Application Whitelisting: „Wir haben eine Liste der Guten, nicht der Bösen“ (Gesponsert)

Sprecher: Heise meets … – Der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik – immer aktuell und nah am Geschehen.

Sprecher: Willkommen bei „heise meets …", heute aus Verl. Ein bisschen Wissen für den Biertisch habe ich mir aufgeschrieben: Seit zehn Jahren darf die Stadt den offiziellen Titel „Wallfahrtsstadt" führen. Chapeau! Haben Sie was damit zu tun? 

Torsten Valentin: Da muss man Hardcore-Katholik für sein. Und das bin ich nicht.

Sprecher: Hardcore-ITler, oder?

Torsten Valentin: Ja, genau. Hardcore-ITler. Mein Leben habe ich der IT-Sicherheit gewidmet.

Sprecher: Da reden wir gleich drüber. Wir sind zu Gast bei SecuLution. Würde ich sagen, da sind Sie auf die Idee gekommen: Security und Solution?

Sprecher: Genau. Das ist die Wortschöpfung, die sich im Nachhinein als relativ kompliziert und unnötig herausgestellt hat und auch als nicht so gute Entscheidung. Wenn man jemandem erklären möchte, wie man erreichbar ist, über E-Mail oder auch den Firmennamen, dann ist das etwas, was man in jedem Falle buchstabieren muss. Das war nicht von Anfang an eine gute Entscheidung, dass es halt ein Firmenname ist, der doch so kompliziert zu schreiben ist für ein deutsches Umfeld.

Sprecher: Wäre doch „Torsten Valentin" naheliegender gewesen, oder? Mit so einem schönen Namen, „Valentin", hat ohnehin schon so einen gewissen Bekantheitsgrad.

Torsten Valentin: Naja, der Punkt ist ja, wenn man sich mit seinem Namen bezeichnet, dann beschreibt man ja in der Regel ein Unternehmen, das Dienstleistungen erbringt. Und das ist ja nicht unser Fokus. Wir haben ja ein Standardprodukt und das ist ja nicht von der Person Torsten Valentin abhängig. Ich bin zwar in Person derjenige, der es erfunden und das Patent dafür gekriegt hat und auch der Firmenleiter. Aber es ist ja doch ein größeres Team. Wenn es halt nur auf eine Person bezogen ist, würde das schon ein falsches Bild vermitteln.

Sprecher: Und jetzt ist SecuLution so erfolgreich, jetzt ändern Sie es auch nicht mehr, oder?

Torsten Valentin: Nein. Das wäre ja auch schade, wenn man den Markennamen jetzt im Grunde genommen verlieren würde durch ein Rebranding.

Sprecher: Völlig klar. Torsten Valentin, Chef von SecuLution, Gründer. Und eigentlich garantieren Sie mit Ihrem Team den Erfolg von SecuLution Application Whitelisting, so heißt es richtig, auch schriftlich. Das ist mir neu. Das müssen Sie uns später erklären.

Torsten Valentin: Wir können das ja historisch aufziehen und fangen an, wo es begonnen hat.

Sprecher: Dann sind wir wieder bei der Wallfahrtsstadt.

Torsten Valentin: Nee, das ist ja noch viel älter. Die Firma SecuLution gibt es seit über 20 Jahren.

Sprecher: Herzlichen Glückwunsch.

Torsten Valentin: Dankeschön. Und da hat ja die Stadt Verl mit Wallfahrt noch – weiß ich gar nicht, kann ich hier nicht so sagen, ob die wirklich was damit zu tun hatten oder nicht. Jedenfalls sagten Sie ja gerade, dass es seit zehn Jahren so heißen darf. Ich habe früher gearbeitet für einen IT-Service-Dienstleister, also einen IT-Service-Provider, einen Internetanbieter, zu den Zeiten, als das noch nicht so allgemein und für jeden im Haushalt vorhanden war. Und in diesem Zuge musste ich mich natürlich auch mit der Sicherheit beschäftigen. Da war relativ früh klar, dass die Erkennungsleistung davon abhängt, dass derjenige, der den Schutz verspricht, den Angriff erkennen kann. Im Sinne von: Es wird überwacht, was da kommt. Dann muss es halt erkannt werden, dass es sich dabei um Schadsoftware handelt.

Und das ist ja im Grunde genommen auch bis heute nicht anders. Das ist ja auch im Grunde genommen eigentlich die Kernvoraussetzung dessen, was für eine Application Whitelisting oder auch eben eine andere Antiviruslösung – es geht ja im Kern immer nur um das, was wir ja so zusammenfassen unter diesem Überbegriff Endpoint Protection – gelöst werden muss. Und damals war das halt mir schon recht früh klar, dass man ja eigentlich nur eine Schadsoftware bauen muss, die von dieser Antiviruslösung nicht erkannt werden kann.

Sprecher: Vor 25 Jahren hatten wir ja ganz andere Themen. Wieso haben Sie gesagt: Security ist mal mein Ding? Und wir sitzen heute zusammen und machen diesen Podcast.

Torsten Valentin: Tatsächlich stimme ich dieser Einschätzung nicht zu, dass wir damals andere Themen hatten. Wir hatten auch damals diese Themen.

Sprecher: Das war doch die Zeit wo Boris Becker „drin“ war.

Torsten Valentin: Tatsächlich ist es so, dass man sich gegen Schadsoftware schützen muss, eigentlich schon, seitdem es den Datenaustausch untereinander gibt.

Denn das, was sich verändert hat, ist nicht der Umstand, dass Menschen sich Dinge ausdenken, die zum Schaden anderer sind. Das ist auch schon immer so gewesen. Das, was sich verändert hat, ist mit der Zeit eher die Professionalisierung der Angriffsform. Dass es jetzt heute ein Business ist, dass Angreifer tatsächlich Mittel und Wege gefunden haben, wie sie tatsächlich Gelder extrahieren können.

