London, UK, 12. Dezember 2002 - GFI, einer der weltweit führenden Anbieter von Sicherheits-Software für Netzwerke und Inhalte, hat heute die Veröffentlichung seiner neuen Freeware GFI LANguard System Integrity Monitor (S.I.M.) bekannt gegeben. Das innovative Intrusion Detection System (IDS) erkennt Trojaner und andere böswillige Angriffe gegen Netzwerke, indem es Manipulationen an wichtigen Systemdateien aufspürt. Administratoren werden über diese Ereignisse sofort benachrichtigt, damit umgehend Abwehrmaßnahmen eingeleitet werden können. Schwachstellen, die einen Angriff oder eine Manipulation begünstigt haben, können somit schnell beseitigt werden. Weitere Informationen und eine kostenfreie Kopie des Produkts stehen unter http://www.gfisoftware.de/lansim/index.html zum Download bereit.

Überwachung wichtiger Systemdateien
Angreifer von außen oder auch interne Angestellte mit böswilligen Absichten können die Unternehmensarbeit mehrerer Jahre mühelos innerhalb weniger Minuten zunichte machen. Alles, was sie dazu brauchen, ist z. B. ein Trojaner, der die Zerstörung der Daten für sie übernimmt. Eindringlinge, die einen Trojaner im Netzwerk platzieren wollen, der nicht sofort erkannt wird, müssen hierfür bestimmte Dateien modifizieren. Bei Angriffen von innen hingegen werden Dateien oftmals einfach verändert oder gelöscht. Die neue GFI-Freeware GFI LANguard System Integrity Monitor (S.I.M.) hilft jedoch, sich gegen diese Bedrohung abzusichern, denn der S.I.M. läuft als Dienst und hat die Aufgabe, wichtige Systemdateien zu überwachen. Findet ein Zugriff auf diese Dateien statt, wird sofort eine Warnmeldung an den Administrator gesendet.

Funktionsweise des GFI LANguard S.I.M.
Der GFI LANguard S.I.M. überwacht wichtige Systemdateien, indem er für sie zuerst eine Prüfsumme erstellt, die in der Datenbank des S.I.M. gespeichert wird. Dafür wird der bewährte Hash-Algorithmus MD5 eingesetzt, entwickelt von Ronald Rivest, einem der renommiertesten Kryptographen weltweit. An zuvor festgelegten Zeitpunkten wird eine neue Prüfsumme erstellt und mit der in der Datenbank gespeicherten Summe verglichen. Werden hierbei Abweichungen festgestellt, bedeutet dies, dass die Datei geändert und daher vermutlich böswillig manipuliert wurde. Der Netzwerk-Administrator wird über dieses Ereignis unverzüglich per E-Mail informiert.

Vorteil dieser Methode ist, dass Systemdateien nicht von Trojanern oder Viren infiziert werden können, ohne dass der Administrator sofort davon erfährt - selbst wenn der Angriff durch neue Malware erfolgt, die von gängigen Anti-Virus-Lösungen noch nicht erkannt wird. Da Administratoren über im gesamten LAN infizierte/modifizierte Dateien informiert werden, können sie sofort Gegenmaßnahmen einleiten. Das System lässt sich gründlich von Trojanern und Viren reinigen, ohne dabei Gefahr zu laufen, dass es aufgrund übersehener Dateien erneut infiziert wird.

Die Abfolge der Ereignisse wird zudem im Ereignisprotokoll des GFI LANguard S.I.M. gespeichert, das über die Ereignisanzeige von Windows dargestellt werden kann. Dies hat folgende Vorteile:

• Das System kann relativ einfach in den Ausgangszustand zurückversetzt werden (da dem Administrator die betroffenen Daten bekannt sind).
• Der Administrator kann stichhaltige Beweise gegen den Angreifer sammeln (Dies ist von Vorteil, wenn es sich um einen internen Täter handelt).
• Administratoren sich ein genaueres Bild davon machen können, welche Absichten externe Hacker tatsächlich verfolgen.

