Blockiert das Produkt bei einer bestehenden Bedrohung die Maschine bzw. die Netzwerkkommunikation vollständig?

Wenn eine Schutzsoftware die Maschinen bei Erkennung blockiert, denkt man im ersten Moment, dass dies sinnvoll ist und so sein soll. Damit ist sichergestellt, dass die Schadsoftware nicht weiter aktiv ihr Unwesen treiben kann. Aber ist das wirklich so?

Bei der Betrachtung der Fragen bzw. der dazugehörigen Antwort sei erwähnt, dass hier synonym für die Blockade der gesamten Maschine wie auch nur wesentlicher Funktionen eines Endgerätes oder der Netzwerkkommunikation gesprochen wird. Hintergrund dieser Betrachtung ist, wie belastend oder gar schädigend ein solcher Stopp eines Endgerätes sein kann.

Welche Probleme ergeben sich damit für ein Tool, dass eigentlich einen möglichst umfänglichen Schutz eines Endgerätes sicherstellen soll?

Problem 1 – Blockade im Office-Umfeld

Wenn eine Endgerät im klassischen Office-Umfeld blockiert wird, dann kann der Mitarbeiter seiner Arbeit nicht mehr nachgehen. Dieser Umstand hält mehr oder weniger lange an, je nachdem wie lange es eben dauert, das Problem zu beheben. Um günstigsten Fall kann er diese eigenverantwortlich bei entsprechender Expertise tun, um ungünstigen Fall ist auf Hilfe seiner Systemadministration angewiesen. Auswirkungen hat dies auf die Dauer des Ausfalls und damit ergibt sich im mindesten eine unproduktive Zeit des Mitarbeiters, die das Unternehmen Geld kostet. Sind weitere Abhängigkeiten der Arbeiten eines Mitarbeiters zu anderen Bereichen gegeben, die dann ebenfalls die zeitlich und inhaltlich gesteckten Ziele nicht erreichen können, so führt dies zu einer weiteren Erhöhungen der Kosten für einen solchen Ausfall.

Problem 2 – Blockade im kritischen Umfeld

In vielen Unternehmen besteht die Notwendigkeit, dass Endgeräte dauerhaft und verlässlich Ihren Dienst tun. Ein Ausfall bedeutet ziemlich schnell einen hohen finanziellen Verlust oder auch eine starke Einschränkung des Sicherheitsniveaus. Beispielhaft wären z.B. Endgeräte in der automatisierten Produktion zur Steuerung von Robotern o.ä. genannt. Sollte in einer fein aufeinander abgestimmten Produktionsstraße ein Roboter aufgrund einer Blockade seines Steuerungsrechners stehenbleiben, kann dies extreme Folgen in vielfältiger Form bedeuten. Dabei ist es unerheblich, ob das Gerät an sich oder nur seine Netzwerkkommunikation blockiert wird.

Ein weiteres Beispiel ist der Pilotenarbeitsplatz im Cockpit eines Flugzeugs. Piloten nutzen heutzutage klassische Computer zusätzlich zu Ihren Flugzeugssystemen für eine sichere und effiziente Flugdurchführung. Solche Rechner haben eine hohe Anforderung an Sicherheit und Verfügbarkeit. Man stelle sich nun vor, dass gerade im Landeanflug eine Schutzsoftware das Endgerät des Piloten blockiert, auf dem er seine digitalen Karten gespeichert hat. Auch wenn es natürlich für solche Situationen entsprechende Regeln und Backup-Verfahren gibt, so möchte man sowohl als Pilot als auch als Passagier gerne darauf verzichten.

Wenn man diese beiden Beispiele dann noch damit ergänzt, dass die Blockage aufgrund eines „false positives“, also einer Falscherkennung stattgefunden hat, so sinkt das Verständnis für ein solches Verhalten der Schutzsoftware dramatisch.

Fazit und Antwort

Die Blockade eine Schutzsoftware auf dem Endgerät sollte nur den schadhaften Prozess bzw. die schadhafte Kommunikation blockiert werden. Es gibt keinen Grund mehr also diese beiden Auswirkungen einer Schadsoftware zu blockieren. Eine Lösung sollte in diesem Punkt kritisch hinterfragt werden.