agsandrew - Fotolia

So können Unternehmen die Endpoint Security verbessern

Wenn Maßnahmen wie DLP, NAC und sicheres Löschen zusammenwirken, lassen sich Daten auf Endgeräten wie auch das Unternehmensnetzwerk besser schützen.

Es existieren unterschiedliche Technologien, um einerseits die auf Endpunkten gespeicherten Daten zu schützen und andererseits das Netzwerk vor kompromittierten oder dafür anfälligen Geräten zu schützen. Wenn NAC (Network Access Control), DLP (Data Loss Prevention) und das sichere Löschen von Daten richtig zusammenwirken, kann dies sowohl den Schutz der Endgeräte als auch der Unternehmensdaten verbessern.

Was NAC leistet

Die Netzwerkzugriffskontrolle (NAC) ist eine Schlüsseltechnologie, wenn es um die Zugangskontrolle geht. Damit kann gewährleistet werden, dass jeder Endpunkt ein Minimum an Compliance erfüllt, bevor eine vollständige Verbindung zum Unternehmensnetzwerk hergestellt werden kann. So lässt sich die Verfügbarkeit der Netzwerkressourcen einschränken, die entsprechende Sicherheitsrichtlinien erfüllen. Endgeräte, die nicht den Richtlinien entsprechen, lassen sich dementsprechend sperren. Diese Vorgehensweise schützt im Zweifel nicht nur das Endgerät selbst vor Angriffen durch Malware, sondern verhindert auch, dass der Rest des Netzwerks gefährdet wird. NAC kann Benutzer- und Geräteprofile aus dem Active Directory beziehungsweise via LDAP nutzen.

Damit können Router, Switches und Firewalls sich verständigen, um festzustellen, wer oder was versucht eine Verbindung zum Netzwerk aufzubauen. Dementsprechend kann dann der jeweilige Zugriff gewährt werden. Diese abgestimmte Verteidigung mit Sicherheitskontrollen bietet einen besseren Schutz der Endpunkte, da die Informationen über Netzwerk- und Geräteverhalten gemeinsam genutzt werden können.

NAC-Lösungen können beispielsweise detaillierte Informationen über den Sicherheitsstatus eines Endpunkts liefern: Wurden alle notwendigen Patches installiert? Ist die Festplattenverschlüsselung aktiviert? Arbeitet die Host-basierte Firewall? Welche Ports sind offen? Mit der Klärung der entsprechenden Sachverhalte und weiteren kontextbezogenen Fähigkeiten kann während jeder Netzwerksitzung ein kontinuierlicher Schutz gewährleistet werden. Darüber hinaus lassen sich auch nicht-typische Endgeräte wie POS-Systeme (Point of Sale) oder Kiosklösungen beziehungsweise Datenerfassungssysteme, die eine Verbindung zum Netzwerk herstellen können, entsprechend einbinden. Natürlich ist es wichtig, dass dabei auch mobile Endgeräte über eine MDM-Lösung berücksichtigt werden.

Wofür sich DLP eignet

Während sich per NAC die Einhaltung von Richtlinien und der Zugriff auf Ressourcen durch Endpunkte kontrollieren lässt, kümmert sich DLP (Data Loss Prevention) um die Daten. Hierbei werden die Daten vor unbefugtem Zugriff oder der unbefugten Weitergabe geschützt. Das Kopieren oder Teilen von Daten, sei es durch Unvorsichtigkeit oder mutwillig, kann damit unterbunden werden.

DLP-Lösungen arbeiten in der Regel mit sehr granularen Filtern, um die Daten zu untersuchen und entsprechend klassifizieren zu können. Damit soll eine nicht autorisierte Nutzung der Daten verhindert werden. Dabei kann es sich um Kopieren, Drucken, Herunterladen, Freigeben oder das Übertragen von Daten handeln. So soll sichergestellt werden, dass sensible Daten nicht das Unternehmen verlassen.

Damit lässt sich ein Echtzeitschutz der Daten realisieren, wenn Nutzer automatisch gesperrt oder Geräte unter Quarantäne gestellt werden, sobald verdächtige Aktivitäten registriert werden. Verdächtige Aktivitäten können beispielsweise große Up- und Downloads sein, oder auch ungewöhnliche Login-Zeiten, zu denen Übertragungen stattfinden.

Bei DLP-Lösungen kann es sich um eigenständige, lokal zu installierende Produkte handeln, ebenso wie um Cloud-Angebote oder Bestandteile von Security-Suiten. Um dies auch auf mobile Endgeräte anzuwenden, ist in der Regel eine MDM-Lösung vonnöten. Diese können üblicherweise auch erzwingen, dass Daten auf den Endgeräten verschlüsselt werden.

Unabdingbar: Das sichere Löschen von Daten

Verschlüsselung sollte auf allen Endpunkten zum Einsatz kommen, aber je weniger sensible Daten auf einem Endgerät verbleiben, desto besser ist das in Sachen Sicherheit. Die Menge der Daten, die über Netzwerkendgeräte transferiert werden, war noch nie so groß wie aktuell. Dies erfordert es, dass für alle Geräte, die auch in der Lage sind, Daten zu speichern, Richtlinien hinsichtlich des sicheren Löschens dieser Daten existieren. Ein ordnungsgemäßes Löschen eines Laufwerks oder Flash-Speichers ist unabdingbar, beispielsweise bei Ausmusterung des Gerätes oder der Weitergabe für einen neuen Verwendungszweck. Normale Dateilöschbefehle der Betriebssysteme ändern ja in der Regel nur Verzeichniseinträge beziehungsweise Zeiger. Die tatsächlichen Daten lassen sich dann relativ einfach wiederherstellen.

Eine bessere Strategie in Sachen Endpoint Security beinhaltet auch, dass weniger vergessene Kopien von sensiblen Daten auf den Geräten verbleiben. Dies vermindert das Risiko, dass diese Daten das Unternehmen verlassen. Das Zusammenspiel von sicherem Datenlöschen, sowie der Einsatz von NAC- und DLP-Lösungen kann die Gesamtsicherheit der Endgeräte und damit auch der darauf befindlichen Daten elementar verbessern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sechs Kriterien für den Kauf von DLP-Produkten.

DLP-Produkte: Einsatzszenarien für Data Loss Prevention.

Network-Access-Control-Tools: Diese Tipps sollten Sie vor dem Kauf beachten.

Sichere Datenlöschung in der Cloud.

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close