Grundlagen

Endpoint & mobile Security

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Dass Endpoint sowie mobile Security derzeit boomt, ist keineswegs überraschend, denn in einer sich weiter verschärfenden Bedrohungslage betrachten IT-Verantwortliche mehr und mehr den Client als größtes Einfallstor für Schadsoftware. Im entsprechenden Marktsegment tummeln sich denn auch zahlreiche Anbieter mit unterschiedlichen Ansätzen und Produkten für die Endpoint Security. Welche Aspekte unter diesen weit gefassten Begriff fallen, zeigt dieser Beitrag.

Im Marktsegment Endpoint Security finden sich Produkte mit durchaus unterschiedlichem Funktionsumfang. Heutzutage werden Geräte nicht nur innerhalb und außerhalb des Perimeters genutzt, auch die Kommunikationskanäle unterliegen längst nicht mehr alle der Kontrolle des Unternehmens. Die meisten mobilen Endgeräte können sich neben dem internen LAN oder WLAN auch direkt mit 3G-Netzwerken verbinden – auch während sie im Unternehmen genutzt werden, also geografisch innerhalb des Perimeters sind, und so für Zugriffe von außerhalb offen sind.

Während ein Teil der Security-Anbieter in diesem Umfeld primär auf Antivirus und Antimalware sowie lokale Firewalls setzt, stehen bei anderen Herstellern Funktionen wie die NAC (Network Access Control), VPN (Virtual Private Networks) oder auch die Verschlüsselung von Daten auf lokalen Geräten oder auf USB-Speichermedien im Fokus. Endpoint Security ist mit Blick auf die aktuellen Angebote im Markt eher ein Marketingbegriff als eine Produktkategorie mit feststehenden Funktionen, die in jedem Fall zu erwarten sind.

Schutz vor Datenlecks
Die Grenzen zwischen Endpoint Security auf der einen Seite und Data Leakage Prevention (DLP) auf der anderen verlaufen fließend. Data Leakage Prevention bezeichnet Konzepte, mit denen verhindert wird, dass Daten unerlaubt und unerwünscht das Unternehmen verlassen. Das Thema gewinnt auch durch die immer strengeren rechtlichen Rahmenbedingungen an Bedeutung. Insbesondere die so genannte "breach notification", also die rechtliche Verpflichtung zur Information über Datenlecks, ist dabei ein großes Thema, weil damit massive Imageschäden, aber auch weitere rechtliche Konsequenzen verbunden sein können.

Zentrales Management und Monitoring
Grundsätzlich macht Endpoint Security nur dann wirklich Sinn, wenn sich die Konfiguration auf verschiedenen Endpoints zentral steuern lässt. Endpoint Security als rein lokale Lösung kann schon deshalb nicht sicher sein, weil nicht nachvollziehbar ist, ob sie arbeitet und welche Konfigurationsänderungen ein lokaler Benutzer vielleicht vorgenommen hat, die Angriffe ermöglichen. Ein Beispiel dafür ist die Freigabe zusätzlicher Ports und Protokolle bei lokalen Firewalls, die dem Endbenutzer die Nutzung von ihm wichtigen Internet-Diensten ermöglichen, andererseits aber auch die exponierte Angriffsfläche des Systems erhöhen.

Neben dem zentralen Management und Lösungskonzepten bedarf es aber auch eines zentralen Monitorings dessen, was auf den verschiedenen Endpoints geschieht. Dieses Monitoring sollte sich nicht auf die Endpoint Security beschränken, sondern mit anderen Sicherheitsdiensten integriert werden, um beispielsweise komplexere Angriffsszenarien erkennen zu können. Hier kommt das Thema SIEM (Security Information and Event Management) ins Spiel – also Werkzeuge, mit denen die Sicherheitsereignisse zentral erfasst und verarbeitet werden können. Neben den historischen Log-Daten und Analysefunktionen gehören dazu auch Realtime-Dienste, mit denen auf Ereignisse oder Ereigniskombinationen reagiert werden kann.

Endpoint Security als Baustein
Endpoint Security muss als ein Baustein in einem umfassenden, ganzheitlichen Konzept für IT-Sicherheit verstanden werden. Der erste Schritt hin zu einem solchen Konzept ist die Risikoanalyse. Um die richtigen Maßnahmen ergreifen zu können, müssen Sie wissen, welche Bedrohungen für welche Informationen bestehen. Ein Risiko definiert sich dabei durch seine Eintrittswahrscheinlichkeit und seine Auswirkungen, also beispielsweise den Schaden für die Reputation des Unternehmens, konkrete finanzielle Schäden oder gar strategische Auswirkungen, die die Existenz des Unternehmens oder die Umsetzung von Geschäftsstrategien gefährden. Für Risiken lassen sich Gegenmaßnahmen definieren, wobei sich nicht jede Gefährdung ausschließen lässt und vor allem auf die richtige Balance von Risiko und Aufwand für die Gegenmaßnahmen zu achten ist.

Grenzen der Endpoint Security
Viele Lösungen unterstützen nicht alle der gängigen Betriebssysteme auf Endpoints. Insbesondere bei mobilen Endgeräten stoßen IT-Verantwortliche doch schnell an die Grenzen. Manchmal lassen sich diese mit Lösungen von auf solche Geräte spezialisierten Anbietern noch adressieren. Es gibt aber auch Grenzen, die sich aus der Geschlossenheit von Systemen wie dem iOS ergeben, bei dem die Eingriffsmöglichkeiten deutlich geringer als bei Windows oder Android sind.

Wenn das Endgerät nicht dem Unternehmen, sondern dem Mitarbeiter gehört (Stichwort Bring Your Own Device), ist es rechtlich schwierig bis unmöglich, eine Installation einer bestimmten Endpoint Security-Lösung auf diesem Weg zu erreichen und dabei auch noch eine Schnittstelle zu zentralen Management- und Überwachungsfunktionen zu implementieren. Natürlich lässt sich der Zugriff auf bestimmte IT-Dienste des Unternehmens davon abhängig machen. Auch das ist aber oft nicht durchsetzbar.

25.06.2012/dr/Martin Kuppinger

Nachrichten

Automatisierter Rundumschutz [20.01.2020]

Check Point veröffentlicht mit "Fast Track Network Security" eine neue Sicherheits-Suite. Sie verspricht zuverlässigen Schutz, hohe Skalierbarkeit, umfangreiche Kontrolle und einfache Implementierung. Die Suite umfasst fünf neue Check-Point-Quantum-Security-Gateways für Zweigstellen und mittelständische Unternehmen, außerdem ein Gateway, das für Maestro-Hyperscale-Umgebungen großer Unternehmen und Rechenzentren entwickelt wurde. [mehr]

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen