Tatort Endpunkt : Ohne Cyber-Hygiene und Visibilität droht Kontrollverlust
Heutige IT-Landschaften sind komplex, verteilt und längst der Kontrolle etlicher Organisationen entglitten. Umso wichtiger wird es, die beteiligten Endpunkte sorgsam zu erfassenund dort zumindest grundlegende Maßnahmen umzusetzen – nicht zuletzt, um eigeneAssets und schutzwürdige Belange Dritter zu sichern sowie Bußgelder für Complianceverstöße zu vermeiden.
Mangelnde Cyber-Hygiene ist in vielen Fällen der Grund für gravierende Sicherheits- und Datenschutzverletzungen. Dabei ist unter Cyber-Hygiene die Einhaltung grundlegender Richtlinien und Verhaltensanweisungen zu verstehen, die für die IT-Sicherheit einer Infrastruktur unverzichtbar sind – beispielsweise regelmäßige Softwareupdates, Vorsicht bei verdächtigen Links oder Dateianhängen et cetera. Doch auch Visibilitätsprobleme begünstigen Cyberattacken und erschweren es, Compliance-Anforderungen, etwa der europäischen Datenschutzgrundverordnung (DSGVO), einzuhalten. Denn in vielen Fällen haben IT- und Sicherheitsteams keinen Überblick über die zahlreichen Endpunkte, die es zu schützen gilt. Auch bei kleinen und mittelständischen Unternehmen (KMU) sollte daher ein wirksames Endpoint-Management im Fokus stehen.
Wie geschäftskritisch die Endpoint-Security ist, belegt unter anderem das Microsoft-Whitepaper „Endpoint Security 2022“ [1], aus dem hervorgeht, dass die Gefahr entsprechender Angriffe auf Unternehmen im DACH-Markt zuletzt stark gestiegen ist: So berichtet etwa gut jeder zweite Studienteilnehmer eine Zunahme von Attacken auf Endgeräte, seit dezentrale Arbeitsmodelle zur neuen Realität gehören. In der Tat macht es der „New Way of Work“ schwieriger, den Überblick über alle Geräte in den nunmehr stark fragmentierten Netzwerken und Cloud-Umgebungen zu behalten. So kommt es, dass viele Endgeräte ungepatcht bleiben oder falsch konfiguriert werden, wodurch sich natürlich die Angriffsfläche vergrößert (vgl. S. 48).
Für Unternehmen ist es von entscheidender Bedeutung, dieses Gefährdungspotenzial einschätzen zu können. Hierfür benötigen sie maximale Transparenz und Kontrolle über ihre Endpunkte, sodass sich Bedrohungen zeitig erkennen und schließlich auch beheben lassen. Tools allein sind jedoch nur die halbe Miete: IT-Verantwortliche sollten sich dessen bewusst sein, dass die Aufrechterhaltung und Sicherung von Unternehmensnetzwerken sowohl von den richtigen Werkzeugen als auch von den besten Hygienepraktiken abhängen. Die Endpunkthygiene ist ein essenzieller Bestandteil der Unternehmenssicherheit und Systemverwaltung.
Probleme am Endpoint
Die Verbesserung dieser Endpunkthygiene steht und fällt mit der kontinuierlichen Identifizierung von Vermögenswerten, Risiken und Schwachstellen sowie einer raschen und umfassenden Behebung möglicher Probleme. Je größer und komplexer die IT-Umgebungen allerdings werden, desto größer ist auch die Vielfalt an Geräten und Arbeitslasten – Anforderungen, unter denen die Endpunkthygiene häufig leidet. Eine Möglichkeit, diesem Trend der immer stärker diversifizierten und zunehmend in Silos fragmentierten IT-Infrastruktur Herr zu werden, ist der Einsatz sogenannter Converged-Endpoint-Management-Lösungen (XEM), die darauf spezialisiert sind, ein heterogenes IT-Umfeld zu konsolidieren und als Rückgrat des IT-Managements zu fungieren.
