Gar nicht! Das klingt nicht gut, entspricht jedoch der Realität. Es gibt Software z. B. von der Firma NSO Group aus Israel, die darauf spezialisiert ist in fremde Systeme einzudringen. Erfolgt ein gezielter Angriff auf ein bestimmtes Gerät, kann sich kein Antivirus-Programm dagegen wehren. Antivirenscanner arbeiten mit Signaturen bekannter Schadsoftware. Bei einem neuen, noch unbekannten Angriffsszenario können sie den Angriff nicht verhindern, da es dazu keine Signatur in ihrer Datenbank gibt.

An diesem Punkt setzt die Endpoint Security ein. Gelingt es Angreifern, auf das System ihres Ziels zu gelangen, muss die infizierte Schadsoftware ausgeführt werden. Dies versuchen moderne Betriebssysteme wie Windows 10, durch das sogenannte Whitelisting zu verhindern. Beim Whitelisting werden nur Programme und Komponenten ausgeführt, die vorher vom Anwender als „sauber“ klassifiziert wurden. Das Whitelisting funktioniert nur solange, wie ein Angriff nicht bekannte unbedenkliche Komponenten nutzt, um zur Aufführung zu gelangen.

Ein erweiterter Schutzmodus ist der „Guarded Desktop“, der eine „sichere Schutzhülle“ um kritische Anwendungen aufbaut und kritische Aktivitäten unterbindet. Dazu zählen unter anderem:

  • Keylogging: das Mitschneiden von Tastatureingaben.
  • Aufzeichnung von Bildschirmaktivitäten.
  • Veränderungen von Nachrichten z.B. E-Mails und Messenger.
  • Einfügen von Schadcode in Datenbanken und Anwendungen, die auf der Whitelist stehen.

Mit der Software App-Protect von Reddfort können sich Anwender vor gezielten Angriffen schützen. Die Anwendung besteht aus zwei Komponenten, einem ausgefeilten Whitelist-System und dem Guarded Desktop. App-Protect wirkt auch dann, wenn der Virenscanner von einem potenziellen Angreifer überwunden wurde. App Protect verhindert einfach den Start von ausführbaren Dateien (EXE, MSI, BAT, etc.) und v die Auführung von z. B. Macros aus Office-Dokumenten (DOC, XLS, etc.). So ist es dennoch möglich Dateien wie Videos, Musik, Fotos und Office-Dokumente von externen USB-Laufwerken zu starten. Die Ausführung von aktiven Elementen, die wiederum Schadsoftware nachladen, wird aber zuverlässig unterbunden.

Am besten lässt sich App-Protect auf einem neuinstallierten System einsetzen, um zu verhindern, dass mögliche Schadsoftware bereits im System installiert wurde und anschließend von App-Protect „geschützt“ wird.