Was ist ein HIPS? Die Technologie der Emsisoft Online Armor Firewall im Detail


Es gibt verschiedene Methoden, um Malware erkennen, blockieren oder entfernen zu können. Je nach Hersteller werden dabei unterschiedliche technische Begriffe verwendet, die eine Unterscheidung für normale Anwender oft schwierig machen. Toll klingt prinzipiell alles – wir möchten uns aber nicht hinter komplizierten Begriffen verstecken, sondern verständlich darlegen, warum Emsisoft Produkte Ihnen die bestmögliche Schutzleistung bieten.


In einem anderen Artikel haben wir bereits die Funktionsweise von Emsisoft Anti-Malware mit seinen drei Wächter-Ebenen „Surf-Schutz“, „Dateiwächter“ und „Verhaltensanalyse“ erklärt. Emsisoft Online Armor setzt bei der Erkennung von Angriffen auf eine andere Technologie: Es gehört zur Kategorie der HIPS.

HIPS verhindern jegliches Eindringen in den Computer

HIPS ist eine englische Abkürzung und steht für „Host-based Intrusion Prevention System“, was sich mit „Computer-basiertem Einbruchsschutz“ übersetzen lässt. Im Gegensatz zu Netzwerk-basierten Intrusion Prevention Systemen, die sich auf die Erkennung von Angriffsmustern im Netzwerkverkehr spezialisieren, läuft ein HIPS wie Emsisoft Online Armor direkt auf dem zu schützenden PC. Es ist grundsätzlich so konzipiert, dass jede sicherheitsrelevante Veränderung am System – dabei insbesondere an kritischen Stellen – gemeldet wird. Der Benutzer hat dadurch die volle Kontrolle über alle relevanten Vorgänge am PC und darf selbst entscheiden, welchen Programmen er genug vertraut, um sie weitere Aktionen durchführen zu lassen.

Was nun wie ein Allheilmittel gegen Angriffe aller Art klingt, ist es leider nicht. Denn auf einem modernem Betriebssystem werden beinahe im Sekundentakt neue Verbindungen ins Internet aufgebaut und beendet, sichtbare und unsichtbare Programme und deren Module gestartet und beendet, sowie hunderte Lese- und Schreibvorgänge in der Registry und anderen Konfigurationsdateien vorgenommen. Ein HIPS meldet aber prinzipiell erst mal alle Veränderungen, egal ob es sich dabei um Malware oder normale Programme handelt. Würde nun jede Veränderung ein eigenes Alarmfenster auslösen, kämen Sie als Anwender nicht mehr zum Arbeiten oder Surfen, weil Sie ständig auf Erlauben oder Blockieren klicken müssten.

Gute HIPS vermeiden unnötige Alarme

Aus diesem Grund verwendet unser HIPS Emsisoft Online Armor verschiedene Techniken, die Meldungen auf ein notwendiges Minimum reduzieren. Schauen wir uns beispielsweise Autorun Einträge an. Diese werden auf aktuellen Systemen immer wieder entfernt, verändert oder aber es kommen neue hinzu, klassischerweise bei der Installation eines Programms oder Treibers. Normalerweise würden Sie bei der Nutzung eines HIPS nun bei jeder Autorun-Veränderung eine Meldung erhalten, die zu bestätigen wäre. Denn Autorun-Einträge sind eine prinzipielle Gefahrenquelle, die viele Schadprogramme verwenden, um bei jedem Starten des Computers ebenfalls aktiviert zu werden.

Emsisoft Online Armor erkennt aber gängige gutartige Autoruns anhand verschiedenster Kriterien, so dass es viele Entscheidungen eigenständig treffen kann. Entsprechend erhalten Sie keine Alarm-Meldung und können ungestört und sicher den PC weiter verwenden.

Derartige Regeln und Filter kommen dabei selbstverständlich nicht nur bei Autoruns zum Einsatz, sondern bei allen über 500 sicherheitsrelevanten Stellen des Systems. Genau genommen ist die Filterung von Alarmen sogar äußerst komplex und erstreckt sich über mehrere Ebenen des Betriebssystems. Immerhin muss gewährleistet werden, dass keine einzige Online-Attacke unbemerkt den geschützten Computer erreicht.


Automatische Entscheidungen von Emsisoft Online Armor, um Meldungen auf ein Minimum zu reduzieren.

Maximale Kontrolle für erfahrene Anwender

Bei Bedarf können fast alle Regeln und Filter bei Emsisoft Online Armor deaktiviert werden, was zur vollen Kontrolle über alle Systemvorgänge führt. Diese maximale Kontrolle kostet allerdings auf der anderen Seite Zeit für die Bestätigung der Meldungen. Auch setzt es sehr gute Computerkenntnisse voraus, da diverse Prozesse und Aktionen korrekt eingeschätzt werden müssen.

