Jede Hardware Entscheidung ist auch eine Sicherheitsentscheidung.

Hardware-Security

Security – Vom Endpunkt her gedacht

11.05.2018
Die grenzenlose Computing-Freiheit, die mit den mobilen Anwendungen und unterschiedlichsten Endgeräten einhergeht, hat neue Dimensionen von Sicherheitsproblemen aufgeworfen. Mit Software-Tools alleine ist es darum nicht mehr getan. Integrierte Hardware-Lösungen werden als zweite Säule des Datenschutzes unverzichtbar.

Wenn wie in vielen Fällen eine Cyberattacke unbemerkt bleibt, liegt das nicht unbedingt immer an einer unzureichenden Firewall oder einer anderen durchlässigen Perimeter-Lösung. Der Netzwerkschutz beginnt vielmehr vor Ort, also im Unternehmen bei den Endgeräten und den Mitarbeitern, die an ihnen arbeiten. Doch wird der Sicherheitsbedrohung diesseits der Firewall nicht in dem eigentlich gebührenden Umfang Bedeutung beigemessen. Hardware-basierte Lösungen, die effektiven Schutz vor nicht autorisierten Zugriffen fahrlässiger oder krimineller Mitarbeitern bieten, erfahren bei der Revision der firmeneigenen Security-Konzepte zu wenig Beachtung, weil das Augenmerk auf den Software-Sicherheitslösungen wie einer Firewall und Antivirenprogrammen liegt. Im Rahmen von Sicherheitsevaluierungen, die ihren Namen verdienen, müssen künftig aber auch die intrinsischen Vorteile Hardware-gestützter Security-Tools berücksichtigt werden.

Paradigmenwechsel: Von der Netzwerk- zur Endpunktsicherheit

Ziel ist es, den Endpunkt als größtmögliche Schwachstelle im Netzwerk zu erkennen - frei nach dem Lehrsatz, dass jede Kette nur so stark ist wie ihr schwächstes Glied. Der damit einhergehende Wandel der Bedrohungssituation - zusätzlich verschärft durch die Migration sensibler Datenbestände in Cloud-Anwendungen, dem IoT und dem Wachstum von Telearbeitsplätzen - erfordert neue Sicherheitsstrategien, die insbesondere auch Hardware-seitige Lösungen mit einbeziehen. Zumal die Effektivität von Software-Security durch eine Reihe von Faktoren maßgeblich beeinträchtigt wird: Eine im Auftrag von HP durchgeführte Spiceworks-Umfrage im Juli 2015 unter 205 IT-Experten in GB, Frankreich und Deutschland zeigte, dass dies vor allem an den Endnutzern liegt: Diese sind zu 39 Prozent unzureichend über die tatsächlichen Risiken informiert, während fast ebenso viele (38 Prozent) in den hohen Kosten der Software-Tools eine Hürde sehen. Mit der Zunahme verschiedenster Endgeräte multiplizieren sich zudem die Chancen für externe Hackerangriffe. Denn im Gegensatz zu den vormals relativ gut kontrollierbaren Ethernet-Knoten existiert heute eine Vielzahl privater oder firmeneigener Endgeräte und Applikationen, die in unorganisierten Netzwerke und über diverse WiFi-Knoten gemeinsam auf Daten zugreifen und diese untereinander austauschen.

Endgeräte müssen in zweifacher Hinsicht geschützt werden

Weil aber gerade die Eintrittsstelle in ein fremdes Netzwerk eine häufig übersehene Sicherheitslücke darstellt, rücken Endgeräte deshalb bei jeder Sicherheitsevaluierung unweigerlich in den Fokus. Zu wissen, welche Geräte überhaupt in einem Netzwerk zusammengeschlossen sind und wer mit wem darin kollaboriert, ist die Voraussetzung jedes hier ansetzenden Security-Konzepts. Nur so kann eine Firewall überhaupt die ihr zugedachte Perimeter-Funktion erfüllen. Die dem jeweiligen Netzwerkadministrator bekannten Endgeräte - Desktops, Drucker, Notebooks, Laptops, Tablets, Smartphones - müssen regelmäßig mit Antiviren- und Antimalware-Updates aufgerüstet und aufgetretene Lücken und Cyber-Attacken in Sicherheitsprotokollen dokumentiert werden.

So unerlässlich regelmäßige Software-Routineüberprüfungen im Rahmen eines solchen umfassenden Konzepts der Endpoint-Sicherheit auch in Zukunft bleiben werden, so wichtig sind andererseits auch "eingebaute", sprich in die Endgeräte integrierte Security-Tools als zweite Säule der Datensicherheit.

Hardware-Sicherheit als Kaufkriterium erst an dritter Stelle

Dennoch verlassen sich die Unternehmen mehrheitlich auf Softwarelösungen: 91 Prozent vertrauen auf ihre Antiviren- und Antimalwareprogramme, 84 Prozent nutzen Firewalls und 80 Prozent verwenden Authentifizierungsroutinen und Passwörter (Spiceworks-Studie s.o.). Ein ausreichender Schutz ihrer Daten ist damit aus eingangs genannten Gründen nicht gewährleistet. Paradoxerweise zeigen die Ergebnisse im Rahmen dieser Spiceworks-Umfrage aber auch, dass gerade einmal die Hälfte aller Befragten an die tatsächliche Effektivität ihrer softwarebasierten Sicherheits-Tools glaubt. Umso überraschender, dass die Geräte-Sicherheit beim Laptopkauf eine eher untergeordnete Rolle spielt: Sie wird von den befragten europäischen IT-Experten mit nur 37 Prozent gegenüber den Kaufkriterien Zuverlässigkeit (49 %) sowie Kosten (45 %) erst an dritter Stellen als relevant eingestuft. Dabei liegen die Vorteile der "eingebauten" Hardware-Sicherheitsfunktionen auf der Hand: Zunächst sind sie gegenüber Software-basierten Safety-Tools "nicht hack-bar". Das gilt zumindest im Prinzip, denn besonders versierte Hardware-Angreifer verfügen bereits über das notwendige Know-how zur Seitenkanalanalyse von kryptografischen Implementierungen und Fehlerangriffen, beispielsweise durch das Messen des Stromverbrauchs. Dr. Johann Heyszl vom Münchner Fraunhofer Institut für angewandte und Integrierte Sicherheit (AISEC) dazu: "Eine zukunftsträchtige Technologie in der Hardware-Sicherheit sind sogenannte Physical Unclonable Functions (PUFs)." Auch der Einsatz dedizierter Sicherheitschips könne in vielen Fällen zweckmäßig sein, so der IT-Forscher.

»

HP-Lösungen sorgen für 360 Grad Hardware-Sicherheit

Nichtsdestotrotz gibt es bereits heute eine Reihe effektiver Hardware Security-Tools, mit denen die Schwachstellen der Software-Lösungen kompensiert werden können. Da moderne Cybersicherheit auf der Kontrolle darüber fußt, welche Endgeräte Zugriff auf das Netzwerk haben, erhalten in getrennten WiFi-Netzwerken ungesicherte, externe Geräte keine Zugriffsberechtigung. Im nächsten Schritt müssen die Geräte der Mitarbeiter erfasst werden. Die Choose your own device (CYOD)-Philosophie vieler Arbeitgeber bringt hierbei sogar klare Vorteile mit: Wenn die Firmen ihren Mitarbeitern hochwertigere und mit wirksamen Schutzfunktionen ausgerüstete Geräte zur Verfügung stellen als diese privat nutzen, ist nicht nur eine verbesserte Netzwerk- und Endpoint-Kontrolle möglich. Darüber hinaus können Hackerattacken mit Hilfe moderner Produkten und deren eingebauten Sicherheitsfeatures unterbunden werden. So verfügen die Laptops/Desktops der HP Elite-Reihe über eine proprietäre "Sure Start"-Technologie, mit der das BIOS des Rechners regelmäßig überprüft und im Fall einer Manipulation automatisch wieder in seinen Originalzustand zurückgesetzt wird - quasi ein selbstheilendes System. Die HP Client Security-Tools decken somit alle Arbeitsebenen des PCs ab, von der untersten BIOS-Ebene über Multifaktor Authentifizierung bis hin zur integrierten Blickschutztechnologie HP Sure View und HP Sure Click für mehr Sicherheit beim Arbeiten im öffentlichen Raum und beim Surfen im Internet.

Aber auch die Druckersicherheit wurde bei einer IDC-Umfrage zufolge nicht als leichtes Einfallstor für Hackerangriffe erkannt - nur 59 Prozent der Befragten hielten sie in Zusammenhang mit IT-Sicherheit im Unternehmen für erwähnenswert. Michael Howard, HP-Sicherheitsleiter international, über die multilaterale Realisierung der Endpunkt-Sicherheit bei allen Endgeräten: "Firewalls alleine können komplexen Angriffen nicht mehr standhalten. Zwingend erforderlich ist daher eine Abwehrmethode mit mehreren Schutzebenen je Endpunkt." HP "Client Security" bietet integrierte Hardwarelösungen für PCs, Laptops, Notebooks und Drucker.

Jetzt mehr über Security-Lösungen von HP erfahren