Endpoint Security

Erstmal an die Basics denken

09.12.2021
Von 
Florian Stocker ist Inhaber der Kommunikationsagentur "Medienstürmer".
Mit dem Remote-Work-Boom rückten die Endpoints ins Visier der Angreifer. Lesen Sie, was Experten jetzt empfehlen.
Auch in Sachen Security kommt es vor allem auf die Grundlagenarbeit an.
Auch in Sachen Security kommt es vor allem auf die Grundlagenarbeit an.
Foto: Lamekanist - shutterstock.com

Die jüngste Ransomware-Attacke auf MediaMarktSaturn dient als passendes Beispiel für zwei Weisheiten, die Security-Experten unaufhörlich predigen. Erstens: Absolute Sicherheit gibt es nicht. Und zweitens: Im Falle eines Angriffs hat die Aufrechterhaltung des Betriebs absolute Priorität. Gelingt das, sinkt das Erpressungspotenzial deutlich. Das Haupteinfallstor für Angriffe sind dabei vor allem nicht oder schlecht gesicherte Endpoints - eine Gefahr, die laut Branchenexperten immer noch viel zu wenigen Unternehmen bewusst ist. "Endpoints waren in der Pandemie durch den abrupten Wechsel ins Home-Office DAS Einfallstor für Angriffe", stellt Michael Haas vom Firewall-Spezialisten Watchguard fest. "Es wäre gut gewesen, wenn die IT-Abteilungen dieses Thema schon vorher auf dem Schirm gehabt hätten."

Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'

Security integriert denken

Durch die stetige Zunahme an Endgeräten in einem Netzwerk, durch verteiltes Arbeiten, aber auch durch das Internet der Dinge entstehen außerdem kontinuierlich neue Lücken für Angreifer. Der Endpoint-Schutz erhielt dadurch in den vergangenen Jahren einen höheren Stellenwert. Zuletzt sorgte die Coronakrise dafür, dass das Thema endgültig auch auf der Führungsebene ankam. Doch nur weil die Unternehmen jetzt plötzlich wissen, wie viele ungeschützte Schnittstellen sie in ihrem Unternehmen haben, sollten sie jetzt nicht nur noch auf dieses eine Problem achten.

"Wir müssen aus dem alten Silodenken raus", konstatiert zum Beispiel Andreas Bärwald von NTT. "Wenn Firewall, Proxy und Endpoints nicht mehr als getrennte Sphären betrachtet werden, sondern ineinandergreifen, dann kommen viele Bedrohungen auch gar nicht bis zum Endpoint." Denn aus der Sicht der geladenen Diskussionsteilnehmer zum IDG-Round-Table "Endpoint Security" geht es schon längst nicht mehr darum, das Thema isoliert als separaten Sicherheitsbereich zu betrachten. Security sollte vielmehr insgesamt als ein zentraler Layer definiert sein, in dem alle Funktionsbereiche aufeinander abgestimmt sind - und die vor allem allesamt gewisse Mindestanforderungen erfüllen sollten. "Die teuerste Firewall bringt nichts, wenn parallel eine billige und vor allem schlechte Endpoint-Lösung eingesetzt wird", so Bärwald.

Dass es solche Baustellen zuhauf gibt, können die Diskutanten aus der Praxis bestätigen. So wollen Security-Konzepte oft der ganz große Innovationssprung nach vorne sein, ohne dass Unternehmen überhaupt die absoluten Basics erfüllen. Als Beispiel nennt Michael Haas die gute alte Mehrfaktor-Authentifizierung, deren Einführung alleine schon gravierende Lücken schließen könne. "Die Einführung so einer kleinen Lösung reicht schon, um einen riesigen Schritt nach vorne zu machen. Ich verstehe nicht, warum man überhaupt über Themen wie eine KI-gestützte Detection redet, wenn noch nicht mal eine Mehrfaktor-Authentifizierung in Betrieb ist."

"Truppenbewegungen" frühzeitig erkennen

Für Waldemar Bergstreiser vom Antivirus-Provider Kaspersky bedeutet eine gut funktionierende Endpoint Security vor allem, dass sie hilft, Risiken überhaupt erst zu erkennen: "Endpoint Security muss natürlich nicht nur einen Angriff verhindern, sondern auch Infos über die Angreifbarkeit liefern - oder einen längst erfolgten Angriff. Das bedeutet im Umkehrschluss: Die Lösung muss so viele Daten wie möglich generieren und interpretierbar bereitstellen - und das geht nur mit Endpoint Detection and Response (EDR)."

Angreifer können sich zum Teil jahrelang in einem Netzwerk aufhalten und so lange warten, bis sie eine entscheidende Schwachstelle identifizieren. Nur wer heute diese "Truppenbewegungen" als Anomalie erkennt, hat überhaupt eine Chance, die Folgen eines Angriffs abzumildern - schließlich könne von verhindern heute ohnehin nicht mehr die Rede sein: "Es geht nicht darum, die IT zu 100 Prozent zu schützen, das ist gar nicht möglich", so Bergstreiser. "Ziel sollte es sein, so viel Produktivität wie möglich sicherzustellen, also im Falle eines Angriffs - während dieser bekämpft wird - das Geschäft am Laufen zu halten."

Studie "Endpoint Security 2022": Sie können sich noch beteiligen!

Zum Thema Endpoint Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, hilft Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Managed-Services-Studie finden Sie auch hier zum Download (PDF).

Das Normale und die Anomalie

Um Anomalien in der immer komplexer werdenden IT-Landschaft zu erkennen, müssen Unternehmen zuerst eine Vorstellung davon haben, wie ihre "Normalität" überhaupt aussieht. Das klassische Verständnis von Security weicht damit einer holistischen Sichtweise. EDR-Systeme helfen dabei, den Status quo des Gesamtsystems zu erfassen und Endpunkte sowohl im Online- als auch im Offlinemodus zu identifizieren.

Die daraus entstehenden Datenmengen stellen Unternehmen allerdings vor weitere Herausforderungen. Denn nur wer diese überhaupt verarbeiten und analysieren kann, ist in der Lage, auch die richtigen Handlungen daraus abzuleiten. Beim Schließen dieser Lücke sieht Bergstreiser einen Trend hin zu Managed Security Service Providern (MSSP), also Anbietern, die speziell die Cybersicherheit als Dienstleistung bereitstellen (Security-as-a-Service). MSSPs überwachen und verwalten dabei sämtliche Devices und Systeme in einem Netzwerk, indem sie zum Beispiel für Systemupdates und -Upgrades sorgen.

Gerade kleinere Unternehmen haben so die Chance, Sicherheitslücken zu schließen, da sie aus Ressourcengründen keine eigenen Teams dafür aufbauen können. Auch das Angebot im Markt sorgt hier für gewisse Erleichterungen, wie NTT-Manager Bärwald bestätigt: "Zum einen sind viele Lösungen hochautomatisiert, zum anderen gibt es auch zwischen den Herstellern und Anbietern heute mehr Kommunikation und integrierte Lösungen durch Marktbewegungen."

Endpoints als Security-Zentrum

Auch für Martin Mangold von Drivelock ist die Endpoint Security ein viel zentraleres Thema, als es die Absicherung des Perimeters früher je sein konnte. Und durch die Cloud sind die Einfallstore für mögliche Angreifer überall verteilt. "Ein Endpoint ist schlicht der Ort, wo ich als Nutzer meine Daten verarbeite: Egal ob das nun ein PC, eine IoT-Komponente oder ein Smartphone ist. Nur wenn Sie dieses Denken etablieren, schaffen Sie den nötigen Bewusstseinswandel im Unternehmen."

Eher gedämpft sehen die Erwartungen der Expertenrunde bei der Endpoint Security hinsichtlich des Überthemas künstliche Intelligenz aus. KI, Machine Learning und Behavioural Analytics haben zwar das Potenzial, gerade in großen Datenmengen Anomalien viel besser zu erkennen, als es ein menschlicher Mitarbeiter jemals könnte, trotzdem seien diese Technologien zum aktuellen Zeitpunkt reine Werkzeuge und keine Wundermittel.

"Einfach nur die Daten zusammenschmeißen nutzt mir nichts", stellt Bärwald fest. "Ich muss sie auch interpretieren und abbilden können. Das kann keine KI dieser Welt." Die Rolle der künstlichen Intelligenz liege eher darin, den Admin dabei zu unterstützen, zielgerichtete Entscheidungen zu treffen. "Auch wenn wir alle die Automatisierung lieben, dürfen wir nicht vergessen, dass der Faktor Mensch immer noch das wichtigste Kriterium ist und bleiben wird. Am Ende ist es der Mitarbeiter, der die Ergebnisse interpretiert und Maßnahmen umsetzt. Ergo muss auch auf Mitarbeiterebene das Bewusstsein geweckt werden, zum Beispiel im Rahmen einer Zero Trust Policy."

Genau so ein Regelwerk wollen laut der IDG-Cybersecurity-Studie 2020 die Unternehmen künftig vermehrt umsetzen. Über die Hälfte der in der Studie befragten IT-Security-Entscheider sind demnach mit der Einführung beschäftigt, während knapp 38 Prozent diese sogar bereits abgeschlossen haben. Das zeigt, dass gerade vielerorts die von den Experten angemahnten Hausaufgaben erledigt werden.

Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'