Sind die wesentlichen Aktionen wie Dateiaktionen und Netzwerkkommunikation geschützt und werden verhindert?

Was möchte man gegen die Folgen einen Malwareangriffs schützen? Das sind die Daten eines Unternehmens. Dabei ist es unerheblich, ob das User-Anmeldedaten sind, Kundendaten, Firmen-Know-How oder andere schützenswerte Daten eines Unternehmens. Man möchte verhindern, dass diese Daten verändert, gelöscht, verschlüsselt oder abtransportiert werden. Alle anderen Aktionen sind nur Nebeneffekte des Angriffs. Somit sollte sich eine Schutzsoftware auf genau diese Funktionen (Dateiaktionen und Netzwerkkommunikation) konzentrieren.

Welche Probleme ergeben sich für ein Tool, wenn es mehr tut als es müsste?

Problem 1 – Unnötige Belastung der Endgeräte

Wenn eine Schutzsoftware Dinge überwacht, die nicht schützenswert sind, dann bedeutet das für das zu schützende System im Minimum eine zusätzliche Belastung. Diese kann sich durch den Verbrauch von Rechenleistung (CPU), I/O-Geschwindigkeit (Festplatte) oder anderen hard- und softwarebezogenen Geschwindigkeitseinbußen manifestieren.

Fazit und Antwort

Eine Schutzsoftware sollte sich auf genau zwei Dinge konzentrieren:

• Kommunikation (wer kommuniziert “verdächtig” nach außen, sei es, um Daten nachzuladen oder Daten abzutransportieren?)
• Dateiaktionen (wer verursacht “verdächtige” Dateikationen wie Löschen, Verändern, Kryptieren, o.ä.?)

Alles andere sind nur Umgebungsgeräusche und können ignoriert werden. So ist sichergestellt, dass das zu schützende System möglichst wenig belastet wird.