Bromiums gleichnamige Security-Lösung sorgt für hohe Sicherheit, indem sie Applikationen und Browser-Prozesse in sogenannten „Mikro-VMs“ isoliert. Dieses Verfahren eignet sich inzwischen laut Hersteller für beliebige Applikationen. Künftig sollen sogenannte Protected Apps das Schutzniveau nochmals erhöhen.

Seit Sommer letzten Jahres unterstützt Bromiums Mikrovirtualisierung auch Legacy-Applikationen: Jede Applikation könnte man – so Jochen Koehler, Regional Director DACH bei Bromium, gegenüber LANline – in einer Mikro-VM isolieren.

Bromiums Europachef betont aber, Schadcode gelange weiterhin vorrangig auf zwei Wegen ins Unternehmen: über den Web-Browser und Office-Applikationen. Schaddateien wie zum Beispiel Word- oder Excel-Dateien mit bösartigen Makros kommen in aller Regel per E-Mail auf die Rechner der Unternehmensanwender. Dennoch sei es nicht sinnvoll, das E-Mail-Programm per Mikro-VM zu isolieren: „Der E-Mail-Fließtext ist nicht das Problem“, so Koehler.

Der Bromium-Mann gesteht ein, dass der Anbieter in seiner Anfangszeit bemüht sein musste, möglichst ressourcenschonend zu arbeiten. Diese Performance-Problematik begegne dem Anbieter aber heute in Projekten nicht mehr: Es gibt laut Koehler nun keine für den Endanwender spürbare Systembelastung mehr, mitunter erfolge ein Vorgang in der Mikro-VM sogar schneller als über das Unternehmensnetz.

Seit seiner Anfangszeit hat Bromium prominente Konkurrenz bekommen, und zwar durch Microsofts Windows Defender Application Guard (WDAG). Koehler merkt hierzu an, dass Bromium auch bei Apps, für die diese Hyper-V-Funktionen aktiviert sind, weiterhin ungehindert einen Mehrwert bieten könne: Denn Bromium unterstütze nicht nur Microsoft Edge, sondern auch weitere Browser sowie vielfältige E-Mail-Anhangtypen und nicht nur Microsoft Office. Auch der von Bromium gebotene Schutz vor schadhaften Dateien auf USB-Sticks sei durch WDAG nicht gegeben.

Zudem, so ergänzt Koehler, arbeite die hauseigene Mikrovirtualisierung nicht nur mit einem initialen Scan beim Download einer Datei, sondern sorge für permanenten Schutz: Die Isolation werde jedesmal wieder gestartet, wenn man eine Datei neu öffnet. Dieser Ansatz schütze somit selbst vor Malware, die aktiv nach Anzeichen sucht, ob sie in einer Sandbox geöffnet wurde, und sich dann vorübergehend „totstellt“. Ein Angreifer, der von außen eindringt, so Koehler, komme also immer „im Hochsicherheitsgefängnis“ an.

Bromium ist derzeit damit befasst, seine Security-Architektur weiterzuentwickeln: Die sogenannten „Protected Apps“ sind laut Koehler in der finalen Entwicklungsphase, sie sollen in der zweiten Jahreshälfte auf den Markt kommen. Diese sollen den Rechner nicht nur (wie die Mikro-VMs bisher) vor Schadcode von außen schützen, sondern auch vor Schadcode, der auf dem Rechner bereits installiert ist. Da eine geschützte App stets in einer OS-unabhängigen Mikro-VM laufe, sei sie dann auch nicht durch Schadcode angreifbar, der bereits auf dem Rechner vorhanden ist.

Der technische Unterschied zur bisherigen Mikrovirtualisierung: Bei dieser läuft die Mikro-VM auf dem Betriebssystem; das Betriebssystem kennt also die Mikro-VM und den Hypervisor. Bei den Protected Apps hingegen wird laut Jochen Koehler die Protected VM unterhalb des Betriebssystems direkt auf der Hardware laufen, sodass das Betriebssystem weder die Protected VM noch den Hypervisor kenne. Dadurch könne Bromium dann am Betriebssystem vorbei eine direkte TLS/SSL-Verbindung zum Applikations-Backend-Server aufbauen und das Sicherheitsniveau nochmals erhöhen. Es gebe damit „quasi keine Angriffsmöglichkeiten von Client-Seite“ mehr auf die Inhalte der Protected VM.

Weitere Informationen finden sich unter www.bromium.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.