Endgeräte-Sicherheit für Unternehmen

Endpoint Security als äußerste Verteidigungslinie der IT

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Hacker wählen gerne den Weg des geringsten Widerstandes, deshalb sind Clients wesentlich häufigeren und vielfältigeren Angriffen ausgesetzt als Server.
Hacker wählen gerne den Weg des geringsten Widerstandes, deshalb sind Clients wesentlich häufigeren und vielfältigeren Angriffen ausgesetzt als Server. (© Paopano - stock.adobe.com)

Endgeräte sind das beliebteste Angriffsziel von Datendieben und Erpressern. Dank ihrer großen Zahl und enormen Vielfalt ist eine lückenlose Absicherung schwierig. Schwachstellen, die als Ausgangspunkt für einen Angriff genutzt werden können, sind mit hoher Wahrscheinlichkeit auffindbar. Endpoint Security stellt sich den Angreifern an der äußersten Verteidigungslinie entgegen.

Eine klare und einheitliche Definition, was Endpoint Security genau ist, gibt es nicht. Bei Wikipedia gibt es zu diesem Begriff nicht einmal einen deutschsprachigen Eintrag. Worum es aber im Großen und Ganzen geht, ist sehr wohl klar: Geräte (Endpoints) so mit Verteidigungswerkzeugen auszustatten, dass potentielle Angreifer die Geräte und Netzwerke, mit welchen sie verbunden sind, nicht kompromittieren können. Bei isolierten Geräten – also einzelnen PCs, Laptops, Smartphones etc. – erfolgt die Installation der entsprechenden Tools auf dem entsprechenden Endpoint selbst. In der Praxis dürfte das für viele Home-Installationen zutreffen. In einem Unternehmen sind die Endpoints in aller Regel entweder über Kabel oder per WLAN mit einem Netzwerk verbunden – Installation, Konfiguration und Management der Endpoint Protection Tools erfolgen über die zentrale IT. An den Endpoints läuft lediglich die Client-Komponente der Protection Tools, während die Kernsoftware auf entsprechenden Servern ihren Dienst verrichtet.

Im Endpoint-Security-Modell von Unternehmen rationalisiert in der Regel eine Single-Sign-On-Schnittstelle die Konfiguration der Sicherheitssoftware auf den einzelnen Endgeräten, und Protokolleinträge und Alarme werden zur Auswertung und Analyse an den zentralen Administrationsserver gesendet. Signatur- und Anwendungs-Updates werden einmalig heruntergeladen, und der zentrale Server leitet die Updates an die im Netzwerk konfigurierten Endpunkte weiter. Dies ermöglicht die Einrichtung und Durchsetzung einer netzwerkweiten Nutzungsrichtlinie.

In manchen Definitionen zählen auch die Server im Rechenzentrum zu den Endpoints. Das lässt sich von der Logik her leicht nachvollziehen, schließlich sind auch Server Geräte, die kompromittiert werden können – oft sogar in erster Reihe vor den Clients am Netzwerkrand (Perimeter): Clients sind im Unternehmen immer über Server im Rechenzentrum mit dem Internet verbunden. Allerdings bieten Server wegen ihrer fokussierten Funktionalität erheblich weniger Angriffsfläche als die oft mit Software von unterschiedlichsten Herstellern vollgestopften Clients. Am Client sitzt auch der User, den einschlägige Reports gerne als größte Schwachstelle für die IT herausstellen: er surft potenziell infizierte Webseiten an, öffnet Mails mit fragwürdigem Anhang, destabilisiert sein Gerät durch Installation von Software, die nicht von der zentralen IT geprüft wurde, und vieles mehr. Hacker wählen gerne den Weg des geringsten Widerstandes, deshalb sind Clients wesentlich häufigeren und vielfältigeren Angriffen ausgesetzt als Server.

