Endpoint-Management trifft Security

Surfen auf der Angriffswelle

10. Januar 2019, 7:00 Uhr | Dr. Wilhelm Greiner

Das Client-Management wandelt sich immer mehr zum UEM (Unified-Endpoint-Management), also zur einheitlichen Verwaltung sämtlicher unternehmensüblicher Gerätegattungen (Windows-, Linux- und macOS-Rechner sowie Mobilgeräte unter iOS, Android etc.). Durch den verstärkten Einsatz von Mobilgeräten und deren App-Vielfalt sowie insbesondere durch das Internet of Things (IoT) rückt dabei der Sicherheitsaspekt in den Mittelpunkt. Vor dem Hintergrund dieser Entwicklung hat sich auch das Management klassischer Windows-Clients im Unternehmen verändert.

Gartner unterscheidet seit 2018 nicht mehr zwischen der Windows- und der Mobilgerätewelt, sondern hat den Markt in einem Magic Quadrant zum Thema UEM zusammengefasst [1]. Marktführer sind hier laut den Analysten - stets mit deren Fokus auf multinationale Konzerne - VMware, Microsoft, IBM, BlackBerry und MobileIron vor Verfolgern wie Citrix, Sophos, Ivanti oder (der einzige hier genannte deutsche Anbieter) Matrix42. Das Analystenhaus sieht UEM dabei als Baustein einer umfassenden Sicherheitsarchitektur: Aufgabe der Werkzeuge sei es nicht zuletzt, als Koordinationsstelle zu dienen, um Aktivitäten wie Identity-Services und endpunktbezogene Aspekte der Sicherheitsinfrastruktur abzudecken.

LL01S01add VMWare Michael Weber
"Cyberkriminalität hat sich in den letzten Jahren erheblich weiterentwickelt und ist deutlich aggressiver geworden", so Michael Weber, Manager System Engineering End User Computing Germany bei VMware. Bild: VMware

Die UEM-Anbieter richten ihr Augenmerk heute stark auf Security-Fragen. Schließlich kommen sie häufig aus der Mobilgerätewelt, wo die Sicherheit der Endgeräte und Apps eine zentrale Herausforderung ist - vom iPhone-Jailbreak bis zu Malware im Android-App-Store. Doch Gartner weist auch darauf hin, dass aktuelle UEM-Tools manche Aufgaben klassischer Windows-Verwaltung nicht abdecken: Die Absicherung des gesamten - teils älteren - Windows-Gerätebestands, Patch-Management und die Paketierung von Applikationen sind oft nicht Bestandteil von UEM-Angeboten - insbesondere solcher, die aus der Mobility-Welt kommen. Dies kann zu Problemen führen, wenn IT-Teams auf speziell angepasste Windows-Images setzen, um unternehmensweit für einen einheitlichen Sicherheitsstandard zu sorgen.

Mobile- vs. Windows-Welt

So klafft nach wie vor eine Lücke zwischen der Mobilgeräte- und der Windows-Welt, die sich aber allmählich schließt: Einerseits baut Microsoft seine MDM-APIs (Mobile-Device-Management-Schnittstellen) aus, um so der Verwaltbarkeit mittels Gruppenrichtlinien näher zu kommen; andererseits bieten auch einige UEM-Anbieter für solche Fälle Hilfsmittel wie Security-Policies, Unterstützung von Scripting oder auch Patch-Funktionalität an.

Zugleich hat Microsoft die Security-Bordmittel von Windows erheblich ausgebaut: "Windows Defender Advanced Threat Protection (ATP) ist eine integrierte Plattform und bietet präventiven Schutz, die Erkennung bereits erfolgter Angriffe sowie automatisierte Untersuchungen und Reaktionen", erläutert Stratos Komotoglou, Subsidiary Product Marketing Manager bei Microsoft. Dank Vernetzung mit Microsofts Intelligent Security Graph greife die Lösung in Echtzeit auf Milliarden von Signalen zu. So könne man neue Bedrohungen schnell erkennen und präventiv dagegen vorgehen, um etwa eine Verbreitung von Malware im Unternehmensnetz zu verhindern.

