rvlsoft - Fotolia

Endpoint Security: Sicherheit bis zum letzten Endgerät

Viele Security-Strategien gehen vom Endpunkt aus. Stefan Volmari von Citrix zeigt, worauf es bei der Endpoint Security ankommt.

IT-Security-Maßnahmen orientieren sich häufig an den Endpunkten und Anwendern im Unternehmen. Doch das Verhalten der Nutzer, schlecht verwaltete Netzwerke und nicht zuletzt die mangelhafte Transparenz bei den Endgeräten schmälern das Vertrauen in die Sicherheit von Endpoints.

Daten werden auf einer Vielzahl von Geräten eingegeben, angezeigt und gespeichert. Gerade deshalb ist Endpoint Security ein akutes Anliegen für jede IT-Abteilung. Das Problem: die Vielzahl der zu verwaltenden Endpoints sowie die schwer kontrollierbaren eigenen Geräte von Mitarbeitern, Lieferanten und externen Partnern. Doch die IT-Abteilung muss mehr beachten als nur die Geräte selbst. Im Zusammenhang mit der Endpoint Security zählt jeder einzelne Layer. Egal ob Betriebssystem, Applikationen, Netzwerke, Dienste, Konfigurationen oder Patch-Levels: Nur wenn alles gemeinsam berücksichtig wird, können die Sicherheitsrisiken gemindert werden.

Eines der geringsten Vertrauenslevel hat beispielsweise ein privater Computer im eigenen Zuhause. Der Rechner wird typischerweise von jedem Familienmitglied verwendet und nicht regelmäßig mit Updates versorgt. Hinzu kommt, dass solche Rechner oft nicht mit einer Firewall sowie mit unzureichender Sicherheitssoftware ausgestattet sind, während gleichzeitig aber fragwürdige Filesharing-Dienste genutzt werden oder der Computer unbekannterweise gar Teil eines Botnetzes ist. Und trotzdem greifen viele Anwender mit entsprechenden Computern auf ihren firmeneigenen E-Mail- und Social-Media-Account zu.

Den höchsten Grad an Vertrauen genießen dagegen sorgsam konfigurierte und kontinuierlich gewartete Systeme wie etwa Rechenzentren. Hier verlassen Komponenten wie Hardware, Arbeitsspeicher und Festplatte niemals ihren Platz und werden nach Ende ihres Lebenszyklus vorsorglich vernichtet. Hinzu kommen Vorkehrungen wie ein Faraday’scher Käfig und schalldämmende Maßnahmen. Als zusätzliche Sicherheitsmaßnahme sind sie teils sogar in Bunkern untergebracht, etwa in der Filmindustrie oder bei Sicherheitsbehörden.

Die meisten Unternehmen befinden sich im Umgang mit ihren Devices irgendwo zwischen diesen beiden Extremen. Hohe Sicherheitsstandards sind durchaus möglich, bislang aber nicht auf allen Geräten in jeder Situation verfügbar. Für den Zugriff auf firmeninterne Daten von mobilen Geräten aus sollte allerdings ein Mindestmaß an Sicherheit existieren.

Endpoint Security verbessern

Um Malware, einschließlich Keylogger und Programme zum heimlichen Aufnehmen des Bildschirms, erfolgreich abzuwehren, stehen Unternehmen verschiedene Möglichkeiten zur Verfügung:

  • Mit Endpoint Analysis (EPA) sollten Firmen prüfen, ob ein genutztes Betriebssystem auf dem neuesten Stand ist oder ob Patches und Updates notwendig sind.
  • EPA-Scans müssen verifizieren, dass eine unterstützte Antimalware-Software vorhanden ist und aktuell gehalten wird. Das gleiche gilt für die Firewall, die ebenfalls Enterprise-Standards entsprechen muss.
  • Mobile Geräte dürfen nicht von Jailbreaks betroffen oder gerootet sein.
  • Zusätzlicher Schutz von Mobilgeräten lässt sich durch einen verifizierten Boot-Status erreichen. Des Weiteren ist es ratsam, Android im SE Linux Enforcing Modus zu betreiben und auch dort eine Antimalware-Software zu installieren.
  • Virtualisierungsprogramme unterstützen dabei, sensible Daten vor direkten Endpoint–Zugriffen fernzuhalten. Hier sind Policies für virtuelle Channels wichtig, um das Drucken, den Austausch von Informationen zwischen Apps sowie das Nutzen von Mikrofon und Clipboard zu unterbinden.
  • Thin Clients, Zero Clients und Chromebooks minimieren die Endpoint-Footprints und vereinfachen das Aufspielen von Upgrades, Patches und Validierungen.
  • Für den mobilen Einsatz sollten vom Unternehmen bereitgestellte und gemanagte Geräte verwendet werden, falls ein gewisses Maß an Sicherheit und TPM-Hardware (Trusted Platform Module) benötigt werden.
  • Der E-Mail-Zugang sollte sich durch Applikations-Virtualisierung einschränken lassen. Für Mobile-User ist die Verwendung von Containern via Mobile Application Management (MAM) ratsam.
  • Es empfiehlt sich, eine Zwei-Schritt- oder Multi-Faktor-Authentifizierungen (MFA) zu nutzen, um das Abgreifen von Anmeldedaten zu erschweren.

