Was ist eine PUA und warum ist das wichtig?

Im Bereich der Cybersicherheit hört man oft von Viren, Ransomware oder Trojanern. Es gibt jedoch eine weniger bekannte und potenziell gefährliche Kategorie von Software: PUAs, oder Potentially Unwanted Applications (potenziell unerwünschte Anwendungen).

Im Gegensatz zu klassischer Malware ist eine PUA nicht unbedingt im engeren Sinne bösartig. Es handelt sich um Software, die je nach Kontext oder Umgebung, in der sie installiert ist, als unerwünscht oder problematisch angesehen werden kann. Das Wort „potenziell" ist hier entscheidend: Was in einer Umgebung akzeptabel ist, kann in einer anderen inakzeptabel sein.

Hier sind einige konkrete Beispiele für PUAs, denen Sie begegnen könnten:

• Adware: Software, die auf aufdringliche Weise Werbung anzeigt und Daten über Ihre Surfgewohnheiten sammelt.
• Fernzugriffstools: Software wie VNC, TeamViewer oder AnyDesk ist für einen Techniker legitim, aber völlig unerwünscht, wenn sie ohne Wissen eines Benutzers installiert wird.
• Überwachungssoftware (Stalkerware): Anwendungen, die die Aktivitäten eines Benutzers ohne dessen Zustimmung überwachen.
• Zweifelhafte Systemoptimierer: Software, die vorgibt, die Leistung Ihres Computers zu verbessern, deren tatsächlicher Nutzen jedoch fragwürdig ist und die persönliche Daten sammeln kann.
• Unerwünschte Browser-Erweiterungen: werden zusammen mit anderer Software installiert, ohne dass der Benutzer sich dessen wirklich bewusst ist.
• Cryptominer: Software, die die Ressourcen Ihres Computers ohne Ihr Wissen zum Mining von Kryptowährungen nutzt.
• Veraltete JS- oder PHP-Bibliotheken mit bekannten Schwachstellen, wie zum Beispiel alte Versionen von jQuery.

Auch wenn sie Ihre Daten nicht direkt zerstören, stellen PUAs konkrete Risiken dar: Leistungseinbußen Ihres Systems, unbefugte Erhebung persönlicher oder beruflicher Daten, Entstehung von Sicherheitslücken, die von Angreifern ausgenutzt werden können, und in manchen Fällen die stille Installation weiterer Schadsoftware. In einem professionellen Umfeld, in dem Datensicherheit an erster Stelle steht, kann das Vorhandensein einer einzigen unentdeckten PUA schwerwiegende Folgen haben.

Deshalb ist die Frage ihrer Erkennung und der von Unternehmen diesbezüglich verfolgten Richtlinie ein strategisches Thema in der Cybersicherheit.

PUA-Erkennungsrichtlinien: eine strategische Entscheidung für jede Organisation

Unterschiedliche Bedürfnisse je nach Organisation

Gegenüber PUAs reagieren nicht alle Organisationen gleich, und das ist völlig normal. Die gewählte Erkennungsrichtlinie hängt weitgehend davon ab, wie IT-Tools eingesetzt werden, von der Branche, dem Sensibilitätsgrad der verarbeiteten Daten und den geltenden regulatorischen Anforderungen.

Hier sind einige konkrete Beispiele zur Veranschaulichung dieser Vielfalt:

Eine Arztpraxis oder eine Gesundheitseinrichtung verarbeitet äußerst sensible Patientendaten, die der ärztlichen Schweigepflicht unterliegen. In diesem Kontext kann selbst der geringste Datenleck schwerwiegende rechtliche und menschliche Folgen haben. Die Sicherheitsrichtlinie wird daher sehr streng sein: Jede nicht ausdrücklich genehmigte Software wird blockiert, einschließlich PUAs. Ein auf einem medizinischen Arbeitsplatz ohne vorherige Genehmigung installiertes Fernzugriffstool ist eine inakzeptable Bedrohung.