LL01S01b
Bei VMware bilden die Absicherung des Endgeräts und die Feststellung der Nutzeridentität zwei Bausteine eines umfassenden Workspace-Konzepts. Bild: VMware

Trotz solcher Verbesserungen bei der Windows-Sicherheit herrscht unter den von LANline befragten UEM-Anbietern - wenig überraschend - große Einigkeit, dass Security für sie weiterhin eine zentrale Rolle spielen wird. "Für unsere Kunden wird der Sicherheitsaspekt immer wichtiger", erklärt zum Beispiel Michael Weber, Manager System Engineering End User Computing Germany bei VMware. "Cyberkriminalität hat sich in den letzten Jahren erheblich weiterentwickelt und ist deutlich aggressiver geworden. Die Bedrohung für Unternehmen steigt - sie müssen direkt reagieren und geschützt werden."

In der Branche ist man sich einig, dass EPP (Endpoint Protection) erheblich an Bedeutung gewinnt. Dabei spielt neben der Schadcode-Abwehr neuerdings die schnelle Reaktion auf Vorfälle (Endpoint Detection and Response, EDR) eine größere Rolle. EDR ergänzt den klassischen, auf Prävention ausgerichteten Endgeräteschutz um zusätzliche Werkzeuge: Mittels statistischer Analyse (Machine Learning, ML) ermöglichen es EDR-Tools, Abweichungen vom Normalverhalten aufzudecken. Zugleich erlauben sie es der IT-Organisation mittels Alarmierung oder automatisierter Reaktionen, Bedrohungen schneller abzuwehren. EDR-Funktionalität wandert zunehmend in EPP-Lösungen hinein: Man findet diese Entwicklung bei Security-Anbietern von Bitdefender bis Sophos, Symantec oder Trend Micro (siehe "Schutz für Industrie, Endpoints und Clouds", LANline 12/18, Seite 6ff.). "Gartner hat deutlich gemacht, dass traditionelle EDR-Funktionen im Jahr 2018 bereits zu Kernkomponenten für EPP geworden sind", kommentiert Christian Schneegans, Spezialist Software Consulting Enterprise Management beim ManageEngine-Vertriebspartner MicroNova in Anspielung auf Gartners Magic Quadrant zu EPP [2].

LL01S01c
Per Dashboard geben moderne Endpoint-Management-Lösungen - im Bild DeskCenter - den Überblick über sicherheitsrelevante Aspekte wie unbekannte Geräte oder Patch-Status. Bild: DeskCenter Solutions

Unterschiedliche Security-Strategien

Die Frage, wie mit den Themen EPP und EDR umzugehen ist, beantworten die Endpoint-Management-Anbieter allerdings in unterschiedlicher Weise. "Heutzutage erwarten die Kunden, dass Security-Funktionen direkt vom Betriebssystem aus zur Verfügung stehen, wie zum Beispiel die Festplattenverschlüsselung Bitlocker oder die Antivirensoftware Windows Defender", sagt AppTec-Geschäftsführer Sahin Tugcular. Deshalb baue AppTec primär auf die Windows-Bordmittel. Beim Dortmunder Softwarehaus Materna wiederum setzt man auf die bewährte Arbeitsteilung zwischen Endpoint-Management- und Security-Spezialisten: "Die Anforderungen an Endpoint Protection beziehungsweise Endpoint Detection and Response sind so spezifisch, dass hier spezialisierte Anbieter die beste Lösung bieten", so Dirk Struck, Abteilungsleiter IT Operations bei Materna. "Hier können die eher breiter aufgestellten Client-Management-Suiten nicht mithalten."

"Unternehmen nutzen größtenteils noch immer getrennte Endpoint-Management- und Endpoint-Security-Lösungen", bestätigt Harald Kiy, Geschäftsführer des Systemhauses Sector27. Doch er betont: "Langfristig führt an einem ganzheitlichen Konzept aber kein Weg vorbei: Management und Sicherheit gehören untrennbar zusammen!" Leider seien Unternehmen und Anwender noch immer wenig für Sicherheitsrisiken sensibilisiert: "Sie wissen zwar um die potenzielle Bedrohung, sehen aber keinen Mehrwert in einem ganzheitlichen Schutz der Endgeräte", so Kiy.

LL01S01d
Betont den Wert der bewährten Arbeitsteilung zwischen Endpoint-Management- und Endpoint-Security-Spezialisten: Materna-Mann Dirk Struck. Bild: Materna

UEM-Anbieter, die sich auf den Weg in Richtung EPP und EDR gemacht haben, gehen dieses Projekt auf verschiedenen Wegen an: über Partnerschaften, mittels Eigenentwicklung oder aber per Zukauf. Das prominenteste Beispiel für letzteren Fall ist wohl BlackBerrys Akquisition von Cylance, verkündet Mitte November. Der kanadische Smartphone-Pionier hat sich inzwischen als Anbieter einer sicheren Management-Plattform für das "Enterprise of Things" neu erfunden (siehe Link). Der Zukauf eines Spezialisten für KI-basierte Sicherheit ist somit ein logischer nächster Schritt.

Eine ähnliche Strategie verfolgt Matrix42. Durch die Akquisition von EgoSecure erweiterte das Frankfurter Softwarehaus sein UEM-Portfolio um Funktionen für Endpoint-Kontrolle inklusive Application Whitelisting, Auditing, Filtering, Verschlüsselung und die intelligente Reaktion auf Vorfälle. Matrix42 will die Ego-Secure-Software im Lauf des Jahres 2019 mit den eigenen Angeboten integrieren, erklärte CEO Oliver Bendig auf der It-sa gegenüber LANline. Ziel sei die automatisierte Incident Response bei Angriffen auf Endpunkte.

"Wird eine Malware oder Ähnliches auf den Endgeräten entdeckt, muss die weitere Ausführung unterbunden werden, ohne dass der Mitarbeiter in seiner Arbeit gestört wird", ergänzt Daniel Döring, Technical Director Security and Strategic Alliances bei Matrix42. Die akquirierte Lösung EgoSecure Data Protection bestehe überwiegend aus Eigenentwicklungen und verfüge daher über ein einheitliches Installations-, Administrations- und Bedienungskonzept. Als Plattform für Datenschutz, die EPP- und EDR-Funktionen kombiniert, ermögliche sie die Steuerung der Kommunikation zwischen Applikationen in Echtzeit.

LL01S01g
Die von BlackBerry übernommene Cylance-Software dient der ML-basierten Bedrohungsabwehr und stellt verdächtige Endpunkte automatisch in Quarantäne. Bild: BlackBerry/Cylance

Mitbewerber Kaseya wiederum akquirierte im Herbst RapidFire, einen Anbieter von IT-Assessment- und Compliance-Software. Kaseyas Chief Strategy Officer Mike Puglia hob hervor, die hauseigene Lösung VSA vereine Endpoint- und Netzwerk-Management für einen vollständigen Endpoint-Schutz. "Der tiefe Zugriff auf Endpunkt- und Infrastrukturdaten ermöglicht es Technikern, die gesamte Umgebung automatisch zu reparieren oder remote zu betreiben und Endpunkt- wie auch Netzwerkereignisse aufeinander zu beziehen, um Problemursachen schnell zu identifizieren und zu beheben", so Puglia.

