ESET
Fokus Effizienz: „Maximale Abwehr, minimaler Impact.
Die meisten Sicherheitslösungen erkaufen Schutz durch hohen Ressourcenverbrauch. ESET geht einen anderen Weg: Durch eine intelligente Filter-Kaskade werden bekannte Bedrohungen blitzschnell per Signatur gestoppt, während modernes Maschinelles Lernen und die DNA-Erkennung komplexe Angriffe proaktiv entlarven – noch bevor der erste schädliche Code ausgeführt wird. Michael Schröder, Head of Product Marketing bei ESET DACH, erzählt im Interview wie das Unternehmen mit Hauptsitz in der Slowakei zu diesem autarken Schutz gelangt.
Software von ESET kombiniert klassische signaturbasierte Erkennung mit modernem maschinellem Lernen, um Bedrohungen proaktiv abzuwehren. Was führt bei er Kombi aus signaturbasierter Erkennung und ML zu Effizienz?
Nun, gleich zu Beginn könnte man sich fragen, warum wir überhaupt noch eine signaturbasierte Erkennung in unseren Modulen implementiert haben. Die Antwort darauf ist recht simpel: Rein mathematisch bzw. technologisch gesehen ist nichts schneller als ein signaturbasierter Abgleich: ist ein vergleichender Hash-Wert maliziös benötige, ich keine anderen Methodiken der Erkennung. Bekannte und schadhafte Samples können so leicht geblockt werden ohne die „großen Geschütze“ aufzufahren. Zwischenzeitlich schützen ganze 17 Module unsere Kunden vor, während und nach der Ausführung von „Binär“-Code auf allen Endpoints und Servern. Besonders erfolgreich macht uns da aus meiner Sicht die „verhaltensbasierte Erkennung“ die in Kombination mit einer Integrierten Sandbox ganz erstaunliche Dinge vollbringt, ohne dass das Gerät mit dem Netz verbunden sein muss.
Die Software gilt als besonders ressourcensparend, weil die Systemleistung während der Scans kaum beeinträchtigt wird. Woran liegt das? Was sind hier Ihre Alleinstellungsmerkmale?
Man könnte hier sicher zum einen die hohe Qualität und Effizienz des Quellcodes anführen, andererseits gehen wir aber auch sehr pragmatisch vor, wenn es um die Erkennung von Schadcode geht. Die Erkennung beginnt bei uns bereits deutlich vor der Ausführung des Codes und systematisch mit den optimalen Werkzeugen/Modulen. Allein die sogenannte „DNA-Erkennung“ sorgt dafür, dass wir kleinste bereits bekannte oder von Cyberkriminellen mehrfach verwendete Muster erkennen und zielgenau einordnen können. Solche – und viele andere – Methodiken führen letztlich dazu, dass die Software schlank und trotzdem extrem leistungsfähig bleibt.
In Zeiten der Diskussion um Digitale Souveränität ist es sicher von Vorteil, dass ESET mit Hauptsitz in der Slowakei seine Technologien vollständig innerhalb der EU entwickelt. Externe Komponenten kommen nicht zum Tragen?
Eine berechtigte Frage. Es ist tatsächlich so, dass bei uns kein OEM-Code oder OEM-Engine zum Einsatz kommt und dass wir zusätzlich eine „No-Backdoor-Garantie“ geben. Der gesamte Entwicklungsprozess ist ISO 27001 und ISO 9001 zertifiziert, was an dieser Stelle auch für Informations- und Qualitätssicherheit spricht. Externe Komponenten kommen insofern nicht innerhalb unserer Software zum Einsatz. In der Consumer-Version unserer Software kommt z. B. in den größeren Versionen ein VPN-Funktionalität zum Einsatz, dessen Infrastruktur wir nicht selbst betreiben, sondern einkaufen. Ähnlich ist es beim Patch-Management, bei dem die Implementierung und der Quellcode von uns sind, die Patch-Datenbanken mit mehreren zehntausend Applikationen jedoch von einem Drittanbieter bereitgestellt werden. In beiden Fällen liefern die Dienste unseren Kunden die besten Ergebnisse, ohne die Integrität unserer Basis zu beeinflussen.
Forscher entdeckten eine Schwachstelle, die es Angreifern theoretisch ermöglichte, Malware über ESET-Komponenten auszuführen (DLL-Hijacking, 2025). Wie ist hier der Stand der Dinge?
Ich nehme an, damit ist die mir bekannte CVE-2024-11859 Schwachstelle gemeint, die zu Beginn 2025 veröffentlicht wurde. Hier war es so, dass mittels einem von uns bereitgestelltem Tool namens „ESET Command Line Scanner“ (Anmerkung: Ein Scan-Tool das als Teil unserer Endpoint-Protection-Plattform direkt in der Kommandozeile ausgeführt werden kann, z. B. im abgesicherten Modus) eine nicht originale System-Bibliothek (versions.dll) „eingeschmuggelt“ werden konnte, die im weiteren Verlauf zu einer Infektion hätte führen können. Erwähnenswert an dieser Stelle ist noch, dass der Angreifer bereits Administrationsrechte benötigt hätte, um die Payload auszuführen was den realen Einsatz eher obsolet macht.
Hierzu gab es bereits kurz nach interner Kenntnis am 21.01.2025 Patches für alle betroffenen Komponenten, die Veröffentlichung des CVEs sowie ein „Security Advisory“ von uns folgte dann am 04.04.2025. Dies ist eine übliche Vorgehensweise in der Branche, nachdem ein Sicherheitsforscher im Labor eine Lücke findet, wir diese im Rahmen einer internationalen Zusammenarbeit weitergeleitet und der Öffentlichkeit erst dann bekannt gemacht, nachdem man davon ausgehen kann, dass bereits alle Kundensysteme gepatcht wurden. So dient die CVE-Datenbank der Öffentlichkeit und nicht den Tätern die händeringend nach nutzbaren Schwachstellen suchen.
Unabhängige Labore wie AV-TEST bescheinigen ESET regelmäßig eine Erkennungsrate von 100 Prozent bei bekannter Malware und nahezu perfektem Schutz gegen brandneue (Zero-Day) Bedrohungen. Wie schaffen Sie diese Effizienz?
Cybersicherheit ist immer auch ein Wettlauf um technologischen und zeitlichen Vorsprung. Ein Wettlauf den wir bisweilen gewinnen können. Nicht zuletzt helfen hier unsere weltweite Cloud-Reputationsdatenbank „LiveGrid“ in der Analyseergebnisse in Echtzeit für alle Kunden bereitgestellt werden, sowie unser Cloud-Sandboxing-Cluster „LiveGuard“. Denn die zu Beginn genannten 17 Module auf dem Endpoint sind leistungsseitig an das einzelne Gerät gebunden und ermöglichen so nicht immer eine sichere Erkennung/Enttarnung von Schadcode in angemessener Zeit. Sollte also ein Basisverdacht auf dem Endpoint vorliegen, kann ein Sample direkt an „LiveGuard“ übermittelt werden. Hier wird dann binnen kürzester Zeit und mit der Rechenleistung von etwa 16.000 aktuellen i7 CPUs sowie diverser Anti-evasive-Technologien ein verlässliches Analyseergebnis geliefert. Das bewahrt unsere Kunden vor allem vor gezielten Angriffen/APTs und Zero-Day-Bedrohungen und schafft Effizienz.
