Die digitale Achillesferse: Moderne Endpoint Security im Kampf gegen Cyberangriffe
„Modern Endpoint Security“ bezeichnet eine IT-Sicherheitstechnologie, die darauf abzielt, die Endpunkte eines Unternehmensnetzwerks so gut wie möglich abzusichern und resilienter zu machen. Um das zu gewährleisten, werden technische und organisatorische IT-Maßnahmen ergriffen, die vor unberechtigtem Zugriff, potenzieller Schadsoftware oder Abfluss von Daten auf dem Endgerät schützen sollen.
Der Beitrag zeigt, welche Gründe es gibt, moderne Endpoint-Security-Lösungen einzusetzen und wie diese prinzipiell aufgebaut sind.
Eine moderne Endpoint-Security-Lösung bietet einen umfassenderen Schutz als herkömmliche Methoden, wie zum Beispiel, dass alle Endgeräte wie PCs und Notebooks mittels einfacher Antivirensoftware gegen Angriffe geschützt werden. Solche Lösungen sorgen dafür, dass sich die Endgeräte nicht einzeln, sondern als zusammenhängendes IT-System oder als IT-Infrastruktur zentral verwalten lassen. Dadurch können IT-Sicherheitsspezialisten kurzfristiger und präziser auf Anomalien reagieren und so Angriffe schneller erkennen sowie Schäden begrenzen. Der Einsatz von modernen Endpoint-Security-Lösungen ist daher eine Investition in die Zukunft der IT-Sicherheit.
Gründe für moderne Endpoint Security
Die zunehmende Digitalisierung führt zu einer steigenden Anzahl von Endgeräten in Unternehmen. Ein Aspekt dabei ist die Bring-your-own-device-(BYOD)-Politik, die viele Firmen verfolgen. Allerdings stellt dies ein IT-Sicherheitsrisiko dar, weil die meisten Mitarbeiter diese Endgeräte auch privat nutzen. Dadurch kann Schadsoftware vielfältiger und schneller auf das Endgerät gelangen. Das liegt auch daran, dass Heimnetzwerke in der Regel nicht so stark gesichert sind wie Firmennetzwerke. Gewöhnlich befinden sich in Heimnetzwerken alle IT-Geräte im selben Netzwerk.
Da Smartphones rund um die Uhr mit dem Internet verbunden sind, sind sie ein beliebtes Ziel für Angriffe, die sich von dort aus auf andere IT-Geräte ausbreiten. Ein mögliches Sicherheitsrisiko auf Smartphones sind kostenlose Apps, die teilweise so manipuliert sind, dass sie zu Datenlecks führen können. Oft erhalten Apps mehr Berechtigungen als nötig und können so auf Daten des Smartphones zugreifen. Dadurch gelingt es Kriminellen, diese an bestimmte Remote-Server zu senden, um sie im Weiteren missbräuchlich zu verwenden. Da Smartphones auch im Firmenkontext genutzt werden – etwa, um auf Ressourcen des Unternehmens zuzugreifen oder vertrauliche Unternehmensdaten zu speichern – stellt dies ein hohes Gefährdungspotenzial für Unternehmen dar.
Es wird immer wichtiger, alle IT-Geräte angemessen zu schützen, um eine Ausbreitung von Schadsoftware im eigenen Firmennetzwerk sowie den Abfluss von Daten und den Zugriff auf Endgeräte zu verhindern. Um sicherzustellen, dass Schadsoftware nicht in Firmennetzwerke eindringen kann, müssen alle IT-Geräte, die sich mit dem Firmennetzwerk verbinden möchten, ausreichend mithilfe von modernen Endpoint- Security-Lösungen geschützt sein [1]. Ein zunehmend größeres IT-Sicherheitsrisiko ist, dass sich Unternehmen immer noch auf Perimetersicherheit verlassen. Dabei handelt es sich um ein Paradigma aus den Anfangszeiten des Internets. Es soll hierbei dafür gesorgt werden, dass Fremde aus dem Internet nicht auf das Unternehmensnetzwerk zugreifen können.
Da man bei der Perimetersicherheit jedoch davon ausgeht, dass das eigene Firmennetz sicher und vertrauenswürdig ist, werden für dieses keine ausreichenden IT-Sicherheitsmechanismen verwendet [2]. So kann ein Angreifer sich nach gelungener Überwindung des Perimeters frei im internen Unternehmensnetzwerk bewegen. Nicht zuletzt war das einer der Gründe für die erfolgreichen Ransomware-Angriffe der vergangenen Jahre.
