Endgerätesicherheit

Schichtenmodell für mehr Sicherheit

| Autor / Redakteur: Rainer Richter / Stephan Augsten

Mit mehreren Sicherheitsschichten lassen sich Daten und andere Assets besser schützen.
Mit mehreren Sicherheitsschichten lassen sich Daten und andere Assets besser schützen. (Bild: Archiv)

So unverzichtbar sie auch sind: Firewall und Antivirus-Software allein reichen für den Endgeräte-Schutz nicht mehr aus. Angesichts wachsender Cyber-Gefahren und immer raffinierterer Angriffsmethoden benötigen Windows-Clients heute ein proaktives Zusammenspiel verschiedenartiger Security-Mechanismen.

Von Microsoft Internet Explorer über Adobe Flash und Google Chrome bis zu Mozilla Thunderbird: das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte bei elf weit verbreiteten Softwareprodukten zwischen Januar und September 2015 nicht weniger als 847 kritische Schwachstellen.

Grundsätzlich empfiehlt das BSI, alle von Herstellerseite aus angebotenen Security-Patches stets so schnell wie möglich einzuspielen. Doch keine noch so große Update-Disziplin kann hundertprozentigen Schutz vor böswillig eingeschleuster Schadsoftware garantieren.

Ein Patch schließt immer nur bereits be- bzw. erkannte Sicherheitslücken und verkürzt dadurch die Zeitspanne, innerhalb derer ein Hacker diese Lücke für einen Angriff ausnutzen kann. Gegen sogenannten Zero-Day-Exploits jedoch bleiben Client-Geräte trotz Antivirus-Aktualisierung ungeschützt.

Solche Cyber-Angriffe zielen auf offene Schwachstellen, für die es noch keine Patches gibt. Besonders bedrohlich wird die Situation, wenn bereits Informationen über Zero-Day-Schwachstellen in der Hacker-Szene kursieren. Oftmals werden dafür sogar maßgeschneiderte Angriffswerkzeuge auf dem Schwarzmarkt im Internet gehandelt.

Verwundbar sind Client-Geräte nicht zuletzt durch den Siegeszug der Browsernutzung: Ein tückisches Angriffsmittel sind hierbei die sogenannten Drive-by-Exploits: Sie nutzen Schwachstellen im Webbrowser oder einem Browser-Plug-in, um heimlich ein Schadprogramm zu installieren. Zur Infektion genügt lediglich der Aufruf einer entsprechend präparierten Webseite.

Drive-by-Gefahr besteht keineswegs nur bei dubiosen Internetangeboten, sondern ebenso auf seriösen Seiten. Laut BSI-Bericht enthalten deutschlandweit ein bis zwei Prozent aller Webseiten Drive-by-Exploits oder verweisen auf andere kompromittierte Seiten.

Insgesamt ist in den letzten Jahren eine Professionalisierung der kriminellen Szene zu beobachten, was unter anderem an den zunehmend ausgefeilten Social-Engineering-Angriffen und der Häufigkeit gezielter Advanced Persistent Threats deutlich wird.

Admin-Rechte: die unterschätzte Gefahr

Reaktive Sicherheitsvorkehrungen wie Antivirus- und Firewall-Lösungen sollten durch eine zusätzliche Schicht aus proaktiven Schutz- und Abwehrkomponenten ergänzt werden. Empfehlenswert ist eine Layer-basierte Sicherheitsarchitektur deshalb, weil vorhandene Lösungsbausteine wie etwa die Applikationskontrolle effektiver werden, ohne dass das Security-Management als Ganzes dadurch komplizierter würde.

Ein ebenso einfacher wie wirkungsvoller Ansatz dafür besteht beispielsweise in einer möglichst restriktiven Vergabe von Administratorrechten für Endgeräte-Nutzer. Dahinter steht die einfache Erkenntnis, dass unbemerkt infiltrierte Malware auf betroffenen Systemen umso weniger Schaden anrichten kann, je weniger Privilegien dem jeweiligen Nutzer-Account zugeordnet sind. Auch die Ausbreitung eingedrungener Schadsoftware auf andere Rechner im Unternehmensnetzwerk wird somit eingedämmt.

Sobald allen Mitarbeitern – mit Ausnahme der IT-Administratoren – ausschließlich Standardnutzerrechte zugebilligt werden, lassen sich Risiken bei 96 Prozent aller kritischen Microsoft-Schwachstellen signifikant verringern . Denn eine Schadsoftware kann dann weder Systemänderungen noch nicht-autorisierte Programminstallationen vornehmen. De facto hätten 2013 sämtliche Angriffsversuche über Sicherheitslücken im Microsoft Internet Explorer allein durch Rückstufung der betroffenen Systeme auf Standardprivilegien gestoppt werden können.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Dr. Kaiser-Karten mögen ja helfen, mir graut vor dem Gedanken unsere 7600 Clients damit...  lesen
posted am 19.02.2016 um 17:29 von Unregistriert

Rückstufung der betroffenen Systeme wird seit sehr vielen Jahren durch Zusatzkarten im PC mit...  lesen
posted am 19.02.2016 um 09:13 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43843613 / Endpoint)