Während es in den Anfangszeiten ging es mehr um Vandalismus und um eine eigene Namenspflege. Das war halt so ein bisschen wie Sprayer, die halt irgendwie ihr Tag an die Wand sprühen, damit auch einen Schaden erzeugen, aber irgendwie dann sich cool finden dafür, dass sie halt dieses Tag an die Wand gesprüht haben. So waren die Anfangszeiten. Und dann gab es natürlich immer Industriespionage, die hatte auch natürlich einen finanziellen Background, aber die war nicht so sichtbar und so viel.

Sprecher: Aber Sie haben damals schon gedacht: Hey, das wird was, da mache ich meine Firma draus.

Torsten Valentin: Naja, ich habe erkannt, dass die Notwendigkeit da ist. Mir war halt klar, dass wenn ich weiß – und ich bin ja hier nicht, ich bin ja kein Steve Jobs oder jemand, der halt irgendwie, oder Elon Musk, der halt irgendwie der brillanteste Kopf auf der Welt-Torte ist…

Sprecher: Wobei wir überlegen müssen, ob die beiden das sind. Steve Jobs würde ich vielleicht doch sagen, ja.

Torsten Valentin: Okay, ich sage Musk auch, weil ich baue keine Raketentechnik mal eben nebenher als zweites Business auf. Jedenfalls ist es so, dass diese Aufgabenstellung, die damit verbunden ist, schon damals gelöst werden musste. Und wenn ich halt weiß, wie ich Schadsoftware so gestalten kann, dass sie an bestehenden etablierten Antiviruslösungen vorbeikommen kann, dann weiß ich auch, dass das auch die bösen Jungs können.

Sprecher: Jetzt sind wir schon mittendrin im Technikthema. Jetzt müssen Sie mir das wirklich erklären. Wie funktioniert dieses Produkt, wo ich von Ihrer Seite auch eine schriftliche Versicherung bekomme: „Bei mir kommt nichts durch“?

Torsten Valentin: Um das zu verstehen oder warum das was Besonderes ist, macht es erst mal Sinn, wenn wir verstehen, wie das klassische Antivirus funktioniert, was man heute kennt.

Sprecher: Nehmen Sie mich mit auf die Reise.

Torsten Valentin: Jeder hat ein solches Produkt im Einsatz. Das funktioniert auf Basis einer sogenannten Blacklist. Das bedeutet, dass der Hersteller dieser Antiviruslösung mit einem Team nach Angriffsformen aktiv sucht. Oder sie auch von Kunden gemeldet bekommt, die dann trotz dieser Schutzlösung eine positive Antwort bekommen, tatsächlich gehackt wurden. Und die sagen dann: „Hier, wir hätten doch eigentlich davor geschützt werden sollen, aber hier ist eine Schadsoftware bei uns eingefallen, jetzt haben wir hier ein Problem."

Und auf diese Art und Weise und auch durch eigene Recherche und so kommt der Anbieter einer Antiviruslösung zu der Information, dass da eine Schadsoftware ist. Darüber hinaus programmiert er noch solche Sachen, die es nennt sich Sandboxing oder auch Heuristiken oder verhaltensbasierte Analyse.

Es gibt ganz, ganz viele Beschreibungen für im Grunde genommen das gleiche Prinzip. Man muss eine Art Pattern Matching - eine Verhaltensform definieren, von der man sagt: „Das ist böse." Und das ist das, was die Antivirenhersteller tun. Und das packen sie dann auf ihre cloudbasierten, teilweise auch zu Kunden ausgerollten, fixen Regelsätze, die danach dann jede neue Software, die in dem Netzwerk des Kunden auftaucht, prüfen.

Und das ist jetzt mal eine Analogie, damit man das auf den Alltag zu runterbrechen kann. Sie stellen sich vor, Sie machen eine Hochzeitsfeier und stellen einen Türsteher vor Ihre Tür. Der Türsteher hat eine Liste der Schwerverbrecher.

Sprecher: Zu meiner Hochzeit sind keine Schwerverbrecher gekommen.

Torsten Valentin: Das ist doch gut, oder nicht? Aber es hat auch damit zu tun, wo Sie feiern. Es ist ja nicht so, dass egal, wo Sie sind und Ihre Feier stattfindet, sichergestellt ist, dass keine unerwünschten Gäste auftauchen. Daher benötigt man eine Absicherung durchaus auch bei Hochzeitsfeiern. Und dann muss man das lösen und dafür beauftragt man jemanden.

Und jetzt müssen Sie, um diese Analogie zu verstehen, sich vorstellen, dass der Türsteher, den Sie beauftragen, sich hinstellt und er hat eine Liste der Schwerverbrecher. Und er lässt aber im – jetzt müssen wir einen englischen Begriff einführen, den englischen Begriff des Defaults – was ist sozusagen die Standardantwort, wenn ich keinen Treffer auf meiner Liste habe?

Sprecher: Du läufst rein.

Torsten Valentin: Das ist das, was dieser Türsteher macht, weil hat er den nicht auf seiner Liste der Schwerverbrecher erkannt, dann lässt er den rein.

Sprecher: Das heißt, alle Mittelklasseverbrecher können rein?

Torsten Valentin: Ja, genau. Mittelklasse oder welche, die nicht so hart verurteilt wurden, dass sie irgendwie nicht auf diese Liste gelangt sind. Und in dem übertragenen Computersinne zum Beispiel auch alle, die Ersttaten begehen, also die noch gar nicht bekannt sind als solche. Und damit natürlich auch, da kommen wir vielleicht gleich nochmal drauf, wenn jetzt Angreifer das professionalisieren und schreiben frische Schadsoftware, dann machen sie das ja mit dem Zweck, dass sie etwas machen, was noch nicht als Schadsoftware bekannt ist. Und damit an die Lösungen, an diesen Antiviruslösungen vorbeikommen.

