COMPUTERWOCHE-Roundtable-Diskussion

Endpoint Security ist der Anfang von allem

08.07.2019
Von 

Gerhard Holzwart begann 1990 als Redakteur der COMPUTERWOCHE und leitete dort ab 1996 das Ressort Unternehmen & Märkte.  Ab 2005 verantwortete er den Bereich Kongresse und Fachveranstaltungen der IDG Business Media GmbH und baute „IDG Events“ mit jährlich rund 80 Konferenzen zu einem der führenden Anbieter von ITK-Fachveranstaltungen in Deutschland aus. Seit 2010 ist Gerhard Holzwart geschäftsführender Gesellschafter der h&g Editors GmbH und ist in dieser Funktion als Event Producer, Direktmarketingspezialist und ITK-Fachredakteur tätig.        

Die Anforderungen an Endpoint die Security steigen in dem Maße, wie sich Technologien und Nutzerverhalten im Zeitalter von Machine Learning und Mobile Internet ändern. Weiterhin schwer kalkulierbar bleibt allerdings der Faktor Mensch.

Eigentlich ist es eine Binsenweisheit: Die Digitalisierung erfordert ein völlig neues Verständnis von IT-Sicherheit. Immer mehr Devices im Netz, die zunehmende Vernetzung von Geräten und Maschinen (Internet of Things), neue Arbeitsformen und Arbeitsgewohnheiten von Mitarbeitern sowie der Siegeszug von Technologien wie Künstlicher Intelligenz. Doch die Bewältigung dieser Herausforderungen bereitet den Security-Verantwortlichen vielfach Kopfzerbrechen: insbesondere, weil die "alten" Instrumente nicht mehr funktionieren beziehungsweise nicht mehr ausreichen. Denn die Massenangriffe mit Viren, Würmern und Trojanern, die sich mit gängiger Sicherheitssoftware, Signaturen und Verhaltensregeln gut abwehren ließen, sind passé oder dienen nur noch der Ablenkung vom eigentlichen Problem.

Einig waren sich die Branchenexperten, die auf Einladung der COMPUTERWOCHE zum Thema Endpoint Security diskutierten, in einem zentralen Punkt: Endpoint Security ist und bleibt der Dreh- und Angelpunkt einer umfassenden IT-Sicherheitsstrategie in Unternehmen.

Bedrohung verlagert sich vom Client ins Netz

Heutzutage geht es um gezielte Attacken auf das Endgerät einzelner Mitarbeiter und um das Eindringen in Netzwerke mit dem Ziel, sich dort über Wochen verdeckt zu bewegen und so das Unternehmen auszuspähen und/oder mit einem "Big Bang" wichtige Geschäftsprozesse lahmzulegen. Ebenfalls sehr verbreitet ist das Credential Stuffing, also der Missbrauch von gestohlenen Zugangsdaten wie Benutzernamen und Passwörtern, bei dem die Angreifer verstärkt auf automatisierte Verfahren mithilfe von Bots setzen. Im Fokus steht also nicht mehr nur die zentrale IT mit Gateways und Perimeterschutz. Auch wird es immer schwieriger, solche Attacken rechtzeitig zu entdecken, wenn zunächst alle IT-Systeme weiter stabil laufen und herkömmliche Sicherheits-Tools keinen Alarm melden. Der Schutz des klassisches Endpoints ist insofern nach wie vor wichtig, aber die eigentlich Security-Herauforderung liegt Branchenkennern zufolge im Netz.

Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"

Nach wie vor kommt bei der Abwehr dieser Gefahren der IT-Security-Disziplin Endpoint Detection and Response (EDR) essenzielle Bedeutung zu. Im Wesentlichen geht es dabei darum, alle Aktivitäten auf PCs, Notebooks, Tablets, Smartphones und Druckern aufzuzeichnen und auf Schwachstellen zu analysieren. Wenn es dann bei der Anmeldung von Nutzern, beim Öffnen von Dateien, bei Speicherzugriffen und aufgebauten Netzwerkverbindungen Anzeichen für ein mögliches Eindringen Unbefugter gibt, kommen die "Response"-Features von EDR-Lösungen zum Einsatz, die den Angriff zielgerichtet abwehren.

Alles mit IP-Adresse ist ein Endpoint

Aber das Endgerät als Endpunkt steht heute längst nicht mehr nur als PC im Büro. Immer mehr Mitarbeiter nutzen auch im beruflichen Alltag das Smartphone - vorzugsweise das eigene. Doch auch das professionelle Managen von Bring your own Device (ByoD) greift aus Sicht von Branchenkennern im Sinne eines umfassenden Security-Ansatzes inzwischen viel zu kurz. Vielmehr ist Endpoint Security nicht mehr nur dort relevant, wo ein Bildschirm ist, sondern betrifft jedes Device mit einer IP-Adresse. Die Bandbreite reicht somit vom Sensor eines Maschinenbauteils bis zur Webcam.

"Der Endpoint ist je nach Branche und Unternehmen unterschiedlich. Im Pharmabereich ist es zum Beispiel in einer Produktionsstraße die einzelne Maschine oder sogar eine einzelne Steuereinheit darin, in der Konsumgüterindustrie kann es durchaus auch eine Armbanduhr sein", sagt Frank Kölmel, Vice President Central Europe bei Palo Alto Networks, und bringt so das Szenario auf den Punkt. Ganz zu schweigen vom autonomen Fahren, dass das Auto der Zukunft zum fahrenden Data Center mutieren lässt.

Frank Kölmel, Palo Alto Networks
Frank Kölmel, Palo Alto Networks
Foto: Michaela Rehle

Es fehlt immer noch an Awareness

Die technologische Dynamik im Markt ist also frappierend - durch immer neue Anwendungsszenarien und durch immer größere Aufwände, die die Angreifer betreiben. Dennoch ist die Tragweite des Themas offenbar noch nicht jedem Unternehmen bewusst. "Häufig fehlt es noch an der nötigen Awareness für das Thema. In vielen Fällen dient der Virenschutz immer noch als Ersatz für den gesunden Menschenverstand", äußert sich Tim Berghoff, Security Evangelist DACH bei G Data Software, skeptisch.

Tim Berghoff, G Data Software
Tim Berghoff, G Data Software
Foto: Michaela Rehle

Peter Neumeier, Head of Channel bei Kaspersky Lab, schlägt in die gleiche Kerbe: "Natürlich ist Endpoint Detection & Response das beherrschende Thema. Aber wir dürfen nicht vergessen, dass es bei vielen kleinen und mittelständischen Firmen noch ganz anders aussieht. Da verbirgt sich hinter der Firewall und einer Antivirensoftware nicht mehr sonderlich viel an weiterer IT-Security-Infrastruktur. Viele sind schon mit dem einfachen Patch-Management überfordert. Wenn dann noch Themen wie Bring your own Device dazu kommen, wird es ganz spannend." - einerseits nachvollziehbar, weil viele der kleineren Unternehmen weder personelle Ressourcen noch das Know-how sowie das Budget haben, sich um eine ausgefeilte Security-Strategie zu kümmern, andererseits höchst problematisch, weil es umfassende IT-Security eben nicht zum Nulltarif gibt.

Peter Neumeier, Kasperky Lab
Peter Neumeier, Kasperky Lab
Foto: Michaela Rehle

Security-Tool-Wildwuchs

Doch damit nicht genug: Branchenkenner Roland Messmer von Fidelis Security macht noch ein weiteres Fass auf: "Neben dem fehlenden Know-how und unzureichenden personellen Ressourcen gibt es in den meisten Unternehmen noch ein weiteres Problem: einen Wildwuchs an installierten Security-Tools. Wir kennen Fälle, in denen bis zu 50 unterschiedliche Security-Lösungen im Einsatz waren."

Roland Messmer, Fidelis Security
Roland Messmer, Fidelis Security
Foto: Michaela Rehle

Guter Rat ist insofern für die Anwender teuer. Immer mehr Firmen können kaum noch alle ihre Endpoints sicher managen und müssen sich genau überlegen, welche Security-Themen sie noch selbst abdecken können und welche nicht. Make or buy ist also auch hier die entscheidende Frage. Nicht nur für Rüdiger Trost, Head of Cyber Security Solutions DACH bei F-Secure, sind daher Managed Security Services inzwischen "alternativlos".

Rüdiger Trost, F-Secure
Rüdiger Trost, F-Secure
Foto: Michaela Rehle

Managed Security Services gefragter denn je

Aber der Weg zu dieser Erkenntnis ist lang und mit Dornen gepflastert. Während schon mehr als die Hälfte der deutschen Unternehmen auf IT-Security-Services von externen Dienstleistern zurückgreift, können oder wollen sich kleinere Firmen diese oft nicht leisten, und die Führungskräfte streiten, was nötig ist und was nicht - so eines der zentralen Ergebnisse der COMPUTERWOCHE-Studie "Managed Security Services 2018". Gleichzeitig gab mehr als die Hälfte der befragten Führungskräfte zu Protokoll, dass die wachsende Komplexität von Cyber-Attacken für die IT-Abteilungen ein immer größeres Problem darstellt.

Dieses in Teilen widersprüchliche Stimmungsbild und Verhalten der Anwender trifft auf immer ausgefeiltere Methoden und leistungsfähigere Tools, die die einschlägigen Anbieter im Portfolio haben. So gehört unter anderem Machine Learning (ML) heute zu den fortschrittlichsten Technologien für die schnelle und präzise Bedrohungsanalyse. Gerade in Fällen, in denen sich Angreifer auch über kompromittierte Zugangsdaten und Nutzerrollen Zugriff auf das System verschaffen, kann eine ML-gestützte Analyse des Nutzerverhaltens ungewöhnliche Aktivitäten und damit eine mögliche Bedrohungslage erkennen.

Fortschritte mit Threat Intelligence

In eine ähnliche Richtung gehen so genannte Threat Intelligence Services, die sich on-premise oder cloud-basiert nutzen lassen, größtenteils automatisiert Data Feeds aus den verschiedensten Quellen und Anwendungssilos eines Unternehmens konsolidieren und daraus einheitliche Security-Reports ableiten können. "Wir sind in der IT-Security immer mehr gezwungen, prozessorientierter zu denken. Natürlich sind unsere klassischen Firewalls und Antivirenprogramme nach wie vor unverzichtbar. Aber es geht letzten Endes darum, das Unternehmen so zu schützen, dass es auch nach einer massiven Cyber-Attacke handlungsfähig bleibt", sagt Berghoff und fasst damit die Anforderungen aus Sicht der Industrie nochmals zusammen.

Die große Unbekannte in diesem Spiel ist indes nach wie vor der einzelne Mitarbeiter. Noch einmal Peter Neumeier dazu: "Die größte Schwachstelle ist und bleibt der Mensch infolge von Unachtsamkeit, Leichtsinn oder leider auch hin und wieder Mutwilligkeit. IT-Security ist insofern auch immer ein Top-down-Management-Thema. Geschäftsführung und IT müssen ständig versuchen, das Bewusstsein dafür zu schärfen. Eine ausgeprägte Awareness wird durch kontinuierliche Aufklärung und durch das Vorleben seitens der Führungskräfte geschaffen. Es nutzt wenig, mit einem halbtägigen Security-Workshop große Unruhe zu verbreiten, da das Thema zwei Tage später wieder vergessen ist."

Studie "Endpoint Security Management": Partner gesucht

Zum Thema Endpoint Security Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, welche Herausforderungen zunehmende Mobilität, Cloud-First-Strategien und andere Trends für den Endpoint-Schutz mit sich bringen. Zu den Fragen zählen: Wie sollten funktionierende Security-Policies aussehen und welche Management-Tools gilt es zu implementieren? Inwieweit lässt sich Endpoint Security auslagern?

Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann helfen Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) oder Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Endpoint-Security-Management-Studie finden Sie auch hier zum Download (PDF).