"Für Administratoren ist es unerlässlich, dass sie über gelöschte oder geänderte Systemdateien stets auf dem Laufenden sind - leider ist der Informationsfluss gerade bei solchen wichtigen Ereignissen bislang sehr zäh gewesen. Mit dem GFI LANguard S.I.M. ändert sich dies, denn nun steht Administratoren ein einfaches, aber sehr effektives Tool zur Verfügung, das sie bei Änderungen wichtiger Systemdateien sofort informiert", so André Muscat, Produkt-Manager für GFI LANguard S.I.M.

Integration mit GFI LANguard S.E.L.M.
GFI LANguard S.I.M. ist eng mit GFI LANguard Security Event Log Monitor (S.E.L.M.) integriert, dem Host-basierten IDS von GFI, mit dem Windows-basierte Netzwerke in Echtzeit auf Sicherheitsverletzungen überwacht werden können. Der GFI LANguard S.E.L.M. scannt kontinuierlich die Ereignisanzeigen sämtlicher mit Windows NT/2000/XP betriebenen Rechner in einem Netzwerk. Wird ein ungewöhnliches Ereignis wie ein unautorisierter Zugriff auf eine zugangsbeschränkte Datei festgestellt, verschickt der S.E.L.M. eine Warnmeldung in Echtzeit an den zuständigen Systemadministrator. Dadurch ist es möglich, auf potenzielle Angriffe und Eindringversuche unmittelbar reagieren zu können um diese abzuwehren.

Wird der GFI LANguard S.E.L.M. zusammen mit dem Arbeitsstation-basierten GFI LANguard S.I.M. eingesetzt, profitieren Anwender vor allem von umfangreichen Konsolidierungs- und Berichtsfunktionen. Da ein großer Anteil der böswilligen Angriffe von Insidern stammt, helfen dem S.E.L.M. die vom S.I.M. bereit gestellten Daten beim Zuordnen und Erkennen eines verdächtigen Anwenderverhaltens, bei fehl geschlagenen Login-Versuchen sowie bei Versuchen unautorisiert auf Objekte zuzugreifen oder diese zu löschen. Die Überwachung von Ereignissen dieser Art hilft potenzielle interne Schwachstellen zu erkennen, bevor sie ernsthafte Schäden verursachen.

Weitere Funtkionen des GFI LANguard S.I.M.
Folgende Features stehen mit dem GFI LANguard S.I.M. zur Verfügung:

• Mehrfache Scan-Aufträge, mit denen Administratoren verschiedene Dateitypen in unterschiedlichen Zeitabständen überwachen können.
  
• Bei mehreren Scan-Aufträgen können E-Mail-Warnmeldungen an unterschiedliche Empfänger geschickt werden.
  
• Web-Seiten werden auf Änderungen überprüft und unerlaubte Manipulationen sofort entdeckt.
  
• Eingriffsicher - Dateiänderungen werden in der Windows-Ereignisanzeige protokolliert.

Weitere Informationen und eine kostenfreie Kopie des Produkts stehen unter http://www.gfisoftware.de/lansim/index.html zum Download bereit.

Über GFI
GFI Software bietet als führender Software-Hersteller eine umfassende Auswahl an Netzwerksicherheits-, Inhaltssicherheits- und Kommunikationslösungen aus einer Hand, um Administratoren einen reibungslosen Netzwerkbetrieb zu ermöglichen. Mit seiner mehrfach ausgezeichneten Technologie, einer konsequenten Preisstrategie und der Ausrichtung an den Anforderungen kleiner und mittlerer Unternehmen erfüllt GFI höchste Ansprüche an Effizienz und Produktivität. Das Unternehmen wurde 1992 gegründet und ist mit Niederlassungen auf Malta sowie in London, Raleigh, Hongkong, und Adelaide vertreten und betreut über 200.000 Installationen weltweit. GFI bietet seine Lösungen über ein weltweites Netz von mehr als 10.000 Channel-Partnern an und ist Microsoft Gold Certified Partner. Weitere Informationen stehen zum Abruf bereit unter http://www.gfisoftware.de.

Alle hier aufgeführten Produkte und Firmennamen sind Marken der jeweiligen Eigentümer.