Verhaltensanalyse und Gerätekontrolle

Auch Citrix kauft immer wieder Technologien hinzu, zuletzt den Traffic-Management-Spezialisten Cedexis und den Micro-App-Anbieter Sapho. Die Security-Strategie des Digital-Workspace-Vorreiters konzentriert sich allerdings vorrangig auf die Nutzung ML-basierter Verhaltensanalyse (siehe Beitrag auf Seite 8). "Mit Citrix Analytics sind unsere Kunden in der Lage, ihre komplette Citrix-Landschaft zu überwachen und kritisches Verhalten schnell und automatisch zu erkennen", so Stefan Volmari, Director Sales Engineering Central Europe bei Citrix. Die erforderlichen Komponenten seien alle bereits in allen hauseigenen Lösungen integriert. Besonders wichtig sei für die Anwender die Möglichkeit, lösungsübergreifend Anomalien zu entdecken. Die Analytics-Software läuft in der Citrix Cloud und somit auf Microsoft Azure, zur Auswertung zieht sie Microsofts ML-Algorithmen heran.

LL01S01h
EgoSecures Lösung Data Protection erleichtert es dem IT-Management-Team durch sein Modul Insight, den Überblick über die Datensicherheit im Netzwerk zu behalten. Bild: Matrix42/EgoSecure

Bei Ivanti, 2017 entstanden aus dem Zusammenschluss von Landesk und Heat Software, betont man die Breite der hauseigenen Security-Funktionalität: "Ivanti prägt seit Längerem schon den Begriff ,Operational Security?, um IT-Betrieb und klassische Client-Management-Themen mit Security zu verbinden", sagt Bernhard Steiner, Director PreSales EMEA Central bei Ivanti. Integriert in das Endpoint-Management biete man neben den Standardfunktionen Antivirus und Patch-Management auch Features für die Applikations- und Gerätekontrolle. "Zudem sichern automatische Remediation-Funktionen bei Ransomware-Befall alle Einstellungen und Benutzerdateien unmittelbar, um dann - gleichfalls automatisch - ein Re-Imaging der betroffenen Maschine anzustoßen", so Steiner weiter. "Dies hilft, manuelle Aufwände in der Administration dramatisch zu reduzieren und die Incident Response deutlich effizienter zu gestalten." 2019 werde man diese Möglichkeiten per Partnerschaft mit dem EPP-Spezialisten Crowdstrike ausbauen.

Konkurrent Quest Software, 2016 hervorgegangen aus der Abspaltung der Dell Software Group von dem US-Konzern, setzt hier auf seine Lösung Kace. "Mit der Quest-Kace-Lösung können Unternehmen nicht nur den physischen Zugriff auf Ports - USB, CD/DVD, Bluetooth etc. - absichern, sondern auch das Prinzip des ,Least Privilege? durchsetzen", so Timo Weberskirch, Sales Engineer bei Quest. Der Administrator habe eine zentrale Anlaufstelle für das geräteübergreifende Inventar, das Patch-Management und Sicherheitsüberprüfungen. Auch ManageEngine bietet App-Blacklisting und USB-Port-Kontrolle.

Neben Matrix42 offerieren auch die anderen heimischen Hersteller im Rahmen ihrer Client-Management- und UEM-Angebote diverse Security-Funktionen. "Schatten-IT oder nicht genehmigte Geräte erkennt DeskCenter zuverlässig durch die Inventarisierung und Analyse von Netzwerksegmenten und DHCP-Servern", so Benedikt Gasch, Direktor Produkt-Management bei dem Leipziger Anbieter. "Softwareseitig signalisiert ein Abgleich mit einem umfassenden Katalog dringenden Patch-Bedarf. Das integrierte Patch- und Software-Deployment schließt diese Lücken, bei über 300 Applikationen sogar automatisiert direkt aus unserer AppCloud."