Wir haben stürmische Zeiten für CISOs – unabhängig davon, ob sie Netzwerke im öffentlichen oder privaten Sektor verwalten: Remote-Mitarbeiter greifen heute von überall aus und mit ganz unterschiedlichen Endgeräten auf die IT-Umgebung einer Organisation mit all ihren Ressourcen zu. Doch woher wissen IT-Verantwortliche, dass es sich bei demjenigen, der Zugriff erbittet, wirklich um den vorgeblichen Nutzer handelt? Oder ob das genutzte System ein ordnungsgemäß gepatchter und konfigurierter Endpunkt ist? Da sich die IT-Umgebung in großem Maße ausweitet, ist es wichtiger denn je, einen vollständigen Überblick über alle Endgeräte zu erhalten – denn man kann nur schützen, was man kennt. Die Identifizierung und Inventarisierung der Endgeräte ist daher die Grundlage für die Endpunkthygiene.
Um wirklich alle ihre Endpunkte verwalten zu können, müssen sich IT-Verantwortliche folgende Fragen stellen:
- Welche Geräte befinden sich im Netzwerk und wo befinden sie sich?
- Welche Software wird von diesen Geräten genutzt und ist diese lizenziert?
- In welchem Verhältnis stehen die Geräte im Netzwerk zueinander und welchem Zweck dienen sie?
Die Herausforderung dabei: Netzwerk-Assets sind stetigen Veränderungen unterworfen – und bisweilen tauchen Geräte auch nur gelegentlich im Netzwerk auf. Mit dem Trend hin zu neuen, dezentralen Arbeitsmodellen steigt die Komplexität weiter.
Rechtliche Konsequenzen
Cyberkriminelle werden immer besser darin, Schwachstellen ausfindig zu machen und Fehlkonfigurationen auszunutzen – noch bevor betroffene IT-Teams davon erfahren. Gleichzeitig erhöhen die Behörden den Druck auf Unternehmen, die rechtlichen Rahmenbedingungen einzuhalten. Wird ein Vermögenswert nicht erkannt, lässt er sich nicht sichern – so gibt es eventuell auch Angriffsvektoren, von denen die Beteiligten keine Kenntnis besitzen.
Nicht jeder Endpunkt ist ein Desktop-Computer, Laptop, Smartphone oder Server: Neben Druckern oder Telefonen sind auch Geräte aus dem „Internet der Dinge“ zu berücksichtigen – beispielsweise könnte ein „smarter“, mit Malware infizierter Kühlschrank das Heimnetzwerk eines Remote-Mitarbeiters scannen und versuchen, ein beruflich genutztes Gerät zu infiltrieren, das sich vorübergehend im Unternehmensnetzwerk befindet.
Das bedeutet: Auch alle temporär im Netzwerk befindlichen privaten Geräte sind potenzielle Sicherheitslücken! Daher benötigen Unternehmen Richtlinien und Verfahren, um die Endgeräte in drei Kategorien einzuteilen: verwaltet, nicht verwaltet und nicht verwaltbar. Diese Kategorisierung ist der Ausgangspunkt der Endpunkthygiene.
Ein weiterer wichtiger Faktor, der bedacht werden muss, ist der Umgang mit sensiblen, geschäftskritischen beziehungsweise personenbezogenen Daten. Wissen IT-Verantwortliche stets, wo diese Daten gespeichert sind? Wenn nicht, können sie die Einhaltung der Datenschutzrichtlinien nicht nachweisen, sodass Sanktionen seitens der Behörden drohen (im Falle der DSGVO etwa bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes) – ganz zu schweigen von unzufriedenen Kunden und drohendem Reputationsverlust.
Wildwuchs und Intransparenz
Für Unternehmen steht immer mehr auf dem Spiel: Ransomware-Attacken, Datenschutzverletzungen und ein Höchstmaß an finanziellen und rufschädigenden Risiken bringen IT-Verantwortliche an ihre Grenzen. Gleichzeitig ist die Lage auf dem Arbeitsmarkt äußerst prekär: Vielerorts haben Unternehmen Schwierigkeiten, die für die Erhaltung der Unternehmenssicherheit erforderlichen Fachkräfte zu akquirieren.