Damit die IT-Infrastruktur eines Unternehmens resilienter wird, müssen die Verantwortlichen dafür sorgen, dass die Endgeräte robuster werden, Angriffe möglichst schnell erkannt und strukturelle Gegenmaßnahmen ergriffen werden. Wie Endpoint-Security-Lösungen dies erreichen und welche Komponenten hierfür verwendet werden, wird im nächsten Abschnitt beschrieben.
Komponenten von modernen Endpoint-Security-Lösungen
„Modern Endpoint Security“-Lösungen bestehen aus verschiedenen Kernkomponenten, die zusammenarbeiten müssen, um einen umfassenden Schutz aller IT-Geräte eines Unternehmens zu gewährleisten. Diese Komponenten können in vier Kategorien unterteilt werden (siehe Abbildung 1):
Abbildung 1: Endpoint Security
Kategorie: Prävention
Diese Kategorie umfasst als erstes die Komponente Anti-Malware-Software, die Malware erkennen soll, um die Ausführung der verschiedenen Schadfunktionen wie Ransomware, Keylogger, Spam, DDoS, Click-Fraud, Adware zu verhindern. Die Anti-Malware-Software nutzt neben der Signaturerkennung auch die Anomalieerkennung, um neue, noch nicht bekannte Angriffe zu identifizieren. Außerdem gehören zur Kategorie Prävention die Komponenten Firewall sowie Webfilter und Anwendungsisolation.
Firewalls befinden sich sowohl auf dem Endgerät wie auch in der zentralen Verwaltung der Endpoint-Security-Lösung. Die zentrale Firewall ist dafür zuständig, dass alle dezentralen Firewalls der Endgeräte korrekt eingestellt sind. Hierzu gehört, dass die möglichen Einfallstore, zum Beispiel Ports mit standardisierten Anwendungen mithilfe der Firewall möglichst geringgehalten werden. Dazu werden auf jedem IT-Gerät nur die Ports nach außen geöffnet, die für das IT-Gerät benötigt werden, um die Angriffsfläche so gering wie möglich zu halten. Da PCs und Notebooks nicht aus dem Internet erreichbar sein müssen, sollten keine Ports auf diesen IT-Geräten nach außen freigegeben werden, da dies sonst zu IT-Sicherheitsrisiken führt. Ein Notebook zum Beispiel muss auch nicht auf alle möglichen Ports von Servern zugreifen können.
Eine pragmatische Möglichkeit wäre, die Ports auf 80 und 443 für das Surfen im Internet und die Ports 465, 995 und 993 für das Senden und Empfangen von E-Mails zu beschränken [3]. Zusätzlich
sollten noch die Ports, die die Unternehmenssoftware benötigt, freigegeben werden. Webfilter blockieren den Zugriff zu schädlichen fremden Webseiten. Die Regeln, die der Webfilter für das Blockieren schädlicher Webseitenzugriffe verwendet, stellt die zentrale Verwaltung der Endpoint-Security-Lösung bereit. Diese werden dann entsprechend auf die Endgeräte übertragen, sodass jedes IT-Gerät die festgelegten Regeln verwendet. Das führt dazu, dass Webseiten, die bösartige Aktivitäten durchführen, direkt auf allen Endgeräten des Unternehmens blockiert werden.
Bei der Anwendungsisolation werden Anwendungen wie ein E-Mail-Agent oder Browser – durch die Schadsoftware leichter auf das Endgerät gelangen könnten – von allen anderen Business-Anwendungen wie Office-Paket, Softwareumgebungen oder Design-Tools separiert. Hierdurch kann die Schadsoftware nicht das gesamte IT-Gerät befallen. Das wird zum Beispiel durch die Containerisierung realisiert, die Anwendungen in unterschiedliche Namespaces einteilt. Damit wird erreicht, dass Anwendungen nur noch mit Anwendungen desselben Namespaces kommunizieren können. So ist sichergestellt, dass zum Beispiel beim Anklicken eines Links in einer E-Mail und dem damit verbundenen Herunterladen von Schadsoftware diese nur innerhalb des definierten Namespaces agieren kann und keinen negativen Einfluss auf den Rest des IT-Gerätes hat.