Ganz allgemein klassifiziert ein HIPS ein bestimmtes Programm prinzipiell nicht als Malware, sondern meldet nur die Vorgänge an sich. Eine Ausnahme stellt hier eine Zusatzfunktion in Emsisoft Online Armor dar, die bekannte Schadprogramme anhand von Hash-Werten erkennt. Ein Hash ist eine eindeutige Prüfsumme, die aus den Daten einer vorliegenden Datei ermittelt wird. Der Wert kann dann mit der Emsisoft-eigenen Cloud-Datenbank, dem „Emsisoft Anti-Malware Network“ abgeglichen, und eine als Malware bekannte Datei sofort blockiert werden. Dennoch ist die Entscheidung, ob eine Aktion blockiert oder erlaubt wird, in erster Linie vom Anwender und dessen Kenntnissen abhängig.

Ein weit verbreiteter Irrtum ist übrigens, dass HIPS immer mit Firewalls gleichzusetzen sind. Viele Desktop-Firewalls verwenden heutzutage zwar typische HIPS-Funktionen, klassischerweise dient eine Firewall aber dem Blockieren von TCP/IP Ports, wie es die im System integrierte Windows-Firewall vorrangig macht. Auch Emsisoft Online Armor überwacht TCP/IP Verbindungen und kann Ports blockieren, jedoch ist es hier nur ein kleiner Teil des gesamten Schutzbollwerks.


TCP/IP Blocking stellt nur einen Teil der Schutzfunktionalität dar.

Firewall ist also nicht gleich Firewall, weshalb sich beispielsweise Emsisoft Online Armor und die Windows Firewall so sehr unterscheiden wie ein Fahrrad von einem Formel 1 Auto. Beides fährt zwar auf Rädern, aber in Punkto Komplexität und Funktionalität liegen Welten dazwischen. Der Windows-eigene Schutz arbeitet rein regelbasiert und blockiert wie gesagt nur bestimmte Verbindungstypen, während Emsisoft Online Armor zusätzlich noch alle wichtigen systeminternen Abläufe überwacht. Gelangt eine Malware oder ein Angreifer erstmal auf Ihren Computer, so ist die Windows Firewall oft machtlos, während Emsisoft Online Armor die Bedrohung in der Regel zuverlässig identifizieren kann.

HIPS oder Verhaltensanalyse – was ist besser?

Ein besser oder schlechter gibt es bei beiden Technologien nicht, weshalb wir Ihnen auch beide in Form von unterschiedlichen Produkten anbieten. Während Emsisoft Anti-Malware Internetschutz, Verhaltensanalyse und Signaturenscan als leistungsstarkes Paket vereint, das Ihnen in erster Linie eindeutig als Malware erkannte Gefahren meldet, handelt es sich bei Emsisoft Online Armor um ein modernes HIPS, das Ihnen sicherheitsrelevante Vorgänge und Veränderungen anzeigt.

Die Vor- und Nachteile eines HIPS sind klar – ein Maximum an Kontrolle über das System für erfahrene Anwender, die auftretende Meldungen passend einschätzen können. Wenn Sie konkrete Entscheidungen und so wenig Alarme wie möglich bevorzugen, sollten Sie sich für die Verhaltensanalyse entscheiden.

Bei der Verhaltensanalyse werden verschiedene Erkennungsmuster vereint, die auf Basis einer Wahrscheinlichkeitsrechnung nur dann Alarme auslösen, wenn ein gewisser Grenzwert überschritten wird, der eindeutig auf Malware hindeutet. So entstehen weitaus weniger Alarme im Vergleich zu einem HIPS bei einem dennoch extrem hohen Sicherheitslevel, da die Verhaltensanalyse auf echte Malware trainiert ist.

Doch man muss sich auch nicht immer für schwarz oder weiß entscheiden, weshalb wir beide Programme auch zusammen zu einem günstigen Paketpreis anbieten. Nutzen Sie einfach die Stärken zweier mächtiger Tools für ein Maximum an Sicherheit und verwenden Sie HIPS, Verhaltensanalyse, Signaturenscan und Internetschutz auf einmal. Das Emsisoft Internet Security Pack macht’s möglich – testen Sie jetzt 30 Tage lang kostenfrei!

 

Eine Malware freie Zeit wünscht

Ihr Emsisoft Team

www.emsisoft.de

Arief Prabowo

Weitere Artikel