info@gronemeyer-it.de   |   +49 (0) 5271 / 967-0   |   Live-Chat

Quantensprung beim Viren-Scan

Cylance-Partner Gronemeyer IT installiert neueste Antivirus-Software bei Vauth-Sagel

Zero Day Attacke – das ist der Moment, den man selbst seinem ärgsten Feind nicht wünscht: Ein neues Virus kapert private PCs oder Netzwerke großer Konzerne und legt mit einem Schlag den Heim-PC oder auch Giganten wie IBM, die Deutsche Bahn lahm. Bildschirme werden schwarz, und nur die Forderung einer hohen Bitcoin-Summe macht klar, dass man Opfer einer Virusattacke geworden ist.
Ein Horrorszenario, das immer häufiger auftritt. Und erst, wenn ein neues Virus identifiziert ist, sind Hersteller in der Lage, ihre Antivirensoftware anzupassen und Updates bereitzustellen. Als Nutzer ist man dann zwar gegen dieses Virus immun, doch wenn die nächste Malware-Welle anrollt, könnte man selbst der „Patient Zero“ sein.
Es gibt jedoch einen wirksamen Schutz, der Viren im Voraus erkennt und direkt in die Quarantäne-Abteilung schiebt, ohne dass es zu einer Erstinfektion kommen muss. Klingt futuristisch? Weit gefehlt: Dieses Szenario ist glücklicherweise schon Realität. „Cylance“ heißt die Antiviren-Lösung der nächsten Generation und ist tatsächlich ein echter Quantensprung. „Bisherige AV-Lösungen arbeiten rein reaktiv, weil sie auf Malware lediglich reagieren können“, erklärt Jens Haferbeck von der Gronemeyer IT. „Cylance geht einen anderen, präventiven Weg. Denn es gelingt dem Programm, vorab anhand der ,DNA‘ einer jeden Datei zu ermitteln, ob eine Datei schadhaft ist und so Malware direkt aufs Abstellgleis zu verbannen.“

Datei-Merkmale extrahieren
Dazu war es zunächst erforderlich, Millionen von gängigen Dateiformaten in ihre Bestandteile zu zerlegen, um deren Eigenschaften zu erfassen. Cylance extrahiert bis zu 3000 relevante Merkmale aus einer Datei. Um dieses Zerlegen unzähliger Dateitypen in aller Konsequenz durchführen zu können, bedurfte es gigantischer Serverfarmen. Nicht PCs, sondern Grafikkarten wurden genutzt, weil diese mehr Leistung bieten. Klassifiziert wurden die Dateien in der AWS Cloud, die eine enorme Rechnerleistung bereitstellt. „Vor zehn Jahren wäre ein solches Vorgehen noch nicht möglich gewesen, weil es diese Kapazitäten gar nicht gab“, so Haferbeck.
Anhand der Datei-Bestandteile entwickelten Mathematiker und Naturwissenschaftler von Cylance in den USA ein mathematisches Modell, das eine Vorhersage über die Auswirkungen einer Datei trifft – und hier kommt nun auch Künstliche Intelligenz ins Spiel: Cylance „weiß“ im Voraus, wie sich eine Datei verhalten wird. Ein menschlicher Eingriff zum Klassifizieren ist nicht erforderlich. Die Vorhersage ist sehr genau, und das ist auch der Grund, warum das Programm so erfolgreich arbeitet – die Viren-Trefferquote liegt über 99 Prozent.

Kundendaten in besten Händen
Das war der Grund, warum die Software für die Vauth-Sagel Holding GmbH & Co. KG aus dem ostwestfälischen Brakel hoch interessant war. Das Unternehmen entwickelt ausgeklügelte und hochwertige Stauraumlösungen und Systemkomponenten für den Wohnbereich, für Fahrzeuge oder andere Branchen. „Viele unserer Stauraumsysteme kommen in der Automobilbranche zum Einsatz. Ihre Konstruktionsdaten werden bei uns zum Innenausbau der Fahrzeuge weiterbearbeitet und unterliegen einer strikten Geheimhaltung“, erklärt Clemens Weskamp, Systemadministrator bei Vauth-Sagel.
Um die Daten vor Diebstahl und Missbrauch zu schützen, fuhr man in Brakel bislang zweigleisig. „Wir waren nicht unzufrieden mit dieser Doppellösung, die sich schon einige Jahre bewährt hatte“, erklärt Weskamp. „Für uns ist es wichtig, dass wir in unseren Werken nicht plötzlich durch einen Trojaner handlungsunfähig werden. Es darf einfach keine Ausfälle geben, wir wollen immer liefern können. Als Jens Haferbeck von der Gronemeyer IT uns im Mai von Cylance und seinen Möglichkeiten erzählte, wollten wir mehr darüber erfahren. Schließlich gab es immer wieder Berichte von Konzernen, die von Viren regelrecht außer Gefecht gesetzt wurden. Ein Schutz gegen solche Attacken war auf jeden Fall ein Thema für uns.“