Eine Softwareentwicklungsagentur muss möglicherweise Sicherheitstest-Tools, Schlüsselgeneratoren, Netzwerkanalysesoftware oder erweiterte Debugging-Tools verwenden. Diese Tools werden von Antivirenlösungen häufig als PUAs eingestuft, da sie für bösartige Zwecke verwendet werden können. Das systematische Blockieren aller PUAs in dieser Umgebung würde die Produktivität der technischen Teams beeinträchtigen.

Ein großes Industrieunternehmen kann über verschiedene Ebenen von IT-Arbeitsplätzen verfügen: Verwaltungsarbeitsplätze, für die eine sehr strenge Richtlinie gilt, und technische Arbeitsplätze in der Werkstatt, wo bestimmte, üblicherweise als PUAs eingestufte Diagnosesoftware für den reibungslosen Betrieb der Produktion unverzichtbar ist.

Sehr unterschiedliche Antivireneinsätze

Es ist auch wichtig zu bedenken, dass Antiviren-Signaturen nicht nur zum Schutz von Arbeitsplätzen verwendet werden. Ihr Anwendungsbereich ist viel breiter, und der Einsatzfall bestimmt direkt die zu wählende PUA-Erkennungsrichtlinie.

Auf einem Dateiserver werden Antiviren-Signaturen verwendet, um im internen Netzwerk gespeicherte und freigegebene Dateien zu analysieren. Ziel ist es zu verhindern, dass sich eine infizierte oder unerwünschte Datei in der gesamten Organisation verbreitet. In diesem Fall ist die Erkennung von PUAs oft wünschenswert, da sie als Infektionsvektor dienen können.

Auf einem Mail-Server analysiert das Antivirenprogramm die Anhänge ein- und ausgehender E-Mails. Fernsteuerungstools, Administrationsskripte oder per E-Mail versendete Test-Tools können legitim als PUAs eingestuft werden. Die zu wählende Richtlinie hängt von der Art der Anhänge ab, die das Unternehmen empfangen wird.

Auf einem Netzwerk-Proxy werden Signaturen verwendet, um den Web-Datenverkehr in Echtzeit zu analysieren. Ziel ist es, das Herunterladen unerwünschter Software zu blockieren, bevor sie die Arbeitsplätze überhaupt erreicht. Dies ist oft die Umgebung, in der eine maximale PUA-Erkennungsrichtlinie am sinnvollsten ist.

Zusammenfassend lässt sich sagen, dass die PUA-Erkennungsrichtlinie keine binäre Wahl ist („alles erkennen" oder „nichts erkennen"), sondern eine strategische Entscheidung, die auf jede Umgebung, jeden Anwendungsfall und jedes Risikoniveau abgestimmt werden muss. Die Herausforderung besteht darin, die richtige Balance zwischen maximaler Sicherheit und betrieblicher Kontinuität zu finden.

Der Ansatz von SecuriteInfo.com: maximale Erkennung und vollständige Kontrolle für den Benutzer

Das Grundprinzip: nichts durchlassen

SecuriteInfo.com hat sich bewusst für eine Philosophie der maximalen Erkennung entschieden. Die Überlegung ist einfach und pragmatisch: Besser zu viel erkennen als zu wenig. Wenn eine Software ein potenzielles Risiko darstellt (ob als Malware, Exploit, bekannte Schwachstelle oder PUA eingestuft) sind die Antiviren-Signaturen von SecuriteInfo.com darauf ausgelegt, sie zu erkennen.

Dieser Ansatz garantiert eine „0-Stunden"-Abdeckung, d. h. die frühestmögliche Erkennung neuer Bedrohungen, ohne darauf zu warten, dass unerwünschte Software von der gesamten Cybersicherheits-Community offiziell als bösartig anerkannt wird. Im Bereich der IT-Sicherheit kann jede Stunde Verzögerung bei der Erkennung einer Bedrohung zu einer Datenkompromittierung oder einer Ausbreitung im gesamten Netzwerk führen.

