Endpoint Protection 11.0 - Symantec ermöglicht volle Kontrolle über PC-Nutzung

14.06.2007
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Mit besserer Bedienbarkeit, neuen Features wie der Gerätezugriffskontrolle und ressourcensparendem Verbrauch hat Symantec seine neue All-in-one-Sicherheitslösung für Unternehmensnetzwerke ausgestattet.

Gestern stellte der Sicherheitsexperte "Endpoint Protection 11.0" auf seiner Hausmesse "Vision" in Las Vegas vor. Für Deutschland fand die Produktpräsentation zeitgleich in München statt. Die Suite, bislang auch unter dem Codenamen "Hamlet" bekannt, fasst erstmals alle Security-Features von Symantec und zugekaufte Technologien von Sygate, Veritas und Whole Security unter einer Oberfläche zusammen. Auf den Markt kommen soll die Software allerdings erst im September, Preise und finale Ausstattung der Programmpakete stehen bisher noch nicht fest. Eine Betaversion des Endnutzer-Clients in englischer Sprache ist seit heute im Netz zu finden. Symantec wird sie in den kommenden Tagen unternehmensintern einsetzen und testen. (Achtung: Der Download ist nur nach Registrierung und der Beantwortung einiger Fragen zur Rechner- und Softwarenutzung des Unternehmens möglich. Darüber hinaus wird für den Symantec-Download-Manager das Adobe-Flash-Plugin benötigt.) In dieser Version stehen nicht alle Administrator-Funktionen zur Verfügung, für den vollen Funktionsumfang wird zusätzlich die Software "Symantec Network Access Control 11.0" benötigt, die ebenfalls im September erscheinen soll.

Neben herkömmlichen Schutzmechanismen wie einer Firewall, Anti-Spyware und einem auf Signaturerkennung basierten Virenscanner bietet das Paket ein Intrusion-Prevention-System (IPS), das Schädlinge auf dem Rechner anhand ihres Verhaltens identifizieren kann. Es soll vor allem bei Zero-Day-Angriffen und der Bekämpfung seltener Viren und Würmern zum Einsatz kommen. Das mächtigste Feature der neuen Software aber ist die Datei- und Gerätekontrolle. Sie gibt Administratoren die Möglichkeit, Sicherheits-Policies zu definieren, die den Zugriff auf bestimmte Laufwerks- und Gerätetypen wie USB-Sticks oder Digitalkameras sowie Dateiformate wie JPG oder MP3 komplett sperren. Mit der optionalen Software "Network Access Control", für die eine zusätzliche Lizenzgebühr fällig wird, können darüber hinaus Benutzergruppen angelegt werden, die wiederum unterschiedliche Policies erhalten. So ist es beispielsweise möglich, Unternehmensvorständen den Zugriff auf DVD-Laufwerke und USB-Sticks zu erlauben, den Angestellten hingegen nicht. Die Policy-Funktion macht den wesentlichen Bestandteil von "Endpoint Protection 11.0" aus und lässt sich auch auf jedes andere Feature der Suite anwenden. So können Firewall oder Virenscanner möglichen Bedürfnissen angepasst werden. Die Security-Policies lassen sich über eine zentrale Konsole definieren.

"Endpoint Protection" bietet bessere Kontrolle für mobiles Arbeiten

Die zentrale Management-Konsole von "Endpoint Protection 11.0": Hier lassen sich Zugriffseinstellungen vornehmen und der Netzwerkverkehr überwachen.
Die zentrale Management-Konsole von "Endpoint Protection 11.0": Hier lassen sich Zugriffseinstellungen vornehmen und der Netzwerkverkehr überwachen.

Laut Symantec birgt die Gerätekontrolle aber eine Gefahr: Um Systemausfälle zu verhindern, sollten Administratoren die Policies erst testen, bevor sie netzwerkweit ausgerollt werden. Dafür steht in der Software eine eigene Funktion zur Verfügung. Wird unter Windows beispielsweise der Zugriff auf BMP-Bilddateien gesperrt, kann das Betriebssystem beim nächsten Hochfahren nicht mehr starten, da das Microsoft-Startbild in eben diesem Format vorliegt, warnte der Vice President von Symantecs zentraleuropäischer Consult-Abteilung, Olaf Lindner, während der Produktvorstellung in München. Könne Windows nicht auf diese Datei zugreifen, könne das System nicht starten. Damit wäre auch der Zugriff auf die Symantec-Oberfläche zum Ändern der Einstellungen nicht mehr möglich. Der Hersteller hat nach eigenen Angaben ein nicht näher vorgestelltes Feature eingebaut, das in einer solchen Notsituation doch noch Abhilfe schaffen könne. Doch auch dieses Feature lasse sich im Bedarfsfall deaktivieren – schließlich könne von einer Security-Software erwartet werden, dass sie auf Wunsch auch unternehmensintern völlige Sicherheit gewährleiste. "Dann bleibt leider nur noch die Neuinstallation des Betriebssystem", sagte Lindner.

Da das mobile Arbeiten in Unternehmen immer mehr an Bedeutung gewinnt, lassen sich mit "Endpoint Protection" auch verschiedene Policies für diverse Nutzungsumgebungen schreiben. Sobald ein Mitarbeiter zum Beispiel das hausinterne Netzwerk des Unternehmens verlässt und sich am Flughafen oder im Home Office erneut einwählt, können für diese Umgebungen gesonderte Sicherheitseinstellungen getroffen werden. Es ist möglich, den Internetzugriff von überall aus ausschließlich über den Proxy des Unternehmensnetzwerks zu gestatten oder die Firewall und das IPS-System beispielsweise für alle WLAN-Verbindungen wesentlich restriktiver zu gestalten. Da die integrierte Firewall auf den drei Ebenen Netzwerk, Protokolle und Applications arbeitet, lassen sich dazu für jede Art von Arbeitsumgebung noch einmal verschiedene Einstellungen treffen. Symantec möchte Unternehmen die maximale Kontrolle über interne und externe Rechner und deren Nutzung ermöglichen. Dass die neue Software die totale Überwachung der Mitarbeiter möglich macht, gesteht das Unternehmen ein, fühlt sich aber nicht für die Handlungen der Firmenchefs verantwortlich: "Wir geben ihnen das Produkt, das sie haben wollen – was sie damit machen, können wir nicht beeinflussen", sagte Symantec-Regionmanager Andreas Zeitler.

Speicherauslastung von "Endpoint Protection" soll gering sein

Präsentierte Symantecs neue All-in-one-Sicherheitslösung "Endpoint Protection 11.0": Olaf Lindner
Präsentierte Symantecs neue All-in-one-Sicherheitslösung "Endpoint Protection 11.0": Olaf Lindner
Foto: Symantec

"Endpoint Protection 11.0" arbeitet ressourcenschonender als frühere Symantec-Produkte und benötigt laut Herstellerangabe 21 Megabyte Arbeitsspeicher. Der zugrunde liegende Kernel sei neu entwickelt worden, nachdem sich viele Kunden über die hohe Auslastung ihrer Systeme durch Symantec-Software beklagt hätten, so Lindner.

"Symantec Endpoint Protection 11.0" ist voraussichtlich ab September weltweit verfügbar und wird über Fachhändler, Distributoren und Systemintegratoren vertrieben. Auf expliziten Wunsch kann das Paket samt Support auch direkt vom Hersteller angefordert werden.