Endpoint-Management und -Security: : Gemeinsam zur Resilienz

Von Daniel Döring, Frankfurt/Main

Um ein endloses Hase-und-Igel-Spiel mit Angreifern zu vermeiden, benötigen Unternehmen für die Cyber-Abwehr ein ganzheitliches und nachhaltiges Vorgehen, das tiefgreifende Widerstandsfähigkeit ermöglicht. Hier hat sich über die Jahre ein Konzept entwickelt, das sich an den – aus der Psychologie stammenden – Begriff Resilienz anlehnt: Mehrere Eckpfeiler sorgen für die notwendige Stabilität und fügen sich zu einer ganzheitlichen und in sämtlichen Systemen verankerten Strategie zum Schutz gegenüber Angriffen zusammen.

Bei der Umsetzung spielen Cyber-Security und Business-Continuity-Management (BCM) eine wichtige Rolle. Vor allem müssen Unified Endpoint-Management (UEM) und Security-Maßnahmen miteinander verzahnt werden, um die neuralgischen Endpunkte konsequent zu schützen und so Angriffe auf die IT effektiv zu verhindern – schließlich zielen rund 70 Prozent aller Angriffe auf den Endpoint ab. Und selbst wenn doch einmal eine Attacke auf Teile des Systems erfolgreich sein sollte, können Anwender idealerweise trotzdem weiterarbeiten und die Produktivität bleibt gesichert. Im Mittelpunkt einer Resilience-Strategie steht, sich schon frühzeitig auf Attacken und Events einzustellen und diesen entgegenzuwirken, bevor das Unternehmen in die Bredouille gerät.

Digitalisierungsschub

Gerade zeigt die Corona-Krise wieder einmal, wie wichtig Vorbereitung ist – überdies hat sie der Digitalisierung deutlich Schub verliehen: Viele Unternehmen, in deren Alltag das mobile Arbeiten noch nicht selbstverständlich integriert war, mussten nun rasch so viele Arbeitsplätze wie möglich aus dem Büro zu den Mitarbeitern nach Hause verlegen. Dabei waren einerseits die meisten privaten Geräte nicht auf einen professionellen Einsatz mit Zugang zum Firmennetzwerk vorbereitet – andererseits war es kaum möglich, in kürzester Zeit für alle Anwender Firmengeräte zur Verfügung zu stellen. Außerdem bietet eine VPN-Verbindung allein noch längst keinen hinreichenden Schutz vor Angriffen.

Aber auch abseits der rasant gestiegenen Zahl der Heimarbeitsplätze ist ein Umdenken in der IT-Security notwendig. Faktoren, die hier bestehende Probleme potenzieren können, sind etwa:

• Zunahme der Vernetzung durch den Einsatz von Cloud-Computing oder das Internet of Things (IoT)
• Zunahme mobiler Geräte
• Wunsch nach größtmöglicher Customer- und User-Experience
• Zunahme sensibler Daten

Gleichzeitig verschärfen sich Bedrohungen durch Legacy-Systeme, die sicherheitsseitig nicht mehr unterstützt werden und so zum potenziellen Einfallstor für unerwünschte Gäste im Netzwerk mutieren. Fehlendes oder nur oberflächlich geschultes Personal tut ein Übriges, um Sicherheitsverantwortlichen schlaflose Nächte zu bereiten: Häufig reicht die Zahl der Mitarbeiter in IT-Abteilungen nicht einmal aus, um operative Vorgänge im gewünschten Umfang zu steuern – zusätzlich mangelt es an Experten, welche die Sicherheitsarchitektur entsprechend anpassen könnten. Kurzfristig implementierte Security-Tools können unter Umständen zwar im Notfall helfen, sind jedoch langfristig keine sinnvolle Lösung.

Nachhaltige Sicherheit

Um Bedrohungen im Rahmen einer Cyber-Resilience-Strategie abzuwenden, ist zunächst zu empfehlen, für das Management sämtlicher Geräte Unified-Endpoint-Management-(UEM)-Lösungen zu nutzen. Als zusätzliche Vorteile einer solchen vereinheitlichten Administration sind insbesondere Arbeitserleichterungen, Prozessoptimierung und eine automatisierte wie vollständige Erfassung von Geräten und Diensten zu nennen, darüber hinaus der geregelte Zugang zu allen Endgeräten sowie Überblick über genutzte Anwendungen. Automated Endpoint-Security knüpft daran an und macht im Idealfall ein manuelles Handeln bei Attacken überflüssig, da die Software im Falle eines Security-Events alle notwendigen Schritte von selbst einleitet.

Für eine zuverlässige Endpoint-Absicherung im Sinne einer Cyber-Resilience-Strategie bedarf es eines großen Maßnahmenbündels: Nur Unternehmen, die alle Aspekte gleichermaßen einbeziehen, können sich ausreichend schützen. Als wichtigste Bestandteile des Bündels sind zu nennen: Automatisierung von Malwareschutz, Data-Leakage-/Loss-Prevention (DLP), App-Control sowie Data-Protection-Maßnahmen.