Datendieben die Arbeit erschweren

Ein einfacher Screenshot reicht oftmals schon aus, um ohne große Probleme an wertvolle Informationen zu gelangen. Darüber hinaus bestehen zahlreiche andere Mittel und Wege, womit Datendiebe versuchen, ihr Ziel zu erreichen: Malware, versteckte Software zum Aufzeichnen des Bildschirms, Screenshots von mobilen Geräten – selbst vor dem Kopieren eines iPad-Bildschirms per Scanner schrecken sie nicht zurück. Kriminelle entwickeln hier eine große Kreativität, weshalb es das Ziel von Unternehmenssoftware sein sollte, Datendieben einen Schritt voraus zu sein und ihnen mit gleichwertigen Sicherheitsmaßnahmen auf Augenhöhe zu begegnen.

Egal, ob es um das umfassende Abschöpfen von Daten oder das unrechtmäßiges Erfassen von Informationen auf Bildschirmen geht: Das folgende Szenario aus einem Heimarbeitsplatz nennt ebenso einfache wie effiziente Sicherheitsmaßnahmen für Unternehmen.

Sensible Daten im Home Office

Angenommen, eine Call-Center-Mitarbeiterin befindet sich im Home Office und führt ein Gespräch mit einem wichtigen Kunden. Aus Gründen der Sicherheit ist die Call-Center-Applikation virtualisiert und lässt sich nur über einen Remote-Zugang nutzen. So bleiben sensible Daten vom Endpoint unberührt. Zudem sollte verlangt werden, dass sich Personen von außerhalb mittels Personally Identifiable Information (PII) – wie Kartennummer oder Ausweisdaten – im System anmelden. So wird von vornherein vermieden, dass unberechtigte Personen auf die Software, respektive Daten, zugreifen können.

Risikogerecht agieren

Für zusätzlichen Schutz können einige der weiter oben aufgeführten Sicherheitsmaßnahmen herangezogen werden. Sensible Daten lassen sich zudem wesentlich besser schützen, wenn Fingerabdruck-Scanner oder Software für das Tippverhalten zum Einsatz kommen. Manchmal aber sind Daten so sensibel und wichtig, dass es besser ist, diese gar nicht erst anzuzeigen. Hier helfen Tokens, Schwärzen, Wasserzeichen und kontextbezogene Policies, in denen festgelegt wurde, unter welchen Umständen sich bestimmte Applikationen und Daten aufrufen und verwenden lassen.

Im Hinblick auf die Nutzererfahrung ist es nicht immer empfehlenswert, den höchsten Grad an Sicherheit für alle Daten und Situationen zu implementieren. Das höchste Security-Level sollte ausschließlich beim größten Risiko-Level greifen. Folgende vier Fragen helfen dabei herauszufinden, wie Security-Risiken einzuschätzen sind:

  • Existieren Applikationen, die zu sensibel sind, um außerhalb des Büros verwendet zu werden oder starke lokale Kontrollen benötigen?
  • Auf welche Daten brauchen Mitarbeiter Zugriff, ohne dass die Informationen auf dem Gerät selbst vorliegen – etwa für Außendienstmitarbeiter?
  • Welche externen Mitarbeiter arbeiten mit sensiblen Unternehmensdaten?
  • Sind Policies aktuell, um für aktuelle Risikofälle und Arbeitssituationen gerüstet zu sein?

„Egal ob Betriebssystem, Applikationen, Netzwerke, Dienste, Konfigurationen oder Patch-Levels: Nur wenn alles gemeinsam berücksichtig wird, können die Sicherheitsrisiken gemindert werden.“

Stefan Volmari,  Citrix

Ein primäres Sicherheitsziel für IT-Verantwortliche ist es, die Abhängigkeit von Endpoint Security mit der Zeit zu reduzieren. Das geschieht durch ein stärkeres Sicherheitsniveau und durchgehender Transparenz beim Umgang mit Endpoints. Doch je vielfältiger Endpoints aufgrund von Enterprise-Mobility und dem Internet der Dinge werden, desto umfangreicher müssen die Maßnahmen ausfallen, um die Risiken für sensible Daten zu minimieren.

Policies müssen so konzipiert sein, dass zunächst alle Personen als nicht vertrauenswürdige Außenstehende betrachtet werden. Darüber hinaus gilt es, situationsabhängige Risiken abzudecken. Endnutzer und Unternehmen können mittels dynamischer Zuordnung und Verifizierungen wie auch automatisierten Zugängen zu Applikationen und Daten feststellen, ob sich ein Endpoint als vertrauenswürdig erweist. Dadurch lässt sich die Sicherheit erheblich steigern.

Über den Autor:
Stefan Volmari ist Director Systems Engineering Central & Eastern Europe bei Citrix.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close