Zurück zur Übersicht

Begriff

Runtime Protection

Security DevOps S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Du hast eine Alarmanlage am Haus (Firewall). Du hast stabile Schlösser (Secure Code). Aber was, wenn der Einbrecher trotzdem drin ist? (Weil er den Postboten bestochen hat). Runtime Protection ist der Wachhund im Haus. Er bellt sofort, wenn jemand etwas Verdächtiges tut. "Warum öffnet der Postbote den Safe?" (Anomalie). "Warum telefoniert die Kaffeemaschine nach China?" (Exfiltration). Es schützt die Software während sie läuft (zur Laufzeit), indem es ihr Verhalten überwacht.

Merksatz: Eine Sicherheitstechnologie, die Anwendungen oder Container während der Ausführung überwacht und bei verdächtigem Verhalten (z. B. unbekannte Prozesse, Netzwerkeinbrüche) Alarm schlägt oder blockiert.


Quick-Check

  1. Reicht Virenscanner nicht?
    Nein. Virenscanner suchen nach bekannten Dateien ("Signaturen"). Runtime Protection sucht nach Verhalten. Ein Hacker, der "live" Befehle tippt, hat keine Datei, die man scannen kann ("Fileless Malware").
  2. Gibt es False Positives?
    Ja, viele. Wenn der Admin sich einloggt, um zu debuggen, denkt das Tool: "Hacker!". Man muss das System tunen ("Baselining").
  3. Blockiert es oder meldet es nur?
    Meistens erst mal nur Melden (Alerting), um die Produktion nicht zu stören. Im Hochsicherheitsbereich: Blockieren (Kill Process).