#1 – Wieso? Weshalb? Warum? und Anti-Virus

Moin zu einem neuen hagel IT-Podcast. Mein Name ist Philip Kraatz.

Und ich bin Dennis Kreft.

An dieser Stelle werden wir euch hier zukünftig in regelmäßigen Abständen über aktuelle Themen aus dem Bereich IT für kleine und mittelständische Unternehmen informieren. Vielleicht einmal zum Anfang zu uns. hagel IT.

Wer ist hagel IT?

Was macht hagel IT? Da würde ich das Wort vielleicht einmal ganz kurz an meinen Kollegen Philip geben.

Genau, ja, Hagler IT ist ein IT-Service-Dienstleister. Wir sprechen häufig von MSP, Managed Service Provider. Wir sind seit 2004 am Markt und bieten für Unternehmen jeglicher Branche einen IT-Rundum-Service. Dafür sorgen wir derzeit mit 32 Mitarbeitern, sitzen hier in Hamburg, in Kiel und in Bremen. Wir betreuen Kunden in der Größenordnung von drei bis 150 Mitarbeiter. Davon sind es derzeit so 200 Stück. Und was zeichnet uns ein Managed Service Provider aus? Dennis, was macht er so?

Also wir als MSP bzw. Managed Service Provider sehen den Unterschied von uns zu dem klassischen IT-Systemhaus eben darin, dass es uns nicht darum geht, zu warten, bis der Kunde Probleme mit seiner IT hat und diese dann zu lösen. sondern eben durch diese Managed Services, die wir vorher mit dem Kunden gemeinsam klar definiert haben, die Kontinuität der IT für kleine bis mittelständische Unternehmen dauerhaft zu gewährleisten. Ich würde es im Nachgang vielleicht einmal so beschreiben, dass wir uns als IT-Abteilung unserer Kunden sehen, die aber eben nicht beim Kunden vor Ort sitzt.

Das heißt also, ein MSP stellt eigentlich nicht nur den Support bereit, wie man das von einem IT Dienstleister kennt, sondern darüber hinaus sorgt der einfach kontinuierlich dafür, dass alles funktioniert beim Kunden, was die IT betrifft.

Genau, das ist auf jeden Fall unser Kernziel, dass der Kunde eben weiß, er hat jemanden an seiner Seite, einen starken Partner an seiner Seite, der dafür sorgt, dass Probleme im besten Fall gar nicht auftreten.

Okay, super, aber wie kommt jetzt ein Managed Service Provider dazu, einen Podcast zu veröffentlichen?

Das ist eine sehr gute Frage. Ich versuche das mal so zu formulieren. Nahezu wöchentlich liest man in Medien, Zeitschriften, Internetportalen, Newsseiten etc. pp. über akute Problemstellen in bestehenden IT-Strukturen. Und als MSP stellt man sich natürlich immer die Frage, wie kann ich meinem Kunden zeigen, was für Probleme lauern denn da draußen eigentlich, beziehungsweise was für Gefahren lauern da draußen eigentlich. Jetzt könnte man sagen, ja, wir können das alles einmal zusammenfassen, schreiben unseren Kunden einmal im Monat ein Newsletter etc. pp. Wir glauben aber, dass gerade eben dieses dieses Medium Podcast sicherlich auch sinnvoll dafür genutzt werden kann, unseren Kunden solche Dinge

vor Augen zu führen. Also geht es letztlich darum, Informationen, die wir im Tagesgeschäft so mitbekommen, einfach schneller an die Kunden weiterzubringen?

Genau, wir denken einfach, dass das ein kurzer, guter und vor allem prägnanter Weg ist, wenn man eben sagt, wir haben in regelmäßigen Abständen unseren Podcast und in dem bieten wir unseren Kunden so 15 bis 25 Minuten immer eins, zwei aktuelle Themen und zeigen natürlich mit diesen Themen auch etwa Lösungsvorschläge auf. Okay, wunderbar.

Worüber wollen wir heute reden?