Diese erweiterte Abdeckung gilt für alle Bedrohungskategorien: Malware (Viren, Trojaner, Ransomware), Exploits (Code, der Software-Schwachstellen ausnutzt), bekannte Schwachstellen (CVEs) und natürlich PUAs in ihrer ganzen Vielfalt.

Warum SecuriteInfo.com seine Signaturen nicht für jeden Kunden anpassen kann

SecuriteInfo.com stellt seine Antiviren-Signaturen einer Vielzahl von Kunden mit sehr unterschiedlichen Profilen und Bedürfnissen zur Verfügung. Einige verwenden sie zur Sicherung eines Dateiservers, andere zum Filtern von E-Mail-Strömen, wieder andere zur Kontrolle des Netzwerkverkehrs über einen Proxy. Jede Implementierung ist einzigartig, und jede Organisation verfügt über ihre eigene Cybersicherheitsrichtlinie.

Es wäre daher unmöglich und kontraproduktiv für SecuriteInfo.com, „maßgeschneiderte" Signaturen anzubieten, die auf die spezifischen Bedürfnisse jedes Kunden zugeschnitten sind. Andererseits ist es durchaus möglich, möglichst vollständige Signaturen bereitzustellen und jedem Kunden die Verantwortung und Freiheit zu überlassen, diese Erkennung an seinen Kontext anzupassen.

Genau das ist der von SecuriteInfo.com verfolgte Ansatz. Die Regel lautet: maximale Erkennung standardmäßig, Anpassung nach Wahl.

Die .ign2-Datei: das Anpassungswerkzeug für Ihre Bedürfnisse

Um jedem Kunden zu ermöglichen, die Erkennung fein auf seine interne Richtlinie abzustimmen, bietet SecuriteInfo.com einen einfachen und effektiven Mechanismus: die Ausschlussdatei mit der Erweiterung .ign2, die im Rahmen des ClamAV-Antivirenprogramms verwendet wird.

Die Funktionsweise ist intuitiv: In dieser Datei listen Sie einfach die Namen der Signaturen auf, die Sie deaktivieren möchten. ClamAV ignoriert diese Signaturen dann bei den Analysen, ohne die anderen Erkennungen zu beeinträchtigen.

So funktioniert es in der Praxis:

Angenommen, Ihr Unternehmen verwendet legitim ein Fernzugriffstool, das von den Signaturen von SecuriteInfo.com als PUA erkannt wird. Anstatt die gesamte PUA-Erkennung zu deaktivieren, was Ihr Sicherheitsniveau erheblich schwächen würde, können Sie einfach den Namen dieser spezifischen Signatur zu Ihrer .ign2-Datei hinzufügen. Das Tool wird dann bei den Analysen ignoriert, während alle anderen PUAs weiterhin normal erkannt werden.

Dieser Mechanismus bietet mehrere wesentliche Vorteile:

• Feine Granularität: Sie wählen genau, welche Signaturen deaktiviert werden sollen, ohne die anderen zu beeinflussen.
• Rückverfolgbarkeit: Die .ign2-Datei dient als Aufzeichnung aller von Ihrem Sicherheitsteam freiwillig gewährten Ausnahmen.
• Reversibilität: Wenn ein zuvor genehmigtes Tool zur Bedrohung wird (beispielsweise nach einem bösartigen Update), genügt es, seinen Eintrag aus der .ign2-Datei zu löschen, damit die Erkennung wieder aktiv ist.
• Dokumentation von Ausnahmen: Da Ausnahmen explizit sind, können sie im Rahmen Ihrer Sicherheitsaudits regelmäßig überprüft werden.

Die vollständige Dokumentation zur Einrichtung der .ign2-Datei und zum Whitelisting-Prozess für ClamAV-Signaturen ist direkt auf der Website SecuriteInfo.com verfügbar, auf der dedizierten Seite zum Whitelisting von ClamAV-Signaturen.

Konkreter Mehrwert für IT-Fachleute und Sicherheitsteams

Der Ansatz von SecuriteInfo.com entspricht einem echten Bedarf, den viele Systemadministratoren und IT-Sicherheitsverantwortliche geäußert haben: über eine umfassende, regelmäßig aktualisierte Signaturdatenbank zu verfügen, ohne zwischen Vollständigkeit und Betriebsfähigkeit wählen zu müssen.

In der Cybersicherheit gilt das Vorsichtsprinzip: Es ist besser, eine Warnung über eine autorisierte PUA zu untersuchen (ein kontrollierter Fehlalarm) als wirklich bösartige Software durchzulassen. Die Verwendung der .ign2-Datei ermöglicht es, diese Fehlalarme strukturiert zu verwalten, indem sie dokumentiert und explizit validiert werden.

Darüber hinaus werden die Signaturen von SecuriteInfo.com kontinuierlich aktualisiert, um neue Bedrohungen so früh wie möglich zu integrieren. Die „0-Stunden"-Erkennung stellt sicher, dass selbst sehr aktuelle Bedrohungen, die noch nicht in die offiziellen Datenbanken der großen Antiviren-Hersteller integriert wurden, identifiziert und blockiert werden.

Fazit: maximale PUA-Erkennung, ein Grundpfeiler robuster Cybersicherheit

PUAs sind keine harmlosen Bedrohungen. Obwohl sie nicht in jedem Kontext bösartig sind, stellen sie ein reales Risiko für die Sicherheit Ihres Informationssystems dar, sei es durch unbefugte Datenerhebung, Leistungseinbußen oder ihre Verwendung als Vektor für schwerwiegendere Angriffe.

Die PUA-Erkennungsrichtlinie ist eine strategische Entscheidung, die die Realität Ihrer IT-Umgebung widerspiegeln muss: die Art der verarbeiteten Daten, die verwendeten Tools, regulatorische Anforderungen und die spezifischen Nutzungsgewohnheiten Ihrer Teams. Es gibt keine universelle Antwort, aber es gibt einen Ansatz, der jeder Organisation die Mittel gibt, die richtige Entscheidung zu treffen.

Genau das bietet SecuriteInfo.com: Antiviren-Signaturen, die die umfassendste Erkennung bieten (Malware, Exploits, Schwachstellen und PUAs) in Echtzeit aktualisiert für einen „0-Stunden"-Schutz, kombiniert mit einem einfachen und leistungsstarken Anpassungswerkzeug über die .ign2-Datei. Sie profitieren so vom Besten beider Welten: maximale Sicherheit standardmäßig und die notwendige Flexibilität, um diesen Schutz an Ihre spezifischen Bedürfnisse anzupassen.

Durch die Übernahme dieses Ansatzes entscheiden Sie sich für eine proaktive und verantwortungsvolle Cybersicherheit: Sie warten nicht darauf, dass eine Bedrohung offiziell anerkannt wird, bevor Sie handeln, Sie haben vollständige Transparenz über das, was in Ihrem Informationssystem zirkuliert, und Sie behalten die Kontrolle über gewährte Ausnahmen, in vollständiger Transparenz.

In einer sich ständig weiterentwickelnden Bedrohungslandschaft, in der Angreifer unaufhörlich erfinderisch sind, um Schutzmaßnahmen zu umgehen, ist maximale Erkennung keine übertriebene Vorsicht: Sie ist eine Notwendigkeit.



ClamAV™ ist eine eingetragene Marke von Cisco Systems, Inc.

Einige Empfehlungen zum Thema Malware und PUAs

Hat Ihnen dieser Artikel gefallen? Hier sind einige Empfehlungen, die Sie interessieren könnten:

• Learn how to whitelist signatures for ClamAV antivirus - Step-by-Step Guide
• Erkennen Sie noch mehr Malware mit unseren Signaturen für das ClamAV-Antivirenprogramm

Tags

ANTIVIRUS CLAMAV LINUX MALWARE

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...