Vor rund einem Jahr musste die amerikanische Einzelhandelskette Target ihren Kunden beichten, dass Cyberkriminelle in die IT-Systeme eindringen und die Daten von mehr als 100 Millionen Nutzern stehlen konnten. E-Mail-Adressen, Telefonnummern, Kreditkartendaten. Es war einer der schwersten Hackerangriffe überhaupt, ein GAU. Ein paar Wochen später sickerte durch, dass der Konzern gewarnt war. Die Systeme des IT-Dienstleisters Fire Eye, die Target nutzte, hatten Alarm geschlagen, doch niemand hörte darauf.

Ob Zufall oder nicht, die Enthüllung verschaffte dem IT-Unternehmen enorme Aufmerksamkeit – und damit auch einem neuen Trend in der IT-Sicherheit. Fire Eye verspricht Schutz vor bisher unbekannten Bedrohungen. Denn klassische Anti-Virus-Programme, die seit Jahrzehnten zum Einsatz kommen, kommen gegen die vielen Schädlinge samt ihrer Mutationen nicht mehr an. Es geht um einen wachsenden Markt: Der Umsatz mit diesem speziellen Schutz wächst nach Einschätzung des Marktforschers IDC bis 2017 auf 1,2 Milliarden Dollar. Fire Eye will sich seinen Anteil sichern, über eine Kooperation mit der Telekom auch in Deutschland.



Klassische Anti-Virus-Software funktioniert ähnlich wie ein Fahndungsplakat: Bekannte Bösewichte kommen auf eine Liste. Wenn das Programm einen erkennt, schlägt es Alarm. Dabei sucht es nach bekannten Mustern im Programmcode, sogenannten Signaturen. Doch dieses Verfahren ist längst an seine Grenzen gestoßen. In der Untergrundökonomie gibt es Programme, die Viren und Trojaner leicht verändern und anschließend überprüfen, ob die Scanner sie noch finden.

In der Branche geht man davon aus, dass Anti-Virus-Software aktuell nur 50 Prozent oder weniger der Angriffe erkennt. Angesichts dieser Entwicklung ist verständlich, dass sich selbst Symantec aus diesem Geschäft verabschiedet. Die Programme seien keine Verkaufsschlager mehr, sagte Manager Brian Dye im Mai dem Wall Street Journal. Dabei verdiente das Unternehmen über Jahrzehnte prächtig an seinem Norton Antivirus.

Bankräuber in einen falschen Tresorraum bringen

Fire-Eye-Gründer Ashar Aziz erkannte diesen Trend bereits kurz nach der Jahrtausendwende. "Cyberattacken wurden immer ausgeklügelter, die bestehenden Systeme reichten nicht mehr aus", erinnert er sich im Gespräch mit Handelsblatt Online. 2004 machte er sich mit der Firma selbständig, um eine Alternative zu entwickeln.

Fire Eye hat ein System programmiert, das verdächtige Dateien wie E-Mail-Anhänge in einer abgeschotteten Umgebung untersucht. Dabei nutzt der virtuelle Wächter einen Trick: Er gaukelt der potenziell gefährlichen Software vor, dass sie auf dem Computer eines Mitarbeiters angekommen ist und beobachtet dann eine Zeit lang, was passiert. Wenn sie schon bald Tastatureingaben mitliest oder Daten aus dem Internet nachlädt, ist das ein Warnsignal.

Das ist so, als ob eine Bank verdächtige Besucher in einen Raum bringt, der wie die Schalterhalle aussieht, aber vom Rest des Gebäudes abgeriegelt ist. Wer sich dann hinten in den vermeintlichen Tresorraum schleichen will, ist überführt. Statt Security-Leute mit einem veralteten Fahndungsplakat an den Eingang zu stellen, beobachtet der Sicherheitsdienst also auch, was die Besucher tun wollen.



BSI: "Am neuen Ansatz führt kein Weg vorbei"

Die Fachwelt hält dieses Verfahren grundsätzlich für sinnvoll. "An verhaltensbasierten Ansätzen führt kein Weg vorbei", sagt Timo Steffens vom Bundesamt für Sicherheit in der Informationstechnik (BSI). "Auf signaturenbasierte Ansätze allein kann man sich nicht mehr verlassen."



Für Fire Eye hat sich das frühe Engagement gelohnt. Der Anbieter zählt weltweit 2.500 Firmen zu seinen Kunden, darunter rund ein Drittel der Fortune 100. In Deutschland will der Sicherheitsspezialist seine Dienste gemeinsam mit der Deutschen Telekom vermarkten, in der vergangenen Woche verkündeten die Unternehmen ihre Partnerschaft.