Live-Präsentation in Brakel
Im Juni stellten Mitarbeiter von Cylance Deutschland in der Unternehmenszentrale in Brakel die neue Software vor und demonstrierten ihre Wirkungsweise am praktischen Beispiel. Dabei mussten ein herkömmlicher Virenscanner und CylancePROTECT frisch generierte Malware zur Strecke bringen. Cylance setzte sämtliche Schaddateien auf die Quarantäneliste, während die Standardlösung gerade einmal 25 Prozent fand. Dieser Erfolg überzeugte nicht nur Administrator Weskamp, sondern auch die Geschäftsleitung von Vauth-Sagel. Und drängte auf eine schnelle Implementierung.
Diese erfolgte bereits einen Monat später auf allen Servern und Endpoints des Stauraumspezialisten, nicht nur in Brakel, sondern auch in den anderen Werken in Paderborn, Beverungen und Korbach. Rund einen Tag dauerte die Installation und verursachte „null Schwierigkeiten“, betont Weskamp.

Selbstversuch an separatem PC
Produktpräsentationen sind eine Sache, die Praxis sieht mitunter anders aus. Deshalb ermutigte Jens Haferbeck seinen Kunden, den neuen Virenschutz noch einmal selbst auf Herz und Nieren zu prüfen. Eines Abends gegen 23 Uhr lud Clemens Weskamp unter „TestmyAV.com“ ganz frische Malware auf einen Laptop, der nicht an das Unternehmensnetzwerk angeschlossen war. „Wichtig war es mir, dass es sich um ganz frisches Material handelte, das keine zwei Tage alt war“, so der Administrator, „denn sonst wäre sie den Virenscannern vielleicht schon bekannt gewesen.“ Und setzte den bisherigen Virenschutz und Cylance auf die jungen, noch unbekannten Schädlinge an. Das Ergebnis? Während das alte Tool lediglich 10 von 40 Viren, Trojanern, Würmern und Co. aufspürte, lag die Trefferquote von Cylance bei 100 % – 40 von 40 Malware-Programmen wurden detektiert und blockiert. Das überzeugte den IT-Experten umso mehr von der neuen Software: „Cylance funktioniert anders als bisherige AV-Software. Was verdächtig ist, kommt direkt in Quarantäne. Solche Verhaltensmuster zu analysieren, kommt ja quasi der Forensik gleich“, findet Weskamp.

Geringe Systembelastung, einfache Administration
Das von Cylance entwickelte Modell wird als Anti-Viren-Schutz auf Servern oder Endpoints installiert und kommt komplett ohne Anbindung ans Internet und ohne Updates aus. Ein weiterer Vorteil ist seine geringe Systembelastung, die laut Weskamp kaum messbar ist: „Die CAD-Software unserer Konstrukteure benötigt sehr viele Systemressourcen. Da merkt man es sofort, wenn zu viel im Hintergrund läuft.“
Cylance sei sehr leicht zu administrieren, stellt IT-Leiter Jens Haferbeck als weiteren Vorteil heraus. Die Software könne es einem zwar nicht abnehmen, innerhalb der Quarantänelisten zu entscheiden, was okay ist und was nicht. Hier sei noch immer menschliche Intelligenz gefordert. Allerdings komme man beim Durchsuchen der Rechner grundsätzlich auf einen aktuellen Stand. Letztlich habe man so die IT des Unternehmens bestens im Griff.
Cylance wurde 2012 in den USA gegründet. Rund zwei Jahre dauerte es, bis die Wissenschaftler das Modell in seiner aktuellen Form berechnet hatten; der Produktlaunch fand 2014 statt. Bislang haben vor allem Unternehmen von der neuartigen AV-Software profitiert. Der Kostenpunkt für eine Cylance-Lizenz liegt bei rund 60 Euro pro Jahr pro System. Anfang des nächsten Jahres soll dann auch eine Home-Version erscheinen.


GRONEMEYER IT GmbH

Jens Haferbeck
Konrad-Zuse-Str. 1
37671 Höxter

VAUTH-SAGEL Holding GmbH & Co. KG

Clemens Weskamp
Neue Straße 27
33034 Brakel-Erkeln