Kategorie: Erkennung
In diese Kategorie fallen die Komponenten Verhaltensanalyse, Threat Hunting und Sandboxing. Bei der Verhaltensanalyse geht es darum, dass die Endgeräte mit Sensoren ausgerüstet sind, die eine Vielzahl von sicherheitsrelevanten Informationen sammeln. Die Sensoren überwachen zum Beispiel kontinuierlich die Speicherzugriffe, Logins, Registry-Inhalte und Netzwerkaktivitäten. Auf dieser Basis wird das Verhalten im Endgerät beobachtet und analysiert, um festzustellen, ob ein Angriff oder ein ungewöhnliches Verhalten stattfindet. Falls ein Angriff oder eine verdächtige Aktion erkannt
wird, ist die Endpoint-Security-Lösung in der Lage, autark ohne eine zentrale Verwaltung mithilfe von IT-Sicherheitsmaßnahmen – wie zum Beispiel der Firewall – zu interagieren, um Schäden zu vermeiden.
Zusätzlich werden diese sicherheitsrelevanten Ereignisse oder die wichtigsten davon auch als Telemetriedaten an eine zentrale Verwaltung gesendet. Dort können sie mithilfe weiterer sicherheitsrelevanter Informationen von anderen Endgeräten des Unternehmens, dritten Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder anderen Kunden des Anbieters mithilfe künstlicher Intelligenz intensiver analysiert werden.
Die zentrale Analyse hat den Vorteil, dass auf der Basis einer globalen Sicht über alle IT-Geräte des Unternehmens mehr und präziser Angriffe erkannt und eine entsprechende Reaktion über alle IT-Geräte wirkungsvoller umgesetzt werden kann.
Beim Threat Hunting wird proaktiv auf den Endgeräten und im Netzwerk nach potenziellen Bedrohungen gesucht. Hierbei werden zum Beispiel mittels Anomalieerkennung untypische Verhaltensweisen aufgezeichnet. Die Mehrwerte von Threat Hunting sind, dass IT-Sicherheitsteams wertvolle Erkenntnisse wie neue Strategien von Angreifern erhalten, wodurch sie ausreichend gerüstet sind, um im großen Umfang Angreifer zu erkennen. Damit trägt Threat Hunting dazu bei, die Angriffsfläche zu verringern und automatische Erkennungsfunktionen zu verbessern.
Beim Sandboxing wird eine isolierte, virtualisierte, sichere Umgebung, die ein IT-Gerät nachbildet, erstellt. In dieser Umgebung können Code und ausführbare Dateien auf dieselbe Weise ausgeführt werden wie auf dem realen IT-Gerät. Da die Sandbox vollständig von allen anderen IT-Geräten isoliert ist, kann verdächtige unbekannte Software ausgeführt werden, ohne Schaden anzurichten, und ein IT-Sicherheitsexperte kann untersuchen, was die verdächtige unbekannte Software macht. Anschließend kann er entscheiden, ob die Software auf die IT-Geräte gelangen darf oder nicht. Was in der Sandbox landet, kann von Komponenten wie der Anti-Malware-Software sowie dem IT-Sicherheitsspezialisten bestimmt werden.
Kategorie: Reaktion
Zur Kategorie Reaktion gehören die automatische Reaktion mittels eines Intrusion-Prevention-Systems und eine manuelle Reaktion der IT-Sicherheitsexperten eines Security-Operations-Centers (SOC).
In Endpoint-Security-Lösungen gibt es zusätzlich zur Verhaltensanalyse ein (zentrales) Intrusion-Prevention-System, welches bei erkannten Angriffen die notwendigen IT-Sicherheitsmaßnahmen einleitet. Bei den automatischen Reaktionen gibt es verschiedene Möglichkeiten. Das erste Beispiel für eine solche automatische Reaktion ist das Isolieren von Endgeräten im Netzwerk. Das hat den Vorteil, dass das Endgerät, bevor es wieder im Netzwerk kommunizieren kann, komplett überprüft werden kann, ohne Schaden anrichten zu können. So kann das Risiko eines erfolgreichen Angriffs auf das gesamte Netzwerk verringert werden. Ein weiterer Vorteil ist, dass vorhandene Schadsoftware auf dem Endgerät nicht mehr mit dem Angreifer kommunizieren kann.