Hinzu kommt, dass eine Strategie der Insellösungen die Transparenzlücken nochmals verschlimmert und Richtlinien zur Cyberhygiene unter diesen Voraussetzungen nur schwierig umzusetzen sind. Mit veralteten Tools haben es die Security-Teams außerdem besonders schwer, den Anforderungen moderner IT-Landschaften gerecht zu werden. Dennoch halten viele Unternehmen an den Werkzeugen fest, mit denen sie vertraut sind – selbst dann, wenn sie nicht einfach zu managen sind. Die unbeabsichtigte und unglückliche Folge davon sind IT-Richtlinien und Prozesse, die nicht deshalb entwickelt wurden, weil sie die beste Lösung für ein dezidiertes Problem darstellen, sondern weil sie mit den verwendeten Tools kompatibel sind.
Die besten IT-Richtlinien sollten jedoch toolunabhängig „funktionieren“! Toolsets für die Unternehmenssicherheit müssen daher standardisiert und konsolidiert werden. Und sie müssen so konzipiert sein, dass sie Lücken mithilfe von Echtzeitdaten aufdecken – alles andere würde IT-Teams weiter im Dunkeln tappen lassen.
Abbildung 1: Beobachtungen über die Zunahme von Attacken auf Endgeräte
Abwehr am Endpunkt
Das Herzstück einer jeden guten Strategie zum Management von Cyberrisiken ist das Schwachstellen- und Konfigurationsmanagement. Damit das zuverlässig funktionieren kann, sollte man die folgenden Punkte beachten:
Prioritäten setzen
Wie bereits erwähnt, macht es das exponentielle Wachstum der Unternehmens-Endgeräte nahezu unmöglich, alle Probleme sofort zu beheben. Aus diesem Grund ist eine effektive Priorisierung wichtig. Zunächst muss es darum gehen, die Kritikalität von IT-Ressourcen – wie Laptops, Server, virtuelle Maschinen, Container und andere Endpunkttypen – zu bestimmen. Die Ergebnisse dieser Bewertung dienen dann dazu, Maßnahmen auf Grundlage der Kritikalität von Ressourcen und Schwachstellen zu priorisieren, um eine kontinuierliche Sichtbarkeit und Überwachung sicherstellen zu können.
Maßnahmen zur Beseitigung von Bedrohungen
Die rechtzeitige Behebung von Schwachstellen ist absolut geschäftskritisch, gerade vor dem Hintergrund der vielfältigen Möglichkeiten automatisierter Angriffe, wodurch sich Sicherheitslücken einfacher und schneller ausnutzen lassen.
Viele Sicherheitsteams führen zwar häufige Scans durch und wissen auch um ihre Schwachstellen – deren Behebung ist jedoch in vielen Fällen weitaus komplizierter. Selbst große IT-Teams können angesichts der großen Zahl zu verwaltender Endpunkte schnell überfordert sein! Ein hoher Grad an Automatisierung kann dabei helfen, dass dieser Prozess reibungslos funktioniert. Besteht Anlass zur Sorge, dass automatisierte Patches kritische Systeme beschädigen könnten, sollten zudem sekundäre Bewertungsprozesse in automatisierte Arbeitsabläufe eingebaut werden: Diese prüfen, inwiefern mit den Patches selbst Risiken verbunden sind.
Überprüfung der Effektivität eingesetzter Maßnahmen
Erst ein Verständnis der Geschwindigkeit und des Erfolgs eingesetzter Maßnahmen gibt Aufschluss über die Effektivität des Schwachstellenmanagements. In der Verifizierungsphase ist daher nicht nur zu überprüfen, ob die erforderlichen Änderungen vorgenommen wurden, sondern es gilt auch, Leistungskennzahlen auszuwerten! Auf dieser Basis lässt sich feststellen, wie schnell Probleme erkannt und behoben werden können und ob die eigenen Service-Level-Agreements (SLAs) eingehalten wurden. Detaillierte Daten ermöglichen dabei eine kontinuierliche Verbesserung.
Bedeutung der Automatisierung
Würde man das Schwachstellenmanagement ganzheitlich automatisieren, ließen sich manuelle Fehler sowie Cyberrisiken reduzieren und die Zeitspanne bis zur Behebung von Schwachstellen könnte verkürzt werden, sodass den Mitarbeitern mehr Zeit für andere Aufgaben bliebe. Allerdings präferieren einige Organisationen immer noch ein manuelles Handling, speziell wenn es um Prüfungen, Genehmigungen oder Validierungen geht – hierzu gehört beispielsweise die Analyse von Kennzahlen in der Evaluierungsphase. Eine stetige Überprüfung des möglichen Automatisierungsgrads lohnt sich aber immer!