LL01S01f
"MobileIron Bridge vereinfacht die Kundenmigration vom traditionellen Client-Management zu UEM", verspricht Chief Strategy Officer Ojas Rege. Bild: MobileIron

Sebastian Weber, Product Manager bei Aagon aus Soest, hebt hervor, bei der hauseigenen Lösung ACMP werde Bitlocker "komplett unterstützt". "Zusammen mit den ACMP-Modulen Schwachstellen- und Patchmanagement ist dies eine sehr starke Kombination, die wir mit der Integration von Avira AntiVirus im letzten Jahr noch zusätzlich ausbauen konnten", so Weber. Bei Aagon steht Endpoint Protection mit der geplanten Integration von SNMP-Geräten weiter auf der Roadmap.

Auch der Augsburger Client-Management-Spezialist Baramundi setzt auf eine Security-Partnerschaft: "Wir arbeiten für EPP sehr eng mit unserem Partner DriveLock zusammen", so Armin Leinfelder, Baramundis Head of Product Management. "Mit unseren neuen Modulen Smart DeviceGuard und Smart AppGuard liefern wir Lösungen für gehobene Sicherheitsansprüche. Diese Module sind ,Powered by DriveLock?."

Vom EMM zur Windows-Welt

Umgekehrt bewegen sich Anbieter wie MobileIron und Soti, die aus dem EMM-Segment (Enterprise-Mobility-Management) kommen, auf den Windows-Markt zu. So betont Stefan Mennecke, Regional Director Central Europe bei Soti, die Lösung lasse sich mit dem DHA-Service (Device Health Attestation) von Windows 10 integrieren. So könne man die Sicherheitslage des Geräts beurteilen, bevor es registriert und mit Zugriff auf Unternehmensressourcen ausgestattet wird. MobileIron wiederum verfügt sogar über ein spezielles Modul für die Anbindung an die Windows-Welt: "MobileIron Bridge vereinfacht die Kundenmigration vom traditionellen Client-Management zu UEM, indem es die Anwendung der Richtlinien in traditionellen Group Policy Objects (GPOs) auf Windows 10-Endpunkte vereinfacht", erläutert MobileIrons Chief Strategy Officer Ojas Rege. "Ein großer Teil unserer Windows-Kunden nutzt Bridge."

LL01S01e
Sieht Unternehmen und Anwender als noch zu wenig für Sicherheitsrisiken sensibilisiert: Sector27-Chef Harald Kiy. Bild: Sector27

Einen gänzlich anderen Weg zur Absicherung der Endpunkte empfiehlt hingegen Igel, der deutsche Lokalmatador in Sachen Thin Client Computing: "Igel sieht die Lösung eher in der Ablösung von Windows auf den Endgeräten", so Mathias Huber, Product Manager bei den Bremern. "Wir setzen auf den Endpunkten hauptsächlich auf das kompakte Linux-basierte Igel OS, das gegenüber vieler Malware-Varianten unempfindlich ist und sich leicht und schnell updaten lässt."

Insgesamt ist somit zu erwarten, dass sich der Markt für Endpoint-Management-Lösungen weiterhin in Richtung Endpoint Security bewegen wird, sei es über Eigenentwicklung, Zukäufe oder Partnerschaften. Dabei setzen die Anbieter immer häufiger auf Machine Learning und künstliche Intelligenz, um Auffälligkeiten beim Verhalten der Endgeräte zu erkennen - wie bei den EPP/EDR-Spezialisten inzwischen üblich. Denn in der Branche weiß man: Erfolgreiche Angriffe auf Unternehmensnetze nehmen in aller Regel den Weg über kompromittierte Endpunkte.

Weitere Informationen

[1] Gartner, "Magic Quadrant for Unified Endpoint Management Tools", 23.7.2018

[2] Gartner, "Magic Quadrant for Endpoint Protection Platforms", 24.1.18


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Mozilla

Weitere Artikel zu Gutmannsthal-Krizanits

Weitere Artikel zu Klaus Fischer Meß- und Regeltechnik GmbH

Weitere Artikel zu toplink GmbH

Weitere Artikel zu Brüel & Kjaer GmbH

Matchmaker+