Funktionen und Werkzeuge der Endpoint Security

Auch in der Frage, welche Funktionen und Tools zur Endpoint Security gehören, gehen die Meinungen in der Branche durchaus auseinander. Klassische Antiviren-Lösungen, früher einmal wichtigste Komponente des Endpoint-Schutzes, zählen heute für viele Experten in dieser Form nicht mehr dazu. Sie sehen diese Funktion heute nur noch als kleines Rädchen im Umfeld einer umfassenden Malware Protection, die sich außer um Viren und Würmer auch um Spyware und – immer wichtiger – auch um erpresserische Verschlüsselungssoftware (Ransomware) kümmert. Malware Protection wiederum ist in der Endpoint Security heute selbst nur einer von vielen Aspekten, wie zum Beispiel Vermeidung von Datenverlusten (Data Leakage/Loss Prevention, kurz DLP), Firewalls, Schutz beim Web-Site-Browsing, Geräte-Kontrolle, Festplatten-, Endpunkt- und E-Mail-Verschlüsselung, umfassender E-Mail-Schutz inklusive Spam-Filtering, Angriffserkennung und -Abwehr (Intrusion Detection and Prevention, kurz IDS/IPS), App-Whitelisting und -Kontrolle, Netzwerkzugangskontrolle (Network Access Control, kurz NAC), Kontrolle von Nutzern mit privilegierten Rechten (zum Beispiel Administratoren) und noch einiges mehr. In manchen Unternehmen ist es wichtig, dass das Endpoint Security Tool auch virtuelle Umgebungen unterstützt.

Endgeräte-Verschlüsselung und Anwendungskontrolle gelten heute mit als wichtigste Komponenten einer effektiven Endgerätesicherheitslösung. Kryptografie am Endpunkt verschlüsselt Unternehmensdaten auf dem Gerät des Nutzers, einschließlich Laptops, mobilen Geräten und Wechseldatenträgern wie CDs/DVDs und USB-Laufwerken. Die Verschlüsselung ist damit ein wirksamer Schutz gegen den unautorisierten Abfluss von Unternehmensdaten. Die Anwendungskontrolle verhindert die Ausführung nicht autorisierter Anwendungen auf Endgeräten. Mitarbeiter können so keine nicht genehmigten oder gefährlichen Anwendungen auf (vor allem mobile) Geräte herunterladen – oft eine Quelle eklatanter Schwachstellen im Netzwerk.

Endpunktsicherheit im Kontext moderner Security-Konzepte

Früher lautete die grundlegende Philosopie bei der Endpoint Protection: „Angreifer draußen halten“ – lange Zeit gleichzeitig das Paradigma der IT-Sicherheit insgesamt. Die Folge war, dass lange fast das gesamte Security-Budget in die „harte Schale“ investiert wurde. Hat es ein Angreifer aber über eine noch so windige Schwachstelle geschafft, in das Netzwerk einzudringen, stand seinen bösen Absichten dort so gut wie nichts mehr im Wege und Daten konnten leicht abgegriffen werden. Deswegen steht der Endpoint Security heute zunehmend ein gegenpoliger Ansatz mit einem eher fatalistischen Paradigma zur Seite: „Wer wirklich gezielt in ein Netzwerk eindringen will, wird das früher oder später auch schaffen.“ Die Funktionen und Tools zielen hier darauf, die Daten selbst zu schützen, so dass ein Diebstahl nur wertlosen Bit-Salat liefert. Im Wesentlichen geht es hier um eine durchgängige Verschlüsselung der Daten sowohl auf den Speichern, während des Transports und bei der Verarbeitung. Auch das Netzwerk selbst bildet zunehmend eine neue Verteidigungslinie. Moderne Funktionen wie Software Defined Networking erlauben im Zusammenspiel mit einer zentralen Intelligenz im Netzwerk, kompromittierte Bereiche in Echtzeit zu isolieren (Segmentierung) und einiges mehr. Größte Herausforderung der Enpoint Security ist derzeit sicherlich der starke Anstieg immer raffinierterer Ransomware-Angriffe. Mit den bisherigen Methoden scheinen die Erfolgsaussichten hier sehr begrenzt – ebenso wie bei gezielten, mehrschichtigen Langzeitangriffen (Advanced Persistant Threats, kurz APTs).

Dieser Text stammt aus dem Security-Insider Kompendium „Endpoint & Mobile Device Security“.

Kompendium „Endpoint & Mobile Device Security“

Endpoint & Mobile Device SecurityDie kontinuierlich fortschreitende Digitalisierung der deutschen Wirtschaft fordert die IT-Sicherheit zunehmend heraus. Der einzelne Endpunkt – egal ob PC, Notebook, mobiles Gerät oder IoT-Device – steht weiter im Fokus der Angriffe durch Cyberkriminelle, so lange es sich lohnt, diese Systeme anzugreifen. Eine gut funktionierende und moderne Endpoint Security ist deshalb heute mehr denn je unverzichtbar! (PDF | ET 29.06.2018)

Kompendium herunterladen »

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376769 / Endpoint)