Veränderungen Schritt für Schritt angehen
Eines der größten Hindernisse bei der Modernisierung des Schwachstellenmanagements sind die Mitarbeiter beziehungsweise die Unternehmenskultur: Sicherlich, wer einmal einen Produktionsausfall durch automatisierte Prozesse zu verantworten hatte, wird sich schwertun, ein Befürworter der Automatisierung zu werden – andere fürchten vielleicht, dass ihre Arbeitsplätze gefährdet sind, wenn sie zur Behebung von Endpunktproblemen nicht mehr gebraucht werden.
Veränderungen können beängstigend sein, aber sie sind wichtig, um das Endpunktmanagement kontinuierlich zu optimieren! Führt man Veränderungen Schritt für Schritt ein, können auch Zweifler die Vorteile eines automatisierten Ansatzes für das Schwachstellenmanagement erkennen. Eine mögliche erste Maßnahme wäre beispielsweise die Automatisierung der Entdeckungs- und Bewertungsphasen: Ein automatischer Scan, der nach der Entdeckung einer neuen Schwachstelle ausgelöst wird, könnte etwa einen Prozess, der fünf Tage dauerte, auf fünf Minuten reduzieren. Geht es um die Implementierung automatischer Patches oder Software-Updates, empfiehlt es sich, diese zunächst in nicht-produktiven Umgebungen zu implementieren, um deren Geschwindigkeit und Effektivität zu belegen, bevor man sie in Produktionsumgebungen einsetzt.
Abbildung 2: Endpoint-Security ist ein wesentlicher Treiber von Netzwerk-Segmentierung
Kontinuierliche Scans zur effektiven Risikominimierung
Nicht selten konzentrieren sich Unternehmen auf die Einhaltung von Mindestanforderungen, ohne das große Ganze im Blick zu haben und sich vor Augen zu halten, dass ein effektives Schwachstellenmanagement geschäftskritisch ist. Das Durchführen von Endpunkt-Scans stellt nicht nur sicher, dass rechtliche Vorgaben erfüllt werden – es ist auch ein wichtiger Faktor einer ganzheitlichen Risikomanagement-Strategie! Kontinuierliche Scans dienen dazu, Probleme frühzeitig zu erkennen, zu priorisieren und zu beheben – und zwar sobald sie auftreten, nicht erst vor einem Audit. Hierbei ist es essenziell, die gesamte IT-Umgebung zu erfassen.
Unabdingbare Endpunkthygiene
Geht man nun davon aus, dass nicht wenige Unternehmen heute einige hunderttausend Endpunkte zu verwalten haben, wird klar, dass klassische Überwachungs-Tools dabei schnell an ihre Grenzen stoßen. Sie wurden schlichtweg nicht dafür konzipiert, Risiken aus der Ferne zu erkennen und die dabei identifizierten Schwachstellen rasch zu beheben – eine Anforderung, die Lösungen in heutigen dezentral angelegten IT-Umgebungen jedoch erfüllen müssen.
Da solche Tools in der Regel zudem als Insellösungen für ein bestimmtes Problem entworfen worden sind, kann es passieren, dass Unternehmen mehr Geld ausgeben, als sie eigentlich müssten, um alle aktuell erforderlichen Funktionen anbieten zu können. Erweiterte Werkzeuge zur Leistungsüberwachung, die Endpunktmanagement-Plattformen bisweilen bereitstellen, bieten demgegenüber einen umfassenderen Ansatz zur Identifizierung und Behebung von Sicherheitsproblemen in dynamischen, verteilten IT-Landschaften.
Erst eine automatisierte Patch-Verwaltung ermöglicht es Unternehmen, ihre Netzwerkumgebungen nach Geräten und Anwendungen mit fehlenden Updates zu durchsuchen, automatisch Patches herunterzuladen, die von Anwendungs-Anbietern freigegeben wurden, und andere Patches auf der Grundlage von Bereitstellungsrichtlinien zu verteilen. Wie bei allen automatisierten Verwaltungssystemen ist auch hier die Integrität des Patch-Systems stetig zu überwachen, um sicherzustellen, dass die Plattform nicht beschädigt wird.