Auch die Frage habe ich mir gestellt und ich habe etwas Spannendes gefunden. Und zwar habe ich gelesen, Hacker verschlüsseln Daten. Also ich werde jetzt hier einfach mal eine plakative Schlagzeile zitieren. Hacker verschlüsseln Daten. Schweriner Verwaltung droht nach Cyberangriff. Ein langer Ausfall. Das fand ich ganz spannend und meine, dass wir darüber vielleicht mal sprechen sollten. Jetzt frage ich mich als Außenstehender, wie kann so was einer Stadtverwaltung passieren und da du der technisch deutlich versiertere von uns beiden bist, würde ich diese Frage gerne mal an dir jetzt einfach mal stellen. Wie kann so was an der

Stadtverwaltung passieren? Ja, spannende Frage. Da bist du sicherlich nicht der einzige, der sich diese Frage stellt, sondern ich bin mir sicher, da wird es auch in der Stadtverwaltung einige Mitarbeiter geben, die sich diese Frage stellen und ich fürchte, es wird auch einige geben, die diese Frage beantworten müssen. Ich bin in der guten Position, dass ich das nicht muss. Ich kann nur sagen, dass wir da ja den klassischen Fall haben, der inzwischen ja viele große sowie auch kleine Unternehmen getroffen hat, nämlich eine Verschlüsselung mit einer Ransomware. Das heißt also ein Trojaner, der das Netzwerk befällt und sich dann von dem Gerät aus, das er befallen hat, typischerweise einfach ein Laptop, ein PC von einem Mitarbeiter, von dem aus dann weiterverbreitet im gesamten Netzwerk und einfach Dateien und verschlüsselt. So, das heißt, irgendwann stelle ich fest, ich gehe morgens an meinen Rechner und entweder ich kann den gar nicht mehr starten oder aber ich will auf Dokumente zugreifen und die liegen nicht mehr in der normalen Version vor, also .doc, .pdf, ... was auch immer, sondern es steht dann .crypted. Und meistens taucht dann irgendwann auch auf den PCs eine Meldung auf mit irgendwelchen Totenköpfen drauf, häufig wo da steht, Ihre Daten sind verschlüsselt, zahlen Sie ein Lösegeld in Höhe von x Bitcoin an diese Adresse und Sie erhalten den Code zum Entschlüsseln. Ja und dann steht man da und sagt super, was machen wir jetzt? Genau die Frage, die wir als MSP uns natürlich immer stellen müssen ist, wie können wir verhindern, dass es überhaupt soweit kommt. Also wie können wir den Kunden davor schützen, dass dieser Fall eintritt, dass da eine Verschlüsselung da ist und die Auswirkungen dieser Verschlüsselung

behoben werden müssen? Jetzt unterstelle ich natürlich der Stadt Schwerin, dass es so etwas wie Antiviren-Software auf deren Rechnern, Server-System etc. gab. Jetzt kann man dann natürlich die Frage stellen, wieso haben denn die Antivirensysteme der Stadt Schwerin diesen Verschlüsselungstreuer noch nicht erkannt?

Gute Frage. Ich vermute sogar mal, es gibt, also ich gehe damit, es gibt garantierten Virenschutz auf den Systemen der Stadtverwaltung Schwerin und es wird garantiert auch weitere Lösungen geben wie Firewalls etc. Und die Frage, genau wie kommt das dann trotzdem rein, Wieso erkennt der Virenschutz das nicht? Das ist eine der Fragen, die wir relativ häufig gestellt bekommen in den letzten Monaten. Das Hauptproblem davon ist, wie diese Virenschutzsoftware funktioniert. Eine normale Virenschutzsoftware funktioniert so, dass sie eine Mustererkennung bietet. Als Virenschutzhersteller fange ich mir täglich ganz viele Viren ein, absichtlich, analysiere die und schaue mir an, wie kann ich den erkennen. Und dieses Erkennungsmuster, das trage ich in eine sogenannte Signaturdatei ein, schicke das an meine Virenschutz-Installationen raus, die bei meinen Kunden sind. Und ab dem Zeitpunkt kann dann jeder Antivirus-Software auf einem Server oder auf einem PC, kann dann den Virus nach diesem Muster erkennen.

