, eine maximale Anzahl von Ereignissen auf einem Computer zu kontrollieren und dabei weniger Interaktion durch den Benutzer zu benötigen.

Verwendung von Leaktests

Leaktests sind sichere Programme, die dazu entwickelt wurden festzustellen, ob eine Firewall einen Angriff verhindern kann, der verschiedene Techniken zum Datendiebstahl einsetzt. Leaktests können aus dem Internet heruntergeladen und auf dem Rechner des Anwenders ausgeführt werden. Wenn die Sicherheitslösung eine Warnmeldung anzeigt, während der Test ausgeführt wird, bedeutet dies, dass das Programm die Leaktest-Aktivität erfolgreich erkannt hat und wahrscheinlich auch echte Angriffe, die die im Leaktest verwendeten Techniken einsetzten, abwehren könnte.

Auch wenn das erfolgreiche Bestehen eines Leaktests nicht immer bedeutet, dass ein Sicherheitsprogramm absoluten Schutz bietet, zeigt es im Wesentlichen, dass es im Falle eines echten Angriffs sein Bestes tun wird, um den Anwender zu schützen.

Interpretation der Ergebnisse

Es gibt spezialisierte Organisationen, die Leaktests durchführen; die aktivsten unter ihnen sind Matousec Transparent Security und Firewall Leak Tester. Sie verfügen über umfangreiche Informationsquellen und aktualisieren ihre Leaktest-Ergebnisse jedes Mal, wenn ein neues Sicherheitsprodukt auf den Markt gebracht wird oder wenn aktualisierte Leaktests veröffentlicht werden. Als Faustregel kann man sagen, dass ein Sicherheitsprogramm umso widerstandsfähiger gegen Malware-Angriffe ist, desto näher es einem Testergebnis von 100 Prozent kommt.

Leaktests im Vergleich zu anderen Test-Mechanismen

Wie bereits erwähnt, überprüfen Leaktests, wie gut eine Sicherheitslösung dafür ausgerüstet ist, Malware zu bekämpfen, die verschiedene Eindringenstechniken zur Umgehung des ausgehenden Schutzes einsetzt. Im Gegensatz zu Virentests, die größtenteils signaturbezogen arbeiten, sind Leaktests auf Techniken bezogen. Leaktests überprüfen die Fähigkeiten eines Programms, unbekannte Angriffe ohne Verwendung einer bestimmten Bedrohungssignatur abzuwehren.

Die Vorteile von Leaktests

Man kann den Beitrag, den Leaktests der Sicherheits-Community leisten, eigentlich nicht hoch genug bewerten. Leaktests sind Haupttechniken zur Überprüfung, ob ein Sicherheitsprodukt unbekannte Malware abwehren kann, indem es ihre Aktivitäten innerhalb der Software-Umgebung eines PCs einschränkt. Leaktests haben einen praktischen Nutzen für den Endanwender; zahlreiche Produktbewertungen werden durch Leaktest-Ergebnisse ergänzt, die Ihnen einen nützlichen Hinweis darauf geben sollten, wie gut ein Programm Sie vor den heute verbreiteten anonymen Bedrohungen schützen kann.

Schlussfolgerung

Wir hoffen, dass dieser Artikel das Konzept der Leaktests und ihre Bedeutung bei der Überprüfung, wie gut ein Sicherheitsprodukt unzulässige Datenlecks nach außen verhindern kann, verdeutlicht hat. Leaktests dienen als praktisches und wirkungsvolles Werkzeug, um die Qualität und das Ausmaß des Schutzes gegen hoch entwickelte Sicherheitsverletzungen, die auch in echten Angriffen verwendet werden, zu messen.

 
Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.