Viele IT-Betriebsteams kämpfen außerdem mit den Kosten und der Komplexität der einheitlichen Verwaltung von Konfigurationsrichtlinien für hybride Systeme, die aus lokalen, dezentralen und Cloud-Architekturen bestehen. Fehlkonfigurationen und Konfigurationsabweichungen von den gewünschten Einstellungen können jedoch Datenschutzverletzungen und Cyberangriffen Tür und Tor öffnen! Klassische Konfigurationssysteme haben nicht selten Schwierigkeiten, die heutige Vielzahl über physische und digitale Standorte verteilter Endpunkte zu identifizieren und miteinander zu verbinden. Innovative Konfigurationsmanagement-Tools nutzen hingegen moderne Architekturen, um Endpunktumgebungen kontinuierlich auf Fehlkonfigurationen oder Richtlinienkonflikte zu überprüfen, die zu Sicherheitsverletzungen führen könnten. Sie stellen maßgeschneiderte Kontrollen für bestimmte Segmente einer Organisation bereit, ohne Tausende einzelner Bereiche manuell über – bisweilen schwer zu scannende – Verzeichnisse ansprechen zu müssen.
Unternehmen stehen unter erheblichem Druck, nicht nur ihre wachsende Zahl von Endgeräten zu verwalten, sondern auch die sensiblen Daten zu schützen, die diese Endgeräte sammeln – von den Sozialversicherungsnummern und Adressen der Kunden bis hin zum geistigen Eigentum eines Geschäftspartners. Ein DatenschutzManagement ermöglicht es, sensible Daten zu schützen und Datenschutzverletzungen zu beheben. Die besten Tools bewerten dazu die Auswirkungen technischer Änderungen auf den Datenschutz, gleichen IT-Aktivitäten mit Datenschutzbestimmungen ab und verfolgen Vorfälle, die zur unbefugten Weitergabe persönlicher Daten führen können. Fortschrittliche Lösungen für das Datenschutz-Management können heute bereits in der Regel Aufgaben wie das Auffinden sensibler Daten, die Automatisierung der Datenermittlung und -klärung, die Einhaltung von Datenschutzgesetzen und die Durchführung von Abhilfemaßnahmen übernehmen.
Fazit
Die meisten erfolgreichen Angriffe sind heute das Ergebnis von Routinefehlern: wenn etwa IT-Verantwortliche nicht wissen, welche Endgeräte mit dem Netzwerk verbunden sind, wenn Patch-Updates nicht konsequent und schnell überwacht und eingesetzt werden, wenn die richtigen Sicherheitskonfigurationen nicht vorgenommen werden oder Beteiligte nicht in der Lage sind, Sicherheitsverletzungen zügig zu erkennen und zu beheben, bevor sie den Geschäftsbetrieb beeinträchtigen können. Cyberkriminelle freuen sich über solche Fehltritte! Dabei sind diese Fehler meist ein Produkt der Komplexität und Dynamik moderner IT-Umgebungen. Wird die Vielzahl an Endpunkten im Unternehmensnetzwerk nicht regelmäßig und ordnungsgemäß gewartet, kann es zu Datenverlusten oder -verlagerungen, ungepatchter Software, veralteten Nutzerrechten und anderen Problemen kommen – so vergrößert sich die Angriffsfläche für Cyberbedrohungen kontinuierlich. Eine gute Endpunkt-Hygiene hilft dabei, diese Schwachpunkte zu reduzieren, indem man Risiken frühzeitig identifizieren kann und Mechanismen eingreifen, um diese zu beseitigen.
Zac Warren ist Chief Security Advisor EMEA bei Tanium.
Literatur
[1] Foundry (Hrsg.), Endpoint Security 2022, CIO-/CSO-/Computerwoche-Studie, https://info.microsoft.com/DEDAT-CNTNT-FY23-07Jul-20-Microsoft-Security-Whitepaper-Endpoint-Security-Study-2022-SRGCM7349_LP01-Registration—Form-in-Body.html (Microsoft-Whitepaper, Registrierung erforderlich) oder https://shop.computerwoche.de/portal/studie-endpoint-security-2022-pdfdownload-direkt-im-shop-10339 (kostenpflichtig)