Heißt das an dieser Stelle, dass wir ein zeitliches Problem haben? Also wenn du sagst, einmal am Tag, nur um eine Zahl zu nennen, machen die das. Haben wir da ein zeitliches Problem oder hat das andere Hintergründe?

Ja, wir haben ein mehrstufiges Problem. Wir haben einmal das zeitliche Problem. Da sind viele Antivirusanbieter inzwischen dazu übergegangen, auch mehrfach am Tag Viren-Signatur-Updates zu verteilen. Aber wir haben das Problem, jeden Tag werden ca. 350.000 neue Malwares verteilt. Genau genommen sind die gar nicht immer alle neu, sondern die haben immer nur alle eine unterschiedliche Aufbau, eine unterschiedliche Signatur. Das heißt, die Grundfunktionalität ist gleich, aber die Möglichkeit, die zu erkennen, unterscheidet sich. Und dementsprechend kann man sich überlegen, bei 350.000 jeden Tag, ist das eine ganz schön große Zahl an Updates, die ich da rausbringen muss. Das muss ich immer möglichst schnell tun, weil klar, sonst riskiere ich, dass da eine Lücke ist. Zum anderen muss auch jeder Client dann dafür auch immer zwingend eine Internetverbindung haben, um dieses Update zu bekommen. Auch das ist ja nicht immer gegeben. Und dann gibt es noch einen Sonderfall, das sind sogenannte Polymorphal Malwares. Die sind also in der Lage, ihren Code quasi während der Ausführung zu verändern und sich dadurch regelmäßig neu zu generieren. Und dadurch wird es halt noch schwieriger für einen herkömmlichen Virenschutz, das zu erkennen.

Danke für die Erklärung. Das bringt mich auch ganz gut tatsächlich zu der Frage, die ich hier gemeinsam mit dir und dann auch mit unseren Hörern einmal behandeln würde sozusagen. Nun gibt es so etwas, das nennt sich Endpoint Detection and Response. Das klingt total spannend. Das klingt nach ganz viel Fachwörtern. Ist das denn auch tatsächlich so speziell und toll, wie sie es anhört und was unterscheidet im Zweifel eben diese kurz EDR von den handelsüblichen Virenscannern, wie wir sie kennen und wie auch wahrscheinlich alle Hörerinnen da draußen das kennen.

Genau, also EDR ist so eine neue Form der Antiviruslösung quasi. Funktioniert genauso wie ein Virenschutz in der Form, dass ich eine Software habe, die auf einem Gerät ist. Es kann ein Server sein, es kann ein PC sein, es kann ein Mac sein, ein Linux-Gerät, es ganz egal. Nur die arbeitet grundsätzlich anders. Während wir gerade besprochen haben, so ein Virenschutz, der arbeitet signaturebasiert, der muss zum Beispiel auch immer Scans durchführen regelmäßig für das Dateisystem. Und so ein EDR, der arbeitet anders. Der macht quasi eine dauerhafte Live-Überwachung. Dadurch hat er zum Beispiel auch nicht den Nachteil, wie ein normaler Virenschutz, dass der, wenn der immer um 12 Uhr mittags scannt, dass das System langsam wird. Das haben wir mit dem EDR nicht. Und der Arbeit, und jetzt ist nochmal wieder ein Buzzword aus dem aktuellen Tech-Bereich, der Arbeit mit KI, also mit künstlicher Intelligenz, das heißt, der kann Bedrohungen erkennen, auch wenn ihm das vorher keiner beigebracht hat. Das heißt, der prüft im Hintergrund dauerhaft, was für Workloads werden gerade auf dem System, was für Prozesse laufen da und ist das im Kontext vereinbar? Also passt das gerade dazu, dass da irgendwelche Programme ausgeführt werden und gestartet werden, obwohl parallel dazu halt eigentlich der Rechner sonst im Leerlauf ist? Und solche Sachen überwacht der, erkennt der und kann dann eben Alarm schlagen, auch wenn ihm vorher keiner diesen Virus oder diese mehr oder weniger gezeigt hat. Und dazu kommt noch, dass der eben auch mit dateilosen Angriffen arbeiten kann, also Angriffen mit Skripten, die ausschließlich im Arbeitsspeicher ausgeführt werden. Das ist eben auch einfach eine Möglichkeit, die hat ein normaler Antivirus nicht, weil der überwacht Dateien, eben in der Regel, die auf dem System vorliegen und erkennt dann, dieser Teil ist ein Virus, dieser nicht. Und der EDR ist darüber einfach noch ein bisschen, ein großes bisschen weiter hinaus.

