Endgerätesicherheit

Schichtenmodell für mehr Sicherheit

| Autor / Redakteur: Rainer Richter / Stephan Augsten

Mit mehreren Sicherheitsschichten lassen sich Daten und andere Assets besser schützen.
Mit mehreren Sicherheitsschichten lassen sich Daten und andere Assets besser schützen. (Bild: Archiv)

So unverzichtbar sie auch sind: Firewall und Antivirus-Software allein reichen für den Endgeräte-Schutz nicht mehr aus. Angesichts wachsender Cyber-Gefahren und immer raffinierterer Angriffsmethoden benötigen Windows-Clients heute ein proaktives Zusammenspiel verschiedenartiger Security-Mechanismen.

Von Microsoft Internet Explorer über Adobe Flash und Google Chrome bis zu Mozilla Thunderbird: das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte bei elf weit verbreiteten Softwareprodukten zwischen Januar und September 2015 nicht weniger als 847 kritische Schwachstellen.

Grundsätzlich empfiehlt das BSI, alle von Herstellerseite aus angebotenen Security-Patches stets so schnell wie möglich einzuspielen. Doch keine noch so große Update-Disziplin kann hundertprozentigen Schutz vor böswillig eingeschleuster Schadsoftware garantieren.

Ein Patch schließt immer nur bereits be- bzw. erkannte Sicherheitslücken und verkürzt dadurch die Zeitspanne, innerhalb derer ein Hacker diese Lücke für einen Angriff ausnutzen kann. Gegen sogenannten Zero-Day-Exploits jedoch bleiben Client-Geräte trotz Antivirus-Aktualisierung ungeschützt.

Solche Cyber-Angriffe zielen auf offene Schwachstellen, für die es noch keine Patches gibt. Besonders bedrohlich wird die Situation, wenn bereits Informationen über Zero-Day-Schwachstellen in der Hacker-Szene kursieren. Oftmals werden dafür sogar maßgeschneiderte Angriffswerkzeuge auf dem Schwarzmarkt im Internet gehandelt.

Verwundbar sind Client-Geräte nicht zuletzt durch den Siegeszug der Browsernutzung: Ein tückisches Angriffsmittel sind hierbei die sogenannten Drive-by-Exploits: Sie nutzen Schwachstellen im Webbrowser oder einem Browser-Plug-in, um heimlich ein Schadprogramm zu installieren. Zur Infektion genügt lediglich der Aufruf einer entsprechend präparierten Webseite.

Drive-by-Gefahr besteht keineswegs nur bei dubiosen Internetangeboten, sondern ebenso auf seriösen Seiten. Laut BSI-Bericht enthalten deutschlandweit ein bis zwei Prozent aller Webseiten Drive-by-Exploits oder verweisen auf andere kompromittierte Seiten.

Insgesamt ist in den letzten Jahren eine Professionalisierung der kriminellen Szene zu beobachten, was unter anderem an den zunehmend ausgefeilten Social-Engineering-Angriffen und der Häufigkeit gezielter Advanced Persistent Threats deutlich wird.

Admin-Rechte: die unterschätzte Gefahr

Reaktive Sicherheitsvorkehrungen wie Antivirus- und Firewall-Lösungen sollten durch eine zusätzliche Schicht aus proaktiven Schutz- und Abwehrkomponenten ergänzt werden. Empfehlenswert ist eine Layer-basierte Sicherheitsarchitektur deshalb, weil vorhandene Lösungsbausteine wie etwa die Applikationskontrolle effektiver werden, ohne dass das Security-Management als Ganzes dadurch komplizierter würde.

Ein ebenso einfacher wie wirkungsvoller Ansatz dafür besteht beispielsweise in einer möglichst restriktiven Vergabe von Administratorrechten für Endgeräte-Nutzer. Dahinter steht die einfache Erkenntnis, dass unbemerkt infiltrierte Malware auf betroffenen Systemen umso weniger Schaden anrichten kann, je weniger Privilegien dem jeweiligen Nutzer-Account zugeordnet sind. Auch die Ausbreitung eingedrungener Schadsoftware auf andere Rechner im Unternehmensnetzwerk wird somit eingedämmt.

Sobald allen Mitarbeitern – mit Ausnahme der IT-Administratoren – ausschließlich Standardnutzerrechte zugebilligt werden, lassen sich Risiken bei 96 Prozent aller kritischen Microsoft-Schwachstellen signifikant verringern . Denn eine Schadsoftware kann dann weder Systemänderungen noch nicht-autorisierte Programminstallationen vornehmen. De facto hätten 2013 sämtliche Angriffsversuche über Sicherheitslücken im Microsoft Internet Explorer allein durch Rückstufung der betroffenen Systeme auf Standardprivilegien gestoppt werden können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43843613 / Endpoint)