Sprecher: Die nicht ganz so schweren Jungs kämen zu meiner Hochzeit. Und Sie haben gesagt: „Ich melde ein Patent für die nicht ganz so schweren Jungs an."

Torsten Valentin: Diese Analogie können wir so nicht verwenden, das müssen wir wegschmeißen. Es geht mir jetzt erstmal in diesem Zusammenhang um die Stelle, dass man einmal erkennt, diesen Unterschied zwischen Default Allow und Default Deny. Und bei Default Allow waren wir so, dass wir gesagt haben, wir haben eine Liste der Schwerverbrecher und das Default, wenn wir nicht erkennen, ist Allow. Das ist jetzt der Türsteher, der auf Ihrer Party steht.

Und jetzt wollen wir darüber rüberspringen, zu sagen: Was macht denn jetzt SecuLution Application Whitelisting anders? Das ist das Default. Wir drehen das rum. Wir haben jetzt auf unserer Liste nicht die Liste der Schwerverbrecher, sondern wir haben eine Gästeliste. Wir haben also die Liste derjenigen, die wir auch haben wollen auf unserer Feier. Oder eine Liste derjenigen Software, die in unserem Unternehmen auch zum Arbeiten benutzt wird und benötigt wird. Oder auch die wir brauchen und von denen wir wissen, dass sie vertrauenswürdig ist. Und jetzt kommt es aufs Default an. Wenn wir einen Treffer nicht auf unserer Liste haben, sondern es kommt eine neue Software rein, die wir nicht kennen können. Und dann ist das Default beim Whitelisting eben zu sagen: Naja, was nicht bekannt ist, kann auch nicht ausgeführt werden. Also eine Software, die nicht klassifiziert wurde als vertrauenswürdige Software, geht schlichtweg nicht.

Und das ist halt so lückenlos, weil man das Prinzip rumdreht. Während das Blacklisting-Prinzip darauf angewiesen ist, dass man alle 100% Angreifer erkennen können muss. Und wenn man das nicht tut, kommt der Angreifer durch und sprengt meine Party. Ist das Whitelisting-Prinzip genau andersrum. Man muss sich da mehr darum bemühen, dass man jegliche Software erkennen muss, die man zum Arbeiten braucht, aber man muss sich nicht mehr darum bemühen, jegliche Schadsoftware abzuwehren, weil ja durch das Default-Deny-Prinzip, das also garantiert alles, was nicht auf der Positivliste bekannt ist, auch nicht technisch ausgeführt werden kann. Und damit ist natürlich absolut jede Schadsoftware von alleine sofort verboten.

Sprecher: Die Idee haben Sie aber von dem Vierteljahrhundert zum Patent angemeldet.

Torsten Valentin: Ja, und Punkt. Und dann?

Sprecher: Und dann habe ich natürlich erst einmal nur die Idee zum Patent angemeldet und dann muss man ja immer gucken, dass man das auch umsetzt. Und dann habe ich Partner gefunden, mit denen ich das zusammen programmiert habe. Und dann haben wir unsere erste Version rausgebracht und haben die dann angefangen zu vertreiben. Und das haben wir tatsächlich seit Jahr 2003. Läuft die erste Version draußen und jetzt haben wir schon das vierte Recode. Wir sind schon in der vierten grundsätzlichen Iteration, in der jeder Stein einmal umgedreht wurde. Wir sind einfach auch im Jahr 2025 nicht mehr da, wo man im Jahr 2001 war. Auch was die Anforderungen angeht.

Früher, als das Produkt auf den Markt gekommen ist, war es im Fokus für Unternehmen der kritischen Infrastruktur, bei denen die Sicherheit so wesentlich und wichtig war, dass sie die mit Application Whitelisting einhergehenden Hürden, die auch heute noch immer so sind, grundsätzlich bereit waren zu nehmen, was diesen zusätzliche Administrationsaufwand angeht, den es bedeutet, diese Whitelist mit jeglichen gewünschten Softwareänderungen zu pflegen.

In den späteren Iterationen haben wir uns dann darum gekümmert, das einer breiteren Masse von Endkunden zugänglich zu machen, indem wir diesen Administrationsaufwand von den Kunden weggenommen haben. Das bedeutet: die Sicherheit ist stabil schon seit 25 Jahren, da gibt es nicht viel zu däuseln. An der Sicherheit haben wir auch keine Verbesserungen durchführen können, weil sie prinzipiell funktioniert.

Sprecher: Weil das Prinzip ist immer das gleiche ist?

Torsten Valentin: ja und da gibt es nichts zu drehen oder zu verbessern. Das steht stabil.

Aber wir haben uns in den letzten 25 Jahren vor allen Dingen auch darum gekümmert, dass wir es hinkriegen, eine Implementation zu schaffen, die diese für viele Kunden unnehmbar erscheinenden Hürden der Pflege der Whitelist so vereinfachen, dass es am Ende jetzt ein Massenprodukt geworden ist, was für jedes Unternehmen gut benutzbar ist, ohne dass sie dafür eine Fußballmannschaft an Administratoren abstellen müssen.

Sprecher: Wie funktioniert das? Ich habe bei Ihnen auf Ihrer Firmenwebsite wer zu den Kunden gehört, da sind Stadtverwaltungen, Krankenhäuser dabei und so weiter. Die haben ja die unterschiedlichsten Anforderungen. Wie unterstützen Sie die Damen und Herren?

Torsten Valentin: Früher waren Unternehmen, die einen höheren Bedarf an Sicherheit hatten, wie das Gesundheitswesen durch die Patientendaten oder auch Polizei und Behörden, zugänglicher dafür, sich darum zu kümmern, eine sichere Lösung zu finden. Heute ist das nicht mehr so. Wir haben zwar immer noch aus historischen Gründen in den Behörden und im Gesundheitswesen unseren Hauptfokus, aber nur weil diese so vertikal gut skaliert sind.

