Die 80/20-Regel und die IT-Sicherheit Das Pareto-Prinzip und Malware

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Das Pareto-Prinzip geht auf den italienischen Ingenieur Vilfredo Pareto zurück und besagt, dass man 80 Prozent der Ergebnisse mit rund 20 Prozent des Gesamtaufwandes erreichen kann. Ein Prinzip, welches heute gerne im Zeit- und Projektmanagement verwendet wird.

Firma zum Thema

Das 80-20-Prinzip wird auch oft in andere Bereiche übertragen, denn die Möglichkeit massiv Zeit zu sparen ist sehr attraktiv. Denn Zeit ist kostbar – ist sie doch endlich und in der heutigen Gesellschaft und Arbeitswelt immer zu knapp.
Das 80-20-Prinzip wird auch oft in andere Bereiche übertragen, denn die Möglichkeit massiv Zeit zu sparen ist sehr attraktiv. Denn Zeit ist kostbar – ist sie doch endlich und in der heutigen Gesellschaft und Arbeitswelt immer zu knapp.
(Bild: gemeinfrei / Pixabay )

Das Pareto-Prinzip bei IT Security anzuwenden wäre ideal. Denn IT-Sicherheit ist ein wichtiges Thema, dass durch eine beeindruckende Dynamik stetig an Komplexität gewinnt und immer mehr Fachwissen erfordert. Denn es ist keine tote Materie, sondern eine Auseinandersetzung mit einem menschlichen Angreifer, der aber keine Kanonen und Bomben nutzt, sondern Informationstechnik.

Wäre es via Pareto möglich, das erforderliche Fachwissen für diese Attacke-Arten kompakt, ansprechend und informativ verpackt, schnell zu konsumieren (20 %) könnte man einen Großteil aller Angriffe erkennen und erfolgreich abfangen (80 %). Doch die Krux liegt im Detail, bei IT Security zählt kein „Wir haben überwiegend alle Bedrohungen erkannt und beseitigt“ kein „Fast alle Malware konnte entfernt werden“ – es gibt nur ein binäres Ergebnis. Alles OK „0“ oder nicht OK „1“.

Risiko-Ansatz Pareto

Die Informationsqualität und Informationsmenge ist aber der entscheidende Faktor bei IT-Sicherheit. Denn falsche Entscheidungen, die auf zu wenig oder schlechtem Wissen basieren, können fatale Folgen haben. Wie sich 80 Prozent-Fachwissen und 100 Prozent-Fachwissen unterscheiden können, sollen die nachfolgenden Beispiele verdeutlichen. Wobei generell gilt, dass möglicherweise auch 80 Prozent genügen können, um Angriffe abzuwehren – doch dies ist nicht garantiert. Die Chancen sind besser, wenn die Administratoren und Security-Experten einen Wissensstand haben, der nicht unter der Schirmherrschaft des Pareto-Prinzips erworben wurde, sondern klassisch in Trainings und im realen Betrieb.

Millionen von Computerviren

Wer die Veröffentlichungen zum Thema Malware-Erkennung verfolgt findet oft Diagramme, die den Anstieg von Malware in den letzten Jahren darstellen. Professionelle Forscher, Analysten und Security-Hersteller nennen hier Zahlen, von monatlich mehreren Hunderttausend neuen Schadprogrammen. Das renommiere AV-TEST Institut aus Magdeburg rechnet aktuell mit über 300.000 neuen Malware-Exemplaren je Monat.

Eine beeindruckende Zahl! Würden jeden Tag 10 neue Programme für Schadsoftware erstellt werden, bräuchte man jedoch 1000 Programmierer, die dies tun. Derartiges könnte wahrscheinlich nur eine sehr große Organisation bzw. Firma durchführen oder ein automatisch ablaufender Erstellungs-Algorithmus.

Real dürfte ein Mix aus beiden sein, wobei aber die Mehrzahl der Arbeit von automatischen Routinen erledigt werden, die den Programmcode der Malware variieren bzw. permutieren. Wird nun jede Variante, die einen anderen Binärcode hat, als eigener Virus gezählt sind diese Zahlen korrekt. Allerdings ist es nur eine Variante und betrachtet auf die Aufgab und/oder Schadfunktion nur eine Variante.