Gut, jetzt sagst du, der fungiert sozusagen auf Basis einer künstliche Intelligenz. Diese künstliche Intelligenz stelle ich mir so vor, die funktioniert ja in der Cloud sehr wahrscheinlich irgendwo und nicht auf meinem Rechner. Jetzt die Frage, nun hat mein Rechner kein Internet. Was mache ich denn, um sicherzustellen, dass der, wenn ich das nächste Mal starte und das nächste Mal ins Internet kommt, ist der dann sofort auf dem aktuellen Stand, den er braucht? Oder ist der dann rückläufig, weil er ja gar nicht der KI die Möglichkeit gegeben hat, dauerhaft aufgenommen zu werden sozusagen.

Also der Scan oder die Erkennung läuft weiterhin lokal ab. Es gibt bestimmte Funktionen, die werden ausgelagert, natürlich auch an KI-Algorithmen in der Cloud, weil nicht jedes Endgerät ist schnell genug dafür. Aber grundsätzlich die Erkennung von Schadsoftware und schädlichen Programmcode, die läuft komplett auch lokal. Natürlich wird auch diese künstliche Intelligenz weiterentwickelt Und diese neuen Funktionen, die kriegt er natürlich nur, wenn er online ist und holt sich die dann eben, sobald er wieder eine Internetverbindung hat.

Das heißt, man könnte davon ausgehen, hätte die Stadt Schwerin bzw. die Stadtverwaltung in Schwerin gesagt, nee, wir nehmen lieber ein EDR als unseren klassischen Antivirus, hätte das diese Verschlüsselung verhindern können? Oder hätte das die Verschlüsselung verhindert? Fragen wir mal direkt.

Ja, ist natürlich Mutmaßung jetzt an der Stelle, weil ich über Details des Angriffs eben natürlich auch nicht Bescheid weiß. Ich würde aber davon ausgehen, dass er das hätte, ja. Zum einen, weil der natürlich eben einfach auf einer anderen Basis erkennt, das haben wir gerade besprochen, dass die KI da eben mitarbeitet. Und das andere ist ja, ein klassischer Antivirus ist ja häufig auch so, wenn er was findet, dann alarmiert der zwar, dann sagt er Bescheid. Achtung, ich habe hier was gefunden. Hier ist ein System befallen. Aber danach muss wieder ein Mensch irgendwo handeln. Das heißt, im besten Falle muss der irgendwie einfach einen Stecker ziehen und das System dadurch vom Netzwerk trennen. Und dieses Stecker ziehen, das bedeutet aber, dass da jemand vorsitzen muss, der weiß, was er tun muss. Also sind wir beim Thema Schulung, Mitarbeiter-Schulung. Und das heißt, auch da muss jemand vorsitzen, der das überhaupt mitbekommt.

Das heißt im Umkehrschluss, es reicht nicht. Man sagt ja üblicherweise, wenn mein Antivirus oder meine Antivirus-Software was erkennt, habe ich ja ganz oft, dass es entweder automatisch gelöscht wird oder in Quarantäne verschoben wird. Das hätte aber in diesem Fall nicht ausgereicht.

Ja, auch da wieder kommen wir natürlich sehr darauf an, was das für ein Trojaner ist. Häufig verbreiten die sich aber schon direkt im Netzwerk weiter. Also die versuchen, andere Systeme mit zu infizieren, damit genau für diesen Fall, dass da jemand eben einen Stecker zieht oder dass der Antivirus das in Quarantäne verschiebt oder löscht. dass trotzdem der Angriff weiterlaufen kann. Und auch da hilft halt der EDR, weil der diese Stecker ziehen kann der quasi symbolisch auch machen. Also die Software trennt Netzwerkverbindungen vom befallenen Gerät, isoliert das Gerät damit und kann dadurch eben auch verhindern, dass sich so ein Trojaner eben im Netzwerk weiterverbreitet. Dass andere Systeme mitbefallen werden und dass am Ende irgendwo alles verschlüsselt ist, Das kann der eben durch diesen Isolationsmodus auch verhindern.

Okay, vielleicht noch einmal ganz kurz zusammenfassend kann man sagen, Antivirus ist schön, schützt mich im Zweifel, ich sag mal zu Hause auf meinem PC, wenn ich mir da eine Antivirussoftware installiere, bin ich weitgehend geschützt. Aber sobald man sagt, ich arbeite mit mehreren Clients in einer produktiven Umgebung, wo vielleicht sogar noch vermeintliches Server mit dranhängen, sollte man schon auf ein EDR zurückgreifen, eben dahingehend, dass dieser der Funktionalität des klassischen Antivirus dahingehend überlegen ist, dass er eben halt auch noch nicht überall bekannte Schemata durch seine künstliche Intelligenz erkennen kann.

Genau, ja. Also EDR, einfach die neuere Version, quasi Version 2 dieses Thema Antivirus, moderne Erkennungsmöglichkeiten und vor allen Dingen auch Möglichkeiten eine Ausbreitung zu verhindern.

Prima. Jetzt ist natürlich bei der Stadt Schwerin, bei der Stadtverwaltung Schwerin, ist, wie man so schön sagt, dass das Kind im Brunnen gefallen. Es ist alles verschlüsselt. Es wird erwartet, dass man da vermutlich irgendwelche Lösegeldforderungen zahlt. Was ist denn die Alternative? Also die Stadt Schwerin sagt jetzt, nee, wir wollen das nicht bezahlen. Was machen die denn dann? Werden die das wieder los?

Ja, es gibt ja so zwei Möglichkeiten dafür. Die eine ist, ich schmeiße einfach alles weg, mache alles neu. Dann ist die Stadt Schwerin wahrscheinlich relativ schnell wieder im Zeitalter von Papier- und Aktenordnern. nicht wirklich erstrebenswert oder ich habe die Möglichkeit, ich habe ein Backup. Und ja, genau um das Thema geht es nächste Woche. Thema Backup und Wiederherstellung. Was gibt es da für Neuerungen? Was gibt es für Möglichkeiten? Und wie kann ich dann, wenn, wie du gesagt hast, sprichwörtlich das Kind schon in den Boden gefallen ist, wie kann ich es dann wieder rausholen?

Prima, das klingt doch ganz gut. Darüber unterhalten wir uns dann, wie du schon sagst, nächste Woche. An dieser Stelle vielleicht noch kurz die Information. Sehen wir diese Folge gehört habt ihr die Möglichkeit, euch eine Zusammenfassung der Vorzüge eines EDR im Vergleich zu einem klassischen Antivirus als PDF-Datei runterzuladen. Den Link findet ihr dann in der Podcast-Beschreibung. Genau.

Und ansonsten bei allen Fragen einfach auf www.hagel-it.de. Da gibt es auch nochmal die Möglichkeit für einen Kontakt, für eine Terminbuchung, ganz einfach und kompliziert. Da kann man natürlich auch weitere Fragen dann nochmal klären. Prima. Ja, vielen Dank fürs Zuhören bei unserer ersten Folge und bis zum nächsten Mal.

Danke Philip, danke liebe Zuhörer, bis zum nächsten Mal.