Wir haben auch im Bereich der normalen Industrie, wir haben zb. Textilverarbeiter, Kompressorenhersteller, genug Kunden, die das jetzt betreiben. Aber erst seitdem es so funktioniert, dass wir den Kunden die Administrationsarbeit abnehmen. Und das muss ich mal beleuchten, wie das geht.

Sprecher: Sie mogeln sich gerade um meine Frage herum. Ich wollte ja wissen, wie unterstützen Sie die Damen und Herren?

Torsten Valentin: Das ist ja, um zu verstehen, wie man sie unterstützen kann, muss man verstehen, was ist deren Schmerz. Und wenn man Application Whitelisting installiert, ist der Schmerz der, dass jede Software, die im Netzwerk benutzt werden soll, auf der Whitelist sein muss, damit sie geht. Und das klingt nach einem Riesenaufwand und das ist es eben.

Sprecher: Eben! Also im Krankenhaus stelle ich mir das vor, jedes Röntgenapparat hat eine eigene Firmware und so weiter.

Torsten Valentin: Richtig, bei Röntgenapparaten muss man nochmal schauen, weil das sind medizintechnische Geräte, die unterliegen einer eigenen Gesetzgebung. Da hat das Krankenhaus oftmals gar nicht die Berechtigung, eine Absicherungslösung zu installieren. Die muss man getrennt betrachten.

Aber tatsächlich bleibt die Aufgabenstellung trotzdem dieselbe, ob Sie über ein Röntgengerät reden oder darüber, dass die Verwaltungscomputer im Netzwerk des Krankenhauses gesichert werden müssen. Tatsächlich ist es so: Diese Rechner haben eine unglaubliche Menge verschiedener Softwarepakete drauf, die sich auch zum Teil sich stets ändert.

Jeder kennt das, dass sich beispielsweise der Chrome-Browser alle zwei Wochen durch eine neue Version aktualisiert. Und wenn man sich darüber klar wird, dass die Sicherheit auch davon abhängt, dass nicht nur gesagt wird, Chrome soll erlaubt sein, sondern es muss ja auch klar sein, dass nicht irgendeine Schadsoftware sich einfach nur Chrome.exe nennt. Der Name ist nur Schall und Rauch, an dem kann man die Sicherheit nicht ableiten.

Sprecher: Sondern?

Torsten Valentin: Wir benutzen dafür den elektronischen Fingerabdruck, wenn man es so nennen möchte. Mathematisch ist das ein Hash-Wert, also eine nicht fälschbare Zahlenkombination, die sich aus der Binärdatei selbst ergibt. Ein Fingerabdruck ist eine gute Analogie.

Und wir müssen jetzt im Grunde genommen in der Whitelist definieren, dass dieser Hash-Wert von uns als vertrauenswürdig erachtet wird, damit der Kunde sie benutzen kann. In der Vergangenheit oder bei allen anderen Application-Whitelisting-Lösungen obliegt 100% der Pflege der Whitelist dem Kunden. Windows bietet von Haus aus ein Application-Whitelisting im Active Directory, ohne dass man zusätzliche Software einschalten muss.

Sprecher: Aber als Admin möchte ich das nicht haben.

Torsten Valentin: Nein, das können Sie auch gar nicht leisten. Wenn Sie sich vorstellen, Sie haben ein Krankenhaus mit 1000 Rechnern, was da an Änderungen jeden Tag da ist, das war jetzt mal ein Beispiel an Fußballmannschaften an Administratoren, ist ja noch nicht mal ein Witz. Und dann haben sie ja auch noch die Herausforderung, dass wenn dann mal was geändert ist, was sie nicht schnell genug auf die Whitelist oder präventiv auf die Whitelist gepackt haben, der Benutzer anruft, oh das geht nicht und dann kann der nicht arbeiten, dann müssen sie nacharbeiten und das publizieren.

Es hat schon seine Gründe, warum Microsofts oder auch die anderen Whitelisting-Produkte, die es auf dem Markt gibt, nicht so eine Verbreitung haben. Es ist eine schwierige Herausforderung. Aber jetzt kommen wir mal dazu, wie wir sie lösen, weil das war ja vor 5 Jahren…

Sprecher: Ich stell die Frage gern zum 3. Mal!

Torsten Valentin: Vor 35 Minuten war das ihre eigentliche Frage und ich will da gar nicht drum rum: - Wir bieten eine cloudbasierte Whitelist mit einem Vererbungskonzept. Das heißt, der Büro-PC von Frau Müller, wenn da jetzt die Entscheidung her soll, ob diese neue Chrome-Version gestartet werden darf, muss er ja diese Entscheidung irgendwo herholen. Wenn er offline ist, hat er sie lokal auf Platte, aber in der Regel hat er ein Netzwerk, also kann er die Whitelist des Betreibers fragen.

Der Betreiber, in dem Fall das Krankenhaus oder der Kunde, der Administrator, der sein eigenes Netzwerk biegt, hat eine von SecuLution Application Whitelisting bereitgestellte Appliance, eine Art Datenbankserver, auf dem die ganzen erlaubten Hashes drauf sind.

Also fragt Frau Müllers Rechner an dem Computer an: "Hier habe ich ein neues Chrome, Hash ist 1234567 und so weiter, darf ich das starten oder nicht?" Wenn wir jetzt über den Fall reden, dass ein neues Chrome-Update gekommen ist, dann ist ja gerade das der Fall, dass dieser Hash auf diesem Server nicht bekannt ist.

Bei allen anderen Lösungen vom Whitelisting stellt sich jetzt die Frage, wie kriegt der Admin den Hash auf diese Liste? Und das ist die Stelle, an der wir den Kunden unterstützen durch einen cloudbasierten Whitelistingservice.