Würde man programmiertechnisch eine 1 addieren wollen, so gäbe es viele Wege dies zu erreichen.

X=X+1X=X+3-2X=1+(X/4)*4etc.

Ist nun aber jedes Programm, welches eine andere Variante nutzt, ein neues Programm? So würden Autohersteller wohl jedes Jahr huderte Modelle auf den Markt bringen, wenn Sie Ausstattungsmerkmale zählen, Lackierungsarten und Sonderausstattungen. Aber in der Praxis gibt es über einen Zeitraum hinweg (1 Jahr, 2 Jahre) ein oder zwei Modelle und ggf. ein Sondermodell.

Daher muß man die Anzahl der monatlich neu erscheinenden Malware relativieren und angesichts der horrenden Zahlen nicht in Panik verfallen. Denn wenn man es versteht, die Arbeitsweise des Algorithmus zu durchbrechen bzw. zu erkennen, ist die Erkennung – ungeachtet der Anzahl, nicht das Problem. Der Kauf neuer Anti-Malware kann also ggf. unterbleiben. Ein Aspekt, der bei der Pareto-Betrachtung möglicherweise untergeht und so zu einer nicht zwingend erforderlichen Investition führt und einer falschen Risikobewertung.

Die gute Malware

Um es gleich vorweg zu sagen, es gibt keine guten Viren und auch keine gutartige Schadsoftware. Derartige Software geht primär auf einige Ansätze aus der Start-Zeit der „Computerviren“ zurück. Seltsamerweise taucht dieses Statement aber immer wieder bei Betrachtungen (Diskussionsforen, Vorträge und Retrospektiven) auf, wenn es darum geht Schadsoftware „etwas positiver“ darzustellen.

Das Hauptargument orientiert sich dabei oft an Malware im Unix – und MS-DOS-Umfeld. Beides also Betriebssysteme, die in der damaligen Ausprägung heute nicht mehr genutzt werden. In dieser Zeitphase liegen auch Creeper & Reeper – ein (böser) Arpanet-Wurm Creeper wurde durch den (guten) Wurm Reeper bekämpft.

Auch DOS-Schadsoftware wurde bekannt, die Computerviren bekämpfte und vom System des Users entfernte – jedoch nur um sich selbst darauf zu installieren und störungslos zu agieren.

Auch Trojaner, folgen dieser Strategie, indem sie eine effektive Malware-Bekämpfung anbieten, aber defacto Daten sammeln, das infizierte System als Steuerungszentrale missbrauchen oder Hintertüren zum System etablieren.

Als Faustregel kann man sagen, wenn mindestens eine der nachfolgenden Funktionen ausgeführt wird, sollte die Software hinterfragt werden:

  • Nicht vorab erwähnter Verbrauch von Ressourcen (Speicherplatz, Rechnerleistung, Kommunikation via Lan, WAN oder WWW, E-Mail etc.)
  • Nicht vorab erwähnte Modifikation von Systemfunktionen (Ports, Dateien, Rechte Systemtreiber etc.)
  • Nicht vorab erwähnte Abänderung/Nutzung von Anwender-Ressourcen (Dateien, Links, Einstellungen, E-Mail-Daten etc.)
  • Eigenständige Ausbreitung auf dem System und/oder im Netzwerk

Alles was ohne Wissen und Erlaubnis des Benutzers erfolgt ist daher sicherheitstechnisch bedenklich (es gibt Personen, die deshalb ganze Betriebssysteme als Malware einstufen).

Ausnahmen die diese Regeln bestätigen gibt es auch, wie Linux.Wifatch – ein Tool, welches die Sicherheit von Routern im Auge hat. Jedoch sollte diese Funktionalität durch jeden guten Administrator erledigt werden, ohne dass es der Hilfe von Wifatch bedarf. Welche Informationen via Pareto-Prinzip nun bei dem Anwender landen ist offen – im ungünstigsten Fall ist es „Es gibt gute Malware“, die zu einer Verharmlosung der Bedrohung führen kann.

