Endpoint-Schutz in Zeiten des Fachkräftemangels
Endpunkte und Bedrohungen bändigen
Jeder Endpunkt im Unternehmen bietet ein potenzielles Ziel für Cyberattacken. Um die Unternehmens-IT zu schützen, sollten Endpunkte daher besonders gut abgesichert sein. Dabei müssen jedoch Administrationsteams heute deutlich mehr Endpunkte im Blick behalten als noch vor wenigen Jahren. Das Arbeiten im Home-Office seit Beginn der Pandemie und hybride Arbeitsmodelle haben die Zahl der Endpoints deutlich steigen lassen. Cloud- und IoT-Nutzung kommen erschwerend hinzu.
IT-Infrastrukturen sind dank Cloud-Nutzung und IoT-Anwendungen deutlich komplexer und stärker vernetzt. Dies erschwert es, potenzielle Angriffsvektoren aufzuspüren und abzusichern. Damit gehen die Aufgaben der Endpunkt-Administration heute weit über das klassische lokale Endpoint-Management hinaus. Denn wenn Mitarbeiter verstärkt remote und in der Cloud arbeiten oder viele Geräte für Außenstandorte im Einsatz sind, verzögert dies die Softwarewartung. Der Bruch zwischen der mobilen und der stationären Datenwelt führt so in vielen Fällen dazu, dass On-Premises-Geräte unter dem Radar der Netzwerksicherheit liegen, sodass unklar bleibt, inwiefern hier Sicherheitsrisiken bestehen.
Im Grunde muss die Endpunkt-Administration permanent darüber unterrichtet sein, welcher Beschäftigte welches Gerät mit welchen Berechtigungen nutzt und mit welcher Software es bestückt ist. Nur so lässt sich überblicken, wo Sicherheitslücken entstehen können. Solange jedoch die Administration von Nutzerkonten bereits an der Frage scheitert, welche Endgeräte ein Mitarbeiter oder Lieferant überhaupt nutzt oder welches Gerät nebenher privat im Einsatz ist, bleibt dies Utopie.
Auch die Frage, wie der Stand der Software, zugehöriger Patches oder möglicher Sicherheitslücken auf den einzelnen Geräten ist, dürfte vielen Administratoren schlaflose Nächte bereiten. Denn noch immer erfolgt das Schwachstellen-Management meist unregelmäßig und manuell – oft aus Kosten- und Kapazitätsgründen. Deshalb fehlt hier das nötige Wissen über die tatsächliche Bedrohungslage. Und selbst wenn Auswertungen für Clients, Server und mobile Endgeräte vorliegen, lassen sich diese oft nicht in einer gemeinsamen Übersicht vergleichen, da ihre Verwaltung über unterschiedliche Werkzeuge erfolgt.
Eine weitere große Herausforderung für Endpoint-Administratoren besteht darin, den Schutz sensibler Daten zu gewährleisten, wie ihn die EU-Datenschutz-Grundverordnung (EU-DSGVO) vorschreibt. Die fehlende Gesamtübersicht über den Zustand der Endpunkte erschwert es, die Richtlinien über alle Geräte hinweg zu realisieren. Als weitere Schwierigkeit kommt in diesem Zusammenhang der Einsatz unternehmensfremder Geräte im Sinne des BYOD-Konzepts (Bring Your Own Device) hinzu: Theoretisch können Beschäftigte im BYOD-Fall über ein privates Endgerät – das Administratoren nicht kontrollieren können – auf sensible Unternehmensdaten zugreifen. Um die Vorgaben der EU-DSGVO wirksam umzusetzen, gilt es also, den Zugriff von unternehmensfremden Endgeräten einzuschränken, sodass über sie kein Zugang zu sensiblen Daten möglich ist.
Alle genannten Aspekte belasten die IT-Abteilungen, die durch den anhaltenden Fachkräftemangel chronisch unterbesetzt sind. Zugleich behindern sie die Einrichtung eines umfassenden Sicherheitskonzepts. Zudem zögern viele Unternehmen noch, im großen Stil in Sicherheitsmaßnahmen zu investieren – was die Arbeit
des Endpoint-Administrationsteams nicht leichter macht. Gleichzeitig geraten Verantwortliche in einen Konflikt, wie viel Sicherheit sie überhaupt noch betreiben können, müssen sie doch ohnehin mit immer weniger Personal immer mehr Aufgaben bewältigen.
In diesem Spannungsfeld empfiehlt es sich, zunächst Budget und Möglichkeiten im Hinblick auf das Kosten-Nutzen-Verhältnis zu prüfen. Denn auch kleinere Lösungen tragen schon dazu bei, Datenlecks zu verhindern und Angriffe im Keim zu ersticken. So kann bereits eine Port-basierte Absicherung von Datenquellen den Einsatz von Speichermedien sicherer machen. Eine weitere Basismaßnahme besteht darin, per E-Mail-Verschlüsselung zu gewährleisten, dass nur der tatsächliche Adressat Inhalt und Anhänge von E-Mails lesen kann. Eine Multifaktor-Authentifizierung kann zudem den Zugriff auf Endpunkte und Applikationen mittels erschlichener Anmeldedaten verhindern.
Administratorenkonten verfügen naturgemäß über weitreichende Zugriffsrechte im Unternehmensnetzwerk. Deshalb dürfen sie nicht von den Maßnahmen ausgenommen sein. Auch hier sollte der Zugang zu Daten und Applikationen gemäß Least-Privilege-Prinzip so eingeschränkt wie möglich gehalten und gegebenenfalls auf die üblichen Büroarbeitszeiten beschränkt sein. Dies verringert die Gefahr eines erfolgreichen nächtlichen Hackerangriffs immens. Zudem ist es empfehlenswert, Administratorenkonten und Nutzerkonten zu trennen. Ein Administrator sollte also auch über ein Mitarbeiterkonto verfügen.
Darüber hinaus sollten sich IT-Abteilungen vom manuellen Schwachstellen- und Patch-Management verabschieden. Dieses lässt sich Tool-basiert einrichten, sodass Automatismen die Software auf den Endpunkten in regelmäßigen Abständen automatisieren. Patches können in kürzeren Abständen erfolgen, Sicherheitslücken schließen und so Cyberattacken vorbeugen. Letztlich gehört es auch zu den elementaren Maßnahmen, die Beschäftigten in Bezug auf die IT-Sicherheit regelmäßig zu schulen und dahingehend zu sensibilisieren, dass ihre Arbeitsgeräte und ihre Arbeitsweise ein stetes Einfallstor für Angriffe darstellen.
Transparenz in den Fokus rücken
Auf übergeordneter Ebene lassen sich Mobilgeräte, PCs und Laptops per UEM-Lösung (Unified-Endpoint-Management) konfigurieren und überwachen. Diese Management-Konsolen für unterschiedliche Endpunktsysteme wie Server, Clients und mobile Endgeräte unterstützen Funktionen wie beispielsweise die zentrale Bereitstellung von Konfigurationen oder Management-Profilen. Dies erhöht die Sichtbarkeit der Endgeräte.
Je nachdem, wie viele unterschiedliche Endgerätsysteme im Einsatz sind, ergibt es zudem Sinn, die Tools auf einer zentralen Management-Ebene zusammenführen – ansonsten geraten auch sie zu mehr oder weniger unübersichtlichen Teillösungen.
Um Endpunkte und damit Unternehmensnetzwerke umfassend und wirksam vor Cyberangriffen zu schützen, ist es mit Blick in die Zukunft empfehlenswert, verschiedene Techniken und Methoden intelligent zu kombinieren – beispielsweise im Rahmen eines SASE-Ansatzes (Secure Access Service Edge). Dieses Modell schützt durch Secure Web Gateways vor Gefahren aus dem Internet und sorgt gemäß dem Zero-Trust-Konzept für granulare Zugangskontrollen. Gleichzeitig gelangen die Daten per SD-WAN (Software-Defined WAN) auf dem schnellsten Weg ans Ziel.
Ergänzend sollte noch erweiterter und automatisierter Endpunktschutz (Endpoint Detection and Response, EDR) zum Einsatz kommen. Endpunkt-Administrationsteams profitieren so von höherer Transparenz und davon, dass bereits am Endpunkt der passende Schutz erfolgt und der Traffic im Netzwerk sicher ist. Dank automatisierter Abläufe und regelmäßiger Reports sparen sie zudem deutlich Zeit bei der Verwaltung der Sicherheitsmaßnahmen.
Security nach diesem neuartigen Konzept aufzubauen, scheitert im Moment jedoch noch häufig daran, dass den IT-Abteilungen keine Sicherheitsfachleute zur Verfügung stehen, die Bedrohungen einordnen und Maßnahmen ableiten können. Es lohnt sich daher, die Expertise erfahrener MSSPs (Managed Security Service Provider) einzuholen. Diese unterstützen dabei, entsprechende Lösungen in Betrieb zu nehmen. Auch können sie Daten im Rahmen von Managed Detection and Response auf mehreren Sicherheitsebenen korrelieren und – teilweise sogar automatisiert – auf Bedrohungen reagieren oder Handlungsempfehlungen geben.
Heutzutage müssen Verantwortliche abwägen, welche Security-Investitionen notwendig, aber gleichzeitig erschwinglich und zukunftsfähig sind. Ein erfahrener Dienstleister kann dabei maßgeblich unterstützen. Er stellt passende Lösungen bereit – auch im Managed Service – und weiß, wie sich die Weichen hin zu einer ganzheitlichen Strategie wie SASE stellen lassen.
Mareen Dose ist Presales Consultant bei Indevis.
Lesen Sie mehr zum Thema