Je nachdem, wie schnell das untypische Verhalten erkannt wird, kann die Schadsoftware somit keinen Schaden anrichten, da sie keine Befehle vom Angreifer erhalten kann. Eine weitere Möglichkeit der automatischen Reaktion ist das Ändern von Firewall-Regeln. Wird ein Angriff aus dem Internet erkannt, werden die Firewall-Regeln so angepasst, dass der Port, auf dem der Angriff erfolgt, sofort und automatisiert geschlossen wird. Hierdurch wird der Angriff beendet.
Bei der manuellen Reaktion werden die Angriffe nicht von der Endpoint-Security-Lösung bearbeitet, sondern einem IT-Sicherheitsspezialisten in seinem Dashboard angezeigt (siehe Abbildung 2). Der IT-Sicherheitsspezialist muss sich dann die gemeldeten Angriffe ansehen und entsprechende IT-Maßnahmen ergreifen. Dieses manuelle Verfahren hat den Vorteil, dass hierdurch nur echte Angriffe gesperrt werden.
Abbildung 2: Endpoint Security – zentrale Verwaltung
Ein Beispiel für eine mögliche manuelle Reaktion: Angenommen, ein IT-Gerät ist schon länger ins Netzwerk integriert und hat immer eine durchschnittliche Netzwerklast von 10 Mbit/s. Nun wird festgestellt, dass von diesem IT-Gerät gar keine Backups gemacht werden. Dann werden Backups für dieses IT-Gerät eingerichtet, die um drei Uhr Nachts erstellt werden. Dadurch steigt die Netzwerklast zu diesem Zeitpunkt auf 1 Gbit/s an. Aufgrund der Verhaltensanalyse ergreift die Endpoint-Security-Lösung Maßnahmen und isoliert automatisch das IT-Gerät. Dadurch wird aber das Backup unterbrochen. Ein IT-Sicherheitsspezialist kann aufgrund seines Hintergrundwissens aber entscheiden, ob dieser Traffic legitim ist und keine automatischen Maßnahmen ergriffen werden müssen.
Die manuelle Reaktion bringt jedoch zwei Herausforderungen mit sich. So erfordern einige Angriffe eine sofortige Reaktion. Ein Beispiel dafür ist eine Ransomware-Attacke. Hier muss schnell gehandelt werden, um den Schaden so gering wie möglich zu halten. Die zweite Herausforderung ist, dass der IT-Sicherheitsspezialist eine große Menge an Meldungen erhält. Diese zu priorisieren ist sehr aufwendig und erfordert viel Erfahrung.
Kategorie: Management
In diese Kategorie gehören das Patch-Management, Data-Loss-Prevention und das Mobile-Device-Management. Die zentrale Verwaltung ermöglicht es, alle Endgeräte eines Unternehmens von einer zentralen Stelle aus zu verwalten. Hierzu übermitteln die Endgeräte Telemetriedaten an die zentrale Verwaltung. Diese sicherheitsrelevanten Daten werden auch mittels künstlicher Intelligenz
analysiert. Aufgrund dieser Analyse werden wie schon beschrieben entweder automatisiert IT-Sicherheitsmaßnahmen ergriffen oder eine Meldung an den IT-Sicherheitsspezialisten gesendet, sodass dieser den Vorfall genauer (manuell) betrachten kann. Der Vorteil einer zentralen Verwaltung ist, dass ein Sicherheitsexperte die gesamte IT-Infrastruktur überwachen und auf auffälliges Verhalten von Endgeräten reagieren kann. Außerdem kann er so auf Alarmierungen der Anti-Malware-Software oder der Verhaltensanalyse reagieren und zentral auf allen IT-Geräten Einstellungen anpassen oder andere IT-Sicherheitsmaßnahmen ergreifen.
Eine weitere Möglichkeit, die durch diese zentrale Stelle realisiert werden kann, ist das Patchen von Endgeräten (Patch-Management). Hierbei wird das Endgerät in regelmäßigen Abständen über den auf dem Endgerät befindlichen Agenten gescannt. Sollte ein Patch für eine in den Regeln festgelegte Anwendung gefunden werden, wird die Anwendung im Hintergrund aktualisiert. Eine andere Möglichkeit ist, dass die Software auf dem Endgerät immer dann auf Aktualität überprüft wird, wenn es sich im Netzwerk und damit über den auf dem Endgerät installierten Agenten anmeldet. Das hat den Vorteil, dass IT-Geräte, die zum Beispiel nur ab und zu eingeschaltet werden, nicht erst bei der nächsten Prüfungsperiode geprüft werden, sondern direkt dann, wenn sie im Netzwerk verfügbