Moderne Endpunktsicherheit (Endpoint Security) schützt Unternehmen und ihre Endgeräte – ganz gleich, wo sie eingesetzt werden. Spätestens seit der pandemiebedingten Zunahme von Remote-Work ist dies für Unternehmen unerlässlich. Eine umfassende Endpunktsicherheit fußt auf drei wichtigen Säulen.
10. November 2021
|
Lesedauer: ca. 2 Min.
Bild: © Windows/unsplash.com
Für Unternehmen jeder Branche ist es heute entscheidend, kritische IT-Schwachpunkte effizient zu reduzieren. Damit das gelingt, müssen sie ein besonderes Augenmerk auf die Frage legen, wie sie ihre Endgeräte mit modernen Endpoint Security-Lösungen umfassend schützen können. Um diese Frage zu beantworten, gilt es, die drei Säulen einer modernen Endpoint Security in den Fokus zu rücken. Diese sind: Hardwaresicherheit, starke Zugangskontrolle (Authentifizierung) und die Verwaltung des Endpunktlebenszyklus.
Werden diese drei Säulen beachtet, erreicht man die sogenannte Tiefenverteidigung (Defense-in-Depth) – ein Konzept der Informationssicherheit, das im Unternehmensumfeld als alternativlos gilt. Mit modernen Windows Geräten wie etwa Microsoft Surface lassen sich alle drei Säulen in die Tat umsetzen. Die Geräte setzen auf eine ausgereifte, fortschrittliche Hard- und Firmware, bei deren Entwicklung der Schutz des Geräts eine große Rolle spielt. Dabei kommen hardwaregestützte Sicherheitsfunktionen von Intel Prozessoren zum Einsatz, die direkt in den Chip integriert sind und jede Schicht des Compute-Stacks schützen sollen.
Die Voraussetzung für sichere Hardware ist das Trusted-Platform-Module (TPM) und das Unified-Extensible-Firmware-Interface (UEFI). Das TPM ist ein Krypto-Prozessor, der Devices um grundlegende Sicherheitsfunktionen erweitert. Das TPM ist resistent gegen physische Manipulationen und die Versuche bösartiger Software, es zu ändern oder zu stören. Es kann kryptografische Schlüssel generieren, speichern und steuern. Zudem werden Zugangsdaten schnell und einfach verschlüsselt, sodass nur autorisierte Personen darauf zugreifen können. Neben dem TPM ist das Mini-Betriebssystem Unified-Extensible-Firmware-Interface (UEFI) eines der beiden relevantesten hardwarebasierten Sicherheitsmerkmale. Das UEFI sorgt für das sichere Laden des Hauptbetriebssystems.
Zusammen bilden diese beiden Sicherheitsfunktionen die Basis für Hardwaresicherheit. Dies zeigt sich auch daran, dass ein UEFI-Mainboard mit Secure Boot-Funktion und ein TPM-Chip in Version 2.0 die Voraussetzung sind, um Windows 11 auf einem Device nutzen zu können.
Um jederzeit den Zugang zu sämtlichen, auf den Geräten gespeicherten Informationen zu kontrollieren, benötigen Firmen eine starke Form der Authentifizierung – wie die biometrische Authentifizierung. In Kombination mit einem weiteren Faktor lassen sich Sicherheitslücken so zuverlässig beseitigen. Mit Windows Hello for Business bieten Windows Geräte wie Microsoft Surface die Möglichkeit, den Benutzer mittels biometrischer Daten oder einer PIN zu authentifizieren.
Dabei speichert Microsoft keine biometrischen Daten in der Cloud – die Anmeldeinformationen sind an das Gerät gebunden und werden im Trusted-Platform-Module (TPM) gespeichert. Da entweder eine PIN oder biometrische Daten zur Authentifizierung verwendet werden können, gibt es auch keine Probleme, wenn die Biometrie einmal nicht erkennbar sein sollte.
Für eine ganzheitliche, moderne Endpoint Security muss der gesamte Endpunktelebenszyklus betrachtet werden – von der Bereitstellung, über die Verwaltung bis hin zur Außerbetriebnahme der Endgeräte. Möglichkeiten, deren Sicherheit zu stärken, bietet Microsoft für alle Phasen des Lebenszyklus. So beinhalten etwa Microsoft Surface Geräte Tools wie Windows Autopilot (für die Einrichtung und Bereitstellung, CANCOM.info berichtete) und Microsoft Surface Enterprise Management Mode (SEMM) – mit denen die IT robuste Sicherheitspraktiken in jeder Phase automatisieren kann.
Ziel muss es sein, keine Schwachstelle übrig zu lassen, die wichtige Daten oder gar das gesamte System kompromittieren könnte. Zwar können auch die am besten abgesicherten Unternehmen angegriffen werden. Jedoch verzweifeln auch die talentiertesten Hacker an einem System, das sie bei jedem Schritt vor neue Hindernisse stellt. Für den Endpunkt, etwa das Smartphone oder der Laptop, bedeutet das: Von Beginn des Lebenszyklus an sorgfältig verwalten, nicht vom Nutzer benötigte Berechtigungen entfernen, Updates auf allen Softwareebenen umgehend anwenden, sowie Daten während der Übertragung und im Ruhezustand verschlüsseln.
Die Ausführungen zeigen: Eine moderne Endpoint Security fußt auf den drei Säulen Hardwaresicherheit, Zugangskontrolle und Verwaltung. Entsprechend müssen Firmen Lösungen im Betrieb einsetzen, mit denen sie diese Bereiche optimal abdecken können. Solche Lösungen möchte Microsoft bieten – etwa mit Intel Chips ausgestattete Microsoft Surface Devices und Verwaltungssysteme wie Windows Autopilot.
Tiefergehende Informationen zum Thema Endpunktsicherheit finden Sie in unserem E-Book „Die 3 Säulen der modernen Endpoint Security“.
Wenn Sie eine individuelle Beratung zum Thema Security benötigen, kontaktieren Sie uns gerne hier.