:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit ist Pflicht Mit Windows 11 auf Nummer sicher gehen?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Wenn es nach Microsoft geht, wäre „der PC von gestern“ Geschichte. Mit Windows 11 will der Anbieter eine neue Ära der Cybersicherheit einläuten. Es war mal an der Zeit, einen Gang höher zu schalten. Es könnte jetzt sogar geklappt haben.
Teure Raubüberfälle, heimtückische Trojaner, vernichtende Viren, hinterhältige Supply-Chain-Machenschaften, Botnet-Hijacking für DDoS-Attacken… Ist das mit Windows 11 jetzt alles wirklich Schnee von gestern?
Microsoft hat mit den Chip-Herstellern Intel, AMD und Qualcomm fieberhaft dahingehend zusammengearbeitet. Sicherheitsvorkehrungen in Windows 11 bilden erstmals ein ganzheitliches, systemumfassendes Sicherheitskonzept. Kompatible Komponenten verlassen die Fertigungslinien bereits mit aktivierten Schutzmechanismen und der Benutzer kann sie nicht mehr selbst deaktivieren.
Die Sicherheitsfeatures in Windows 11 sind derart folgenschwer und tiefgreifend, dass sich Microsoft entschieden hat, die Markteinführung in Phasen umzusetzen. Einige Nutzer qualifizierter Hardware haben das System bereits am Laufen, andere sollen es in den kommenden Monaten erhalten, sobald Redmond den Segen – ganz individuell – erteilt haben wird. Microsoft spricht hierbei von einem „phased rollout“.
Wer es eilig hat, kann auf eigenes Risiko die automatische Aktualisierung umgehen und an der Windows-Installation selbst Hand anlegen, sofern die betroffene Hardware die Mindestvoraussetzungen dafür erfüllen kann. In einigen Fällen sind Anpassungen an der UEFI-Konfiguration des Motherboards erforderlich (mehr dazu weiter unten).
Hardwaregestützte Sicherheitsfeatures in Windows 11 erzwingen strenge Mindestanforderungen. Schätzungsweise erfüllt sie heute mit Glück gerade einmal jede zweite Unternehmens-Workstation. Insgesamt qualifizieren sich für den Upgrade nur 40 Prozent der 1,3 Milliarden PCs, die Windows 10 ausführen.
Tipp: Kompatibilität überprüfen
Ein kleines Tool von Microsoft namens „PC Health Check“ (verfügbar in den Einstellungen des Systems oder über einen direkten Download-Link) kann eine vorläufige Aussage darüber treffen, ob sich die betreffende Hardwarekonfiguration für Windows 11 qualifiziert und was der Nutzer daran ggf. ändern kann.
Zero-trust-ready
Bei den Systemanforderungen von Windows ging es typischerweise fast ausschließlich um die erforderliche Leistung. In Windows 11 gibt es zwar immer noch leistungsbezogene Voraussetzungen – mindestens zwei CPU-Kerne in 64 Bit mit einer Taktfrequenz von 1GHz oder ein SoC, 4GB RAM und 64 GB Datenspeicher – doch sie reichen nicht aus, um die Kompatibilität zu gewährleisten. Die Hardware muss zusätzlich die von Microsoft vorgeschriebenen Sicherheitsfeatures mitbringen.
Die Liste der kompatiblen CPUs beschränkt sich auf Intel Core ab der achten Generation, AMD ab Zen 2 sowie einige Snapdragon-Chips von Qualcomm. Nach dem Einbau in die Hauptplatine wacht die CPU über die Sicherheit und Integrität des Gesamtsystems. In gewöhnlichen PCs war es die Firmware.
Das Motherboard muss zwingend TPM 2.0 (Trusted Platform Module in der Version 2.0) und SLAT (Second Level Address Translation) unterstützen. Bei SLAT handelt es sich um eine Technologie der Hardwarevirtualisierung, welche den Hypervisor entlasten soll (Intel VT-X2 mit Extended Page Tables oder AMD-v mit Rapid Virtualization Indexing).
Außerdem muss das Motherboard über eine UEFI-Schnittstelle (Unified Extensible Firmware Interface) verfügen. Secure Boot ist Pflicht. Secure Boot erzwingt zum Booten ein signiertes Betriebssystem.
Tipp: Aktivieren von TPM und Secure-Boot
Auf kompatiblen UEFI-Motherboards lassen sich TPM und Secure Boot in den UEFI-Einstellungen aktivieren. Um UEFI-Einstellungen zu laden, muss man beim Neustart des PCs die UEFI-Taste drücken. Um welche Taste es sich handelt, hängt von dem Motherboard-Anbieter ab. Ein entsprechender Hinweis wird nach der POST-Diagnose (Power-On Self-Test)) angezeigt, bevor das Windows-Logo lädt. Wo sich die benötigte Einstellung befindet, ist anbieterabhängig. Die geänderten UEFI-Einstellungen muss man unbedingt speichern, was einen Neustart auslöst. Einige Boards wie Asus ROG Rampage VI Extreme Encore verfügen über zwei UEFI-Chips; die Einstellung muss man für jeden Chip einzeln vornehmen. Zum Umschalten zwischen den beiden Chips dient eine Taste auf dem Motherboard.
Tipp: Secure-Boot-Aktivierung überprüfen
Mit dem PowerShell-cmdlet lässt sich ermitteln, ob Secure-Boot bereits aktiviert ist, und zwar:
Confirm-SecureBootUEFIDer Aufruf der PowerShell muss mit Administrator-Privilegien erfolgen. Der Befehl funktioniert nur auf einem UEFI-Computer. Der Rückgabewert true bestätigt, dass das Aktivieren von Secure-Boot geklappt hat.
Tipp: TPM-Aktivierung überprüfen
Um die TPM-Aktivierung zu überprüfen, kann man den TPM-Chip unter Windows auslesen. Hierzu drückt man die Tastenkombination Windows+R und ruft mit dem Befehl „tpm.msc“
die Anwendung Trusted Platform Module (TPM) Management auf. Die Meldung, ein TPM-Chip sei nicht vorhanden, ist jedoch gelegentlich unzutreffend, denn der Chip kann vorhanden, aber deaktiviert sein. Alternativ hilft in der Eingabeaufforderung der Befehl:
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsloder in der PowerShell:
Get-TpmEinige Motherboards haben einen Steckplatz, in den man einen kompatiblen TPM-Chip nachrüsten kann, doch das ist eher die Ausnahme. Wenn das UEFI keine Möglichkeit zur Aktivierung bietet, muss das betreffende Motherboard außen vor bleiben.
Vertrauenskette
Den Grundpfeiler des Sicherheitskonzeptes in Windows 11 bildet eine Technologie namens VBS (Virtualization-Based Security).
TPM-Hardware sichert kryptografische Schlüssel für BitLocker und andere sicherheitskritische Informationen. Der Chip führt diverse kryptografische Vorgänge aus und ermöglicht unter anderem die Hardware-basierte Authentifizierung und die Funktionalität von Windows Defender System Guard. Auch der Secure-Boot-Vorgang („Sicherer Start“) in Windows 11 nutzt den TPM-Chip. UEFI-gestütztes Secure-Boot schafft Abhilfe bei Ransomware wie beispielsweise NotPetya, die sich vor dem Boot-Vorgang im System einnistet.
TPM 2.0 und VBS bilden gemeinsam den Unterbau für eine Vorrichtung namens „hardware root of trust“, welche die Schlüssel für kryptografische Funktionen aufbewahrt und den abgesicherten Startvorgang ermöglicht, von dem sich dann die Vertrauenskette des Systems ableitet.
Der abgesicherte Startvorgang geht im Erfolgsfalle in den sogenannten vertrauenswürdigen Start ("Trusted Boot") über. Im Rahmen eines weiteren Ablaufs namens kontrollierter Start ("Measured Boot") fragt das System ggf. bei Microsoft-Servern nach, ob der Bootvorgang fortgesetzt werden darf.
Die Hardware-gestützte Root-of-Trust-Technologie soll das Auftreten von Sicherheitslücken wie PrintNightmare (2021) verhindern. Hierbei handelt es sich um eine Verwundbarkeit des Windows Print Spoolers, die es jedem authentifizierten (ob lokalem oder entferntem) Akteur ermöglichen kann, beliebigen Code mit SYSTEM-Berechtigungen auszuführen. Mit Windows 11 kann es nicht mehr passieren.
Tipp: Den TPM-Chip zurücksetzen
Wer einen PC oder ein Motherboard kauft, wäre gut beraten, den Inhalt des TPM-Chips zurückzusetzen, besonders im Falle von gebrauchten Geräten. Ein Eintrag für den TPM-Chip erscheint im Device Manager (devmgmt.msc) unter „Security Devices“ (das Anzeigen unsichtbarer Geräte gelingt ggf. mittels „View > Show hidden devices“, außer wenn sie „ghosted“ sind). In der Anzeige der Eigenschaften des TPM-Chips ist es möglich, den Inhalt des TPM-Chips zu löschen („Clear TPM“).
Secured-core PC und die „angeborene“ Cyber-Immunität
Mit dem Konzept eines „secured-core PC“ möchte Microsoft anhaltenden Bedrohungen auf allen Ebenen des Systems Einhalt gebieten.
Windows 11 läuft auf einem Hypervisor, um die Erstellung von abgesicherten Bereichen des Arbeitsspeichers durch Hardware-gestützte Isolation zu ermöglichen. Diese Isolation kann etwa Prozesse wie den Webbrowser von anderen Anwendungen oder Funktionen des Betriebssystems abschotten.
Auf dem Unterbau von VBS hat Microsoft eine Vielzahl sehr interessanter Sicherheitsfeatures aufgebaut. Einige davon debütierten bereits in der Vorgängerversion; jetzt sind sie nicht mehr optional.
Zu den interessantesten technologischen Errungenschaften von Microsoft in Windows 11 zählen:
- Schutz für Daten der Kernel-Ebene (Kernel Data Protection): VBS kennzeichnet einen Teil des Kernel-Speichers als schreibgeschützt, um seinen Inhalt vor Manipulationen zu schützen;
- Hypervisor-gestützte Code-Absicherung (kurz: HVCI für Hypervisor-Protected Code Integrity): Hierbei handelt es sich um einen Mechanismus zur Durchführung von Code-Integritätsprüfungen in einer isolierten Umgebung; HVCI soll Ransomware eindämmen können, die Kernel-Treiber missbraucht (Malware wie Trickbot geht jetzt leer aus);
- Microsoft Defender Application Guard: Hierbei handelt es sich um eine Sandbox für Microsofts Browser Edge und Microsoft Office; sie macht sich die Virtualisierung zu Nutze, um nicht vertrauenswürdige Websites und Office-Dokumente zwecks Schadensbegrenzung zu isolieren;
- Credential Guard: Dieses Feature erzwingt die Durchsetzung der Sicherheitspolicy, indem es LSASS (den Local Security Authority Subsystem Service) in einem Container ausführt, der potenzielle Angreifer daran hindern soll, Anmeldedaten auszulesen und für Pass-the-Hash-Angriffe zu missbrauchen;
- Windows Hello Enhanced Sign-In: VBS isoliert biometrische Software und schafft sichere Pfade zu externen Komponenten wie der Kamera und dem TPM (Trusted Platform Module).
Einige dieser Features wurden bereits in Windows 10 eingeführt. Jetzt sind sie immer automatisch aktiviert.
Während des Boot-Vorgangs prüft System Guard die Integrität des Systems und ruft im Problemfall eine Software wie Intune oder Microsoft Endpoint Configuration Manager auf, um dem Gerät ggf. den Netzwerkzugriff zu verweigern.
Microsoft zeigt sich zuversichtlich, dass die meisten Unternehmen spätestens bis Oktober 2025 auf kompatible Hardware umgestiegen sein dürften, und will die Patches für Windows 10 zu diesem Zeitpunkt einstellen.
Windows 11 „reift“ inzwischen wie eine Banane bei jenen Endanwendern, deren PCs in den Genuss der Aktualisierung kommen konnten. Microsoft hat auch schon den einen oder anderen Bug im Blitztempo behoben.
Fazit
In Windows 11 macht Microsoft viel neu und anders. Mit dem Versprechen einer dem PC nun angeborenen Cyber-Immunität dürfen die Nutzer endlich etwas aufatmen. Doch es wäre noch voreilig, einen Sieg über die dunkle Seite des Cyberspaces zu feiern. Der Ball ist jetzt auf der Gegenseite. Schaun 'mer mal.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
(ID:48172897)
:quality(80)/p7i.vogel.de/wcms/27/c8/27c894a6b735f36217026e68d68b4a32/0112931765.jpeg "Admins, die ihre Arbeitsstationen und Management-Arbeitsplätze gut abgesichert haben, haben auch gut lachen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/a6/50a6070b15ddd2298bb23f34225b35f1/0111452944.jpeg "Windows 11 22H2 und Windows Server vNext bekommen eine ganze Reihe neuer Sicherheitsfunktionen, zum Schutz gegen Phishing, Ransomware, nicht vertrauenswürdiger Apps und Passwortdiebstahl. (Bild: greenbutterfly - stock.adobe.com)")