Ransomware ist die gefährlichste Schadsoftware

In letzter Zeit wird man immer wieder mit der Behauptung konfrontiert, dass Ransomware die gefährlichste Schadsoftware ist. Weshalb? Nun, Ransomware, entzieht dem Anwender den Zugriff auf seine Daten und gibt diesen erst nach Zahlung eines Lösegelds weder frei. Wobei aber auch die Bezahlung keine Garantie ist, dass man wirklich wieder mit den eigenen Dateien arbeiten kann. Aber auch hier gilt, dass bei der 80 Prozent der vermittelten Informationen mitunter nur plakativ Risiken aufzählt werden.

Zweifellos ist die Wirkung von Ransomware nicht zu unterschätzen:

  • Der Anwender kann nicht mit seinen Daten arbeiten
  • Daten können per FTP (etc.) an andere Stellen übertragen werden (Datenmissbrauch durch die Ransomware)
  • Freigabe der verschlüsselten Daten nur nach Erbringung einer Gegenleistung (Bitcoins, elektronische Finanzdienstleister)
  • Täter sind fast nicht zu fassen
  • Möglicherweise finanzielle Nachforderungen
  • Kompromittierung der Person/Firma durch die im Zugriff befindlichen Daten

Jedoch gibt es ein probates Mittel, die Ransomware zu bekämpfen, nachdem eine installierte Security-Software oder die Ransomware selbst den Anwender über die Schädigung informierte.

Das Mittel nennt sich Restore eines Backups zu dem Zeitpunkt, da die Ransomware noch nicht aktiv war. Die Bekämpfungsstrategie ist etwa wie folgt:

Restore/Backup

  • System vom Netz trennen
  • User-Dateien sichern
  • Full-Backup des Systems (Falls Maßnahmen nicht funktionieren)
  • System neu aufsetzen (Installieren)
  • Mit dem zuletzt erstellten, sauberen Backup di3 User Daten wiederherstellen
  • Schwachstelle, welche die Ransomware zur Infiltration nutzte, suchen und beseitigen
  • Übliche nachgelagerte Security-Maßnahmen ausführen

Damit ist das System wieder funktionell arbeitsbereit und der Anwender kann über seine Daten verfügen. Allerdings einen Haken hat dieses Restore/Backup-Mittel. Wenn die Ransomware schleichend agiert und über einen längeren Zeitraum täglich nur eine kleine Menge an Dateien manipuliert (verschlüsselt), kann der Zyklus, der User-Daten archiviert auslaufen. In diesem Fall würden keine unverfälschten Daten mehr zur Verfügung stehen.

Allerdings spricht die Gier der Ransomware-Programmierer, gegen die Slow-Manipulation. Ebenso sollte ein Anwender bemerken, wenn seine Daten nicht mehr zugreifbar sind oder verschlüsselte, anstatt lesbare Inhalte aufweisen. Besonders dann, wenn dies über Wochen hinweg immer wieder passiert. Ein Slow-Infektor ist technisch möglich. Ebenso könnten auch programmtechnische Tricks zum Einsatz kommen, die Veränderungen verschleiern (Stichwort Stealth-Viren) – aber dies trifft auch für andere Malware-Arten zu.

Von daher sollte man Aussagen, nach der Ransomware die „gefährlichste Malware“ relativieren und anstreben, ein 100 Prozent Informationslevel zu erreichen, anstatt sich mit 80 Prozent zufrieden zu geben. Denn möglicherweise macht die Investition in eine clevere Backup&Restore-Lösung mehr Sinn als in ein weiteres Anti-Malware-Tool.

Resümee

Trotz Zeitmangel sollte man das Pareto-Prinzip bevorzugt in den Bereichen belassen, bei denen es nützlich und wirksam ist. Denn eine schnelle und vordefinierte Informationsaufnahme, die sich auf einige Kernaussagen fokussiert kann im Umfeld der IT-Sicherheit mehr schaden als nutzen.

Wer aufgrund schlechter Informationsqualität sein Budget falsch investiert oder nur einem Trend folgt „Weil es alle machen“ wird sich mit einem erhöhten Risiko auseinandersetzten müssen – welches ggf. aus einer ganz anderen Richtung kommt.

(ID:47363831)