Automatisierung von Malwareschutz

Eine automatisierte Erkennung im Falle von Anomalien und Abweichungen ist ein grundlegender Treiber für die IT, um im Ernstfall schnellstmöglich reagieren zu können. Auf diese Weise gelingt es oft, Angriffe schon abzuwehren, bevor sie überhaupt einen Schaden anrichten. Nach der Installation eines solchen Tools empfiehlt es sich, dieses zunächst im Simulationsmodus anlaufen zu lassen. Sobald es erste Events erfolgreich abgearbeitet hat, kann man auf den „Protection-Mode“ umstellen: Fortan wird Malware über eine automatisierte Erkennung identifiziert, blockiert und anschließend über Remediation-Maßnahmen entfernt – über Workflows und Playbooks können zudem Gegenmaßnahmen eingeleitet werden.

Der Aufwand für die Umsetzung eines Konzepts zur Automatisierung von Malware-Abwehr im Unternehmen ist stark davon abhängig, welche Freiheiten die Mitarbeiter im Unternehmensnetzwerk haben und wie viel sie „dürfen“. Grundsätzlich ist eine Implementierung aber bei Unternehmen jeder Größe innerhalb weniger Wochen möglich.

Data Leakage / Loss Prevention

DLP ist zunächst eine Strategie, die sensible oder kritische Informationen schützt – der Begriff beschreibt aber auch zugehörige Software-Lösungen. Solche Produkte setzen unterschiedliche Sicherheitstechniken und Maßnahmen ein, um etwa mithilfe von Deep Content Inspection Dokumente zu analysieren und zu klassifizieren. Wird eine Datei beispielsweise aufgrund von Schlüsselwörtern oder Datenmustern (IBAN, Passport-ID etc.) als vertraulich eingestuft, können Kopiervorgänge vom System blockiert oder gesperrt werden. Darüber hinaus sollten Daten generell verschlüsselt werden, um zusätzlich vor den Folgen eines Datenabflusses zu schützen. Eine unterstützende Schnittstellenkontrolle unterbindet die Verwendung unautorisierter oder unerwünschter Peripheriegeräte und eliminiert somit weitere Bedrohungsquellen.

App-Control

Wenn über die Geräte hinaus auch alle Anwendungen zentral von der IT gesteuert werden, lassen sich IT-Risiken weiter minimieren. Hierzu wird für jeden Mitarbeiter eine Whitelist der Anwendungen erstellt, die er für seine Arbeit benötigt – andere Programme lässt das System nicht zu und sperrt so einen Großteil der im Umlauf befindlichen Malware aus. Als Nebeneffekt hindert es Mitarbeiter zudem daran, nicht-lizensierte Programme zu nutzen – Schatten-IT hat so keine Chance! (vgl. S. 6) – oder Anwendungen (z. B. Spiele) zu verwenden, die für ihre Arbeit nicht relevant sind. Einen wichtigen Vorteil liefert eine App-Control mit Trusted Installer-Funktionen: Alle Anwendungen, die durch die hauseigene Softwareverteilung installiert wurden, lassen sich damit automatisiert in das Whitelisting integrieren.

Datenschutz – technisch wie manuell

Für ein größeres Maß an Datenschutz sollte man automatisierte und manuelle Maßnahmen zusammenführen: Zwar müssen Mitarbeiter weiterhin geschult werden, damit sie sich risikobewusst verhalten. Die sichere Verwaltung von Datenbeständen lässt sich jedoch technikgestützt vereinfachen, sodass sich die Fehlertoleranz wesentlich erhöht. Data-Protection ist zudem natürlich auch im Hinblick auf die EU DSGVO entscheidend für die Sicherheit von Unternehmen.

Fazit

Während die Automatisierung von Malwareschutz doch etwas Zeit braucht, können viele andere Maßnahmen in der Regel in kürzester Zeit eingerichtet werden. Auch die weitere Betreuung und Nutzung moderner integrierter UEM- und Security-Systeme lässt sich selbst mit wenig Personal gut abdecken. So wird beispielsweise nach Erfahrungen des Autors bei einem großen Anbieter aus der Telekommunikationsbranche ein Netzwerk mit 180,000 Installationen durch eine einzige Vollzeit-IT-Kraft und einen „Zuarbeiter“ erfolgreich betreut. Wer heute in Zeiten der mobilen Arbeit seine Systeme sichern möchte, wird nur dann erfolgreich sein, wenn er Sicherheit in seine Business-Anwendungen integriert und ein ganzes Bündel an Maßnahmen sinnvoll und automatisiert miteinander verzahnt. Cyber-Resilience liefert dazu ein Konzept, mit dem IT-Abteilungen mit überschaubarem Aufwand die bestmögliche Sicherheit für Unternehmen erreichen können.

Daniel Döring ist Technical Director Security and Strategic Alliances bei Matrix42.