Denn anstatt die Software direkt zu verweigern, wird jetzt von dieser Whitelist oder Datenbank, die der Kunde in seinem eigenen Netz betreibt, eine Rückfrage in die Cloud gestellt an eine Datenbank, die wir unseren Kunden bereitstellen. Darin liegt der Schlüssel, dass wir - das können wir auch messen, weil wir diese Anfragen auf unserem cloudbasierten Whitelisting-Server eintreffen sehen - zu welchem Anteil wir eine gute Antwort geben können. Zu über 99% der Anfragen, die von unseren Kunden eingehen, könne eine gute Antwort geben können. Wir könne unseren Kunden sagen, das ist eine gute Software, denn wir wissen, das ist das neue Chrome.exe, was Chrome gerade erst veröffentlicht hat.

Wir sagen dann: "Das ist eine gute Software, denn wir wissen, das ist das neue Chrome.exe, was Google gerade erst veröffentlicht hat." Und daher können wir, abhängig vom Hersteller, von dem die Software stammt, unserem Kunden eine Antwort geben. Das ist ein wichtiger Unterschied: Wir untersuchen nicht die Software selbst, sondern von wem sie stammt. Wir sprechen unser Vertrauen bestimmten Herausgebern von Software aus. Chrome ist von Google, dieses Update ist von Microsoft, das ist der neue Adobe Reader und so weiter.

Wir überwachen die Publizierungen die die größten Hersteller, inzwischen sind es über 2000. Anfangs haben wir mit 800 begonnen, das ist immer die Zahl, die wir im Marketing benutzt haben. Diese Publizierungen überwachen wir auch automatisiert und gecrawled und sehen immer, wenn einer dieser Hersteller etwas Neues veröffentlicht. Dann ziehen wir das herunter, entpacken es, ermitteln die Hashes und packen diese Hashes in unsere cloudbasierte Whitelist.

Die cloudbasierte Whitelist hat jetzt nahezu 20 Millionen Einträge drin von guter, vertrauenswürdiger Software. Der Schlüssel dahinter ist, dass der Fall, den wir gerade beleuchten wollten - Frau Müller kriegt ein neues Chrome-Update auf ihren Rechner - dazu führt, dass gar kein Admin eingebunden werden muss.

Auf Frau Müllers Rechner passiert die Abfrage gegen die lokale Whitelist, die lokale Whitelist kennt es nicht, fragt damit die cloudbasierte Whitelist des Herstellers, also von uns. Wir kennen das, geben zurück "Das ist ok", das Ganze darf gestartet werden, dadurch wird es der lokalen Whitelist hinzugefügt und Frau Müller auch erlaubt. Das dauert weniger als eine Sekunde einmalig und man merkt es nicht.

Sprecher: Insofern glaube ich das alles. Klingt logisch, überzeugt mich. Jetzt gibt es beispielsweise den Hacker XY, der hört diesen Podcast und sagt sich: "Ah, der Valentin, dieser Teufelskerl da in Verl, der hat das... Ich unterbreche die Cloud-Verbindung. Dann habe ich Frau Müller da, wo ich sie eigentlich hinhaben will. Sie hat keine Cloud-Verbindung und das nächste Update holt sie ohne die Lösung."

Torsten Valentin: Genau, das können wir ja mal als Konzept durchspielen. Da müssen wir noch nicht mal so weit gehen und sagen, irgendein Hacker nimmt den Rechner von Frau Müller. Wenn Sie 10.000 Mitarbeiter haben, ist es extrem unwahrscheinlich, dass aus allen 10.000 Mitarbeitern immer nur die nettesten Menschen der Welt sind. Die schiere Anzahl..

Sprecher: Sie kennen meine Mitarbeiter nicht.

Torsten Valentin: Die kenne ich tatsächlich alle nicht und trotzdem ist es statistisch so, dass unter 10.000 Mitarbeitern auch ein faules Ei dabei ist. Und auch den Fall müssen wir betrachten: Was passiert, wenn jemand, der Inhouse sitzt und Zugriffe hat auf Bereiche, die schon im geschützten Inneren liegen, wenn der jetzt etwas tut, was wir eigentlich in der Security Policy unseres Unternehmens so nicht genehmigen wollen.

Sprecher: Der Klassiker, der USB-Stick auf dem Parkplatz oder was auch immer.

Torsten Valentin: Ja, der USB-Stick auf dem Parkplatz ist ja nicht vorsätzlich. Aber man muss sich sogar auch dagegen schützen, wenn es vorsätzlich passiert. Nehmen wir also den Fall, dass der Mitarbeiter seinen Laptop mit nach Hause nimmt und dann quasi nicht in dem Unternehmensnetzwerk verbunden ist. Das ist jetzt der klassische Umkehrschlussfehler, den Sie gerade in der Fragestellung gemacht haben. Sie sagten: "Na ja, aber wenn der doch gar nicht online ist, kann er nicht fragen, also ist alles erlaubt." Dieser Fehler ist nicht zulässig, das ist nicht korrekt.

Sprecher: Weil?

Torsten Valentin: Naja, das Default ist immer noch Default Deny. Wenn wir es nicht kennen, geht es nicht. Das heißt, der schlimmste Fall, der eintreten kann - und der ist in diesem Fall noch nicht mal so - aber nur mal theoretisch, weil ich frage Sie ja als Gegenfrage: Wie kann der denn das Chrome-Update erhalten, wenn er nicht online ist?

Sprecher: Nö, er ist nur mit der Cloud nicht verbunden, mit Ihrer. Die habe ich als Hacker, ich bin ja ein kleiner Fiesling, unterbrochen. Das heißt, ich kriege alles andere auf den Rechner, aber Ihre Cloud-Verbindung ist off.

Torsten Valentin: Also ist tatsächlich auch technisch vorstellbar, man hackt sich ins DNS und macht eine DNS-Umbiegung, sodass die Systeme unsere Cloud nicht mehr erreichen können. Trotzdem bleibt ja das Default Deny. Der kriegt also eine neue Schadsoftware dann da drauf auf den Rechner und jetzt soll die geprüft werden.

Der lokale Rechner von Frau Müller kennt es nicht, fragt an der Whitelist, die im Firmenzentrum steht, nach. Da kennt er das auch nicht. Und diese Whitelist will jetzt die Abfrage an unsere cloudbasierte Whitelist stellen und kann die aufgrund Ihres Konzepts gerade nicht erreichen. Dann kriegt er halt keinen guten Trust Level zurück.

Und weil wir sagen "Default Deny", wenn wir es nicht kennen, ist das Schlimmste, was dann halt passieren kann, dass die Software nicht geht.

Sprecher:Und ich kann mir dann auch kein über Chrome leichtes Ding, irgendeine Webseite kann ich mir auch nix reinziehen, weil Sie sagen "Default Deny". Punkt.

Torsten Valentin: Sie haben das korrekt zusammengefasst, genau so ist es. Es ist ganz einfach: Default Deny sagt, wenn wir es nicht als vertrauenswürdige, gute, erwünschte Software kennen, dann kann es nicht ausgeführt werden. Punkt. Und wie wir jetzt dahin kommen, ist ja egal, ob es der USB-Stick ist, ob es ein Download, irgendwas Geklicktes ist, irgendwas in einem E-Mail-Anhang, das spielt keine Rolle. Es geht tatsächlich alleine um die Frage: Wird da eine Software ausgeführt, die wir kennen oder nicht? Und wenn wir sie nicht kennen, geht sie nicht. Punkt.

Sprecher: Ihre Cloud-Lösung, die muss ja wachsen und wachsen und wachsen, weil so viele unterschiedliche Anbieter, ihr Kundenkreis reicht von A bis Z, da sind die unterschiedlichsten Softwareprodukte drin. Wie wird die Cloud gepflegt, dass ich auch wirklich als Admin sicher sein kann?

Torsten Valentin: Die wichtigste Voraussetzung dabei ist, erst einmal wenig Human Error drin zu haben, also wenig Berechtigungen zu haben, dass Hans und Franz in diese Cloud einfummeln können. Bei uns ist es tatsächlich sehr restriktiert, Daten in diese Cloud einzupflegen. Das können bei uns auf manuelle Art und Weise nur sehr wenige Personen. Die Dinge, die wir automatisiert tun, wie das Crawlen der Publikationen der großen Hersteller, da kann ja keiner persönlich reingehen. Es ist etwas, was eingerichtet, abgesichert ist und das läuft einfach so durch. Wir machen also das, was notwendig ist, damit keine dritte Person auf unberechtigte Art und Weise reingeht. Aber die Hintergrundfrage dahinter ist schon eine sehr berechtigte Frage. Ist denn nicht diese zentrale, cloudbasierte Whitelist eigentlich auch ein Angriffspunkt? Ja, definitiv ist sie das.

Sprecher: So weit war ich noch gar nicht. Da ist die Cloud angegriffen. Sondern erst mal, ich komme als Kunde zu Ihnen und habe ganz viel Spezialsoftware im Einsatz. Da müssen Sie richtig arbeiten.

Torsten Valentin: Nein, müssen wir nicht, weil wir das nicht machen. Nehmen wir mal das Beispiel einer Radiologiepraxis, die Gebisse oder Zähne röntgt. Die haben Bildbetrachtungssoftware, die einfach von der Verbreitung her so speziell ist, weil sie genau für diese Branche, genau für dieses Thema gedacht ist. Die kennen und pflegen wir nicht in unserer Whitelist. Wir haben anfänglich 800, jetzt so 2000 Hersteller der am meisten verbreiteten Software. Dazu zählt die Röntgenbild-Betrachtungssoftware nicht.

Sprecher: Eben.

Torsten Valentin: Genau. Das bedeutet, an der Stelle muss der Administrator, der das Netz selber betreut, seine spezielle, branchenspezifische, individuelle Software einmal selber seiner Whitelist hinzufügen. Weil nur er die wirklich kennen und ihr vertrauen kann. Es ist ja auch nochmal ganz anders. Viele haben ja auch selbstprogrammierte Software. Wenn Sie mal selber in Ihrem Unternehmen Software schreiben, muss die auch bei Ihnen erlaubt sein. Das können Sie ja nicht im Grunde genommen durch den Hersteller der Sicherheitslösung erledigen lassen, sondern da müssen Sie immer noch der Herr über Ihr eigenes Netzwerk sein können.

Sprecher: So, jetzt habe ich den Buben mit der Radiologen-Software, der möglicherweise durch irgendwelche Tricks doch Zugriff auf Ihre Cloud kriegt und da schließt sich der Kreis wieder. Kann der nicht doch angegriffen werden?

Torsten Valentin: Das ist jetzt so ein Joker-Argument, ne? Durch irgendwelche Tricks kann er sie dann doch hacken. Das, äh…

Sprecher: Ich glaube Ihnen ja nicht, dass da noch nichts passiert ist. Deswegen muss ich ein bisschen kitzeln.

Torsten Valentin: Ja, lassen Sie mich das mal erklären. Der Schlüssel zum Verständnis ist: Das Einzige, was wir tun müssen, um die Sicherheit für unsere Endkunden herzustellen, ist eine Schadsoftware nicht in unsere Whitelist mit aufzunehmen.

Sprecher: Wenn doch der Radiologe, beziehungsweise sein IT-Mann, sagt, er brauche das und Ihnen da das trojanische Pferd einschleust?

Torsten Valentin: Gut, dass Sie das fragen, weil ich hatte mir gar nicht vorgestellt, dass Sie in diesem Mindset sitzen. Sie stellen sich noch vor, dass das, was der IT-Admin des Radiologen seiner Whitelist hinzufügt, auch zurück in unsere Whitelist kommt. Das ist nicht so. Das war der Punkt. Unsere Whitelist wird nur von unseren eigenen Mitarbeitern und nur von unseren eigenen Algorithmen betankt. Wenn der Admin des Radiologen etwas seiner eigenen Whitelist hinzufügt, wie eben seine Röntgenbild-Betrachtungssoftware, dann obliegt das seiner eigenen Entscheidungshoheit darüber ein Votum zu treffen, ob es sich dabei um für ihn gute Software handelt oder nicht.

Sprecher: Das heißt, die müssen dann trotzdem noch ein bisschen arbeiten, 100% entlasten Sie sie nicht.

Torsten Valentin: Genau, über 99%, das können wir ja an den Eingängen in unserem Serversystem sehen. Und diese verbleibenden 1%, die kommen eben dadurch zustande, dass dann doch viele irgendwo noch mal ein bisschen eine Individualsoftware haben, die halt eben branchenspezifisch ist.

Wenn Sie eine Stadt nehmen, jede Stadt hat ihre eigene Hundesteuererfassungssoftware. Das können Sie sich gar nicht vorstellen.

Sprecher: Ich habe keinen Hund.

Torsten Valentin: Ja, aber da hat vielleicht noch nicht mal der Mitarbeiter, der da sitzt und diese Software bedient. Aber es gibt einfach unglaublich viele Sachen, die an so einer Stelle speziell programmiert werden. Die braucht dann der Admin nur einmal seiner eigenen Whitelist hinzufügen.

Oder im Gesundheitswesen gibt es das häufiger, dass diese Krankenhausinformationssysteme irgendwie im Quartal ein Update bekommen. Krankenhäuser arbeiten irgendwie quartalsweise oder so. Da gibt es eine neue Version, die kennen wir auch nicht in jedem Falle. Manchmal muss der Admin, wenn er kleinere Lösungen besitzt, dieses Update auch seiner eigenen Whitelist hinzufügen. Aber auch das ist eine Sache, die in ein, zwei Minuten gemacht ist. Das ist nichts, womit er sich länger beschäftigen muss. Kann auch automatisiert werden, aber es geht um die Verantwortlichkeit. Und diese Individuallösungen, die nicht die 99 Prozent der Regel ausmachen, für die ist er selbst verantwortlich.

Sprecher: Eigentlich müsste jeder Chef ihm ein Denkmal setzen, weil sie ja seinen Admin entlasten. Der kann ja in der Zeit was anderes machen und ein bisschen Sicherheit hat er auch noch. Klingt wie der Werbeblock, ist aber so, oder?

Torsten Valentin: Nochmal, wenn ein Prozent der Arbeit beim Kunden hängenbleibt und wir aber mit unserem cloud-basierten White-Listing-Service 99% als Dienstleistung für den Kunden übernehmen, dann kann der Kunde auf diese Weise ja nicht nur diese tausendmal höhere Sicherheit erzeugen, sondern er hat ja praktisch erstmal wirklich jetzt überhaupt erst die Möglichkeit, sein Sicherheitskonzept auch wirklich so zu gestalten, wie es vom BSI im Grundschutzhandbuch vorgegeben wird.

Da haben wir noch gar nicht drüber gesprochen. Das BSI, das ist dieses Bundesamt für Sicherheit der Informationstechnik in Deutschland. Die geben, so wie eigentlich alle äquivalenten Organisationen der Industrie, also ich weiß es jetzt zum Beispiel von den USA und Australien, Handlungsempfehlungen heraus, wie man sein Netzwerk vor Schadsoftware und anderen unberechtigten Zugriffen schützt. Das ist so ein richtiges Handbuch, da stehen Empfehlungen drin, auch in Bezug auf Passwörter und so weiter.

Und das BSI, eben genauso wie diese anderen internationalen Behörden, empfiehlt explizit den Einsatz von Application Whitelisting zum Schutze der Endpoints, also der Server und Workstations, vor Schadsoftware. Also Application Whitelisting ist jetzt keine verrückte, seltene Nische oder so, sondern schon bekanntermaßen die sicherste Lösung. Nur eben mit dem Problem, dass die Pflege der Whitelist so aufwendig ist, wenn man das nicht über eine cloudbasierte Whitelisting-Serviceleistung von einem Partner erledigen lassen kann.

Sprecher: So, jetzt haben wir nach hinten geguckt, wir haben den Ist-Stand und jetzt gucken wir nach vorne. KI, schlafen Sie ruhig oder sagen Sie, ah, wir sind so super?

Torsten Valentin: Naja, das Prinzip des Default Denys hat gar nichts damit zu tun, dass KI existiert. Es ist eher ein mathematisches Prinzip, dass diese Hashes, die wir errechnen, mathematisch stabil steht oder nicht. Da wäre es eher eine Frage nach Quantencomputing, ob über Quantencomputing eine Hash-Kollision erzeugt werden könnte, die dazu führt, dass man eine Schadsoftware generieren kann, die dann den Fingerabdruck hat, der eigentlich einer vertrauenswürdigen Software entspricht.

Sprecher: Bleistiftsweise.

Torsten Valentin: Genau. Haben wir aber früh genug gegengewirkt, indem wir tatsächlich nicht einen Hash verwenden, sondern wir verwenden drei Hash-Verfahren. Der höchste von den dreien heißt SHA-256 und aktuell steht das, also auf absehbare Zeit, in meiner Lebenszeit, wird sich das nicht mehr ändern.

Sprecher: Sie sind doch ein junger Kerl, da wird sich doch was tun.

Torsten Valentin: Genau, ja. Gerade noch ein bisschen Grün hinter den Ohren weggewischt. Aber nee, ich denke mal, in den nächsten 40 Jahren kann ich sicher sagen, ist das stabil.

Sprecher: Technisch habe ich es kapiert, aber wir müssen noch mal über diese wirtschaftliche Komponente reden. Da sitzen Sie hier in Verl, noch fast, du bist ja auf dem Dorf, rundherum grün, hinten laufen die Hühner, alles chic. Da ist so eine Software-Schmiede, warum ist denn noch keiner der Großen bei Ihnen vor der Tür gestanden und hat gesagt, Herr Valentin, kling kling, hier ist der Scheck?

Torsten Valentin: Wer sagt, dass es nicht so war?

Sprecher: Was macht das mit Ihnen zu sagen, hey, wir haben eine Lösung, die wollen auch die Großen?

Torsten Valentin: Jetzt reden wir über mich persönlich, ja. Ich persönlich habe dieses unglaubliche Glück, dass ich es geschafft habe, in meinem Leben eine Karriere zu finden, bei der das, was ich mache, mir wirklich von vorne bis hinten Spaß macht. Das mache ich gerne, das ist mein Baby, ich habe das erfunden, ich habe das entwickelt, ich betreue das auch heute immer noch. Und das trägt einfach unglaublich viel zur Lebensfreude bei.

Darum haben wir auch jetzt angefangen, oder wir machen das seit anderthalb Jahren, dass wir Kunden anrufen und ab und zu mal einfach vorbeifahren und mit denen Interviews drehen. Und das Feedback, was wir von denen dann bekommen darüber, wie groß die Schere zwischen Erwartung und Geleistetem am Ende war, weil die Erwartung bei Application Whitelisting ist immer diese: „Mein Gott, das ist ein Riesenaufwand, wie soll man das machen?" „Na ja, können Sie uns ja mal angucken."

Und dann benutzen Sie es und dann merken Sie nach dieser, es gibt ja diese 8-Wochen-Testphase, wo man sagt, wenn man es nicht will, kann man es zurückschicken. Dann behalten sie es länger, sind immer noch ein bisschen skeptisch und manche benutzen auch weiterhin ihren Antivirusprodukt nebenher, was ja auch sinnvoll ist, weil man halt sagt, ich kann ja nicht von heute auf morgen mich plötzlich in die Hände eines mir bis jetzt völlig unbekannten Unternehmens übergeben. Also machen sie das weiter.

Und nach irgendeiner Zeit schmeißen sie den Virenscanner raus, weil sie sagen, der bringt uns nicht mehr viel. Aber das Feedback, was ich dann von diesen Kunden an der Stelle bekomme, trägt sehr viel zum persönlichen Lebensglück bei. Es macht Spaß und das ist schön und darum machen wir das immer noch hier.

Sprecher: Wie besteht man als kleines Unternehmen, ich will Ihnen nicht zu nahe treten, aber wie besteht man als kleines Unternehmen gegen die ganz großen, die da irgendwo an der Börse sind und mit 600.000 Aktionären und so weiter?

Torsten Valentin: Mit einem innovativen Produkt. Ich glaube immer, wenn man eine Nische besetzt, in der man etwas hat, was wirklich einzigartig ist und bei dem man wirklich auch den Mehrwert erkennen kann. Dann hat man es im Vertrieb schwerer, das haben wir ja auch, haben wir vorhin auch darüber gesprochen, wie schwierig das ist, dann zu erklären und den anderen dazu zu bringen, sich die Zeit zu nehmen und sich das auch wirklich im Detail anzuhören.

Diese Hürde ist da, aber das ist ein Preis, den ich eigentlich sehr ganz, ganz gern gewillt bin zu zahlen, weil er eben auf der anderen Seite ermöglicht, dass wir etwas machen, was Freude macht, was innovativ ist, was eine gewisse Eleganz in sich birgt. Das ist schön.

Sprecher: Letzte Frage, wo wollen Sie in 10 oder in 15 Jahren sein? Ich komme dann wieder vorbei mit diesem Mikro und dann sitzen wir hier, wackeln vielleicht schon ein bisschen mit dem Kopf, wo wollen Sie da sein? Ist SecuLution dann immer noch der letzte heiße Scheiß?

Torsten Valentin: Hoffe ich doch sehr. Der Plan ist, dass das so ist. Wir haben die Weichen dahingehend gestellt, dass wir seit einem Jahr unser Produkt so erweitert haben, dass es jetzt multilingual ist. Wir können es nun auch in Spanisch, Französisch, Italienisch, Englisch und so weiter ausrollen, damit die Zielmärkte dann es problemlos einsetzen können. Der Markt möchte eigentlich immer eine lokale Variante haben, bei der alles in der jeweiligen Landessprache ist. Das können wir jetzt anbieten und damit eröffnen sich neue Märkte für uns.

Früher haben wir uns sehr auf den deutschsprachigen Raum beschränkt, auch weil unser Vertriebsteam hier sitzt. Es ist einfach schwieriger, mit einem deutschen Vertriebsteam einen italienischen Kunden zu finden. Darum haben wir da auch nicht viel Energie investiert. Aber das wird sich ändern, wir werden jetzt internationaler und dann wird es entsprechend wachsen.

Sprecher: Torsten Valentin, SecuLution, die möglicherweise innovative Lösung auf dem IT-Security-Markt. Ich nehme Sie beim Wort. Ich komme ja wieder vorbei und wir reden in ein paar Jahren. Dann will ich wissen, ob Sie auch in Südamerika, Südchina oder vielleicht sogar am Südpol vertreten sind.

Torsten Valentin: Total gerne. Ich freue mich immer wieder, Sie hier begrüßen zu können.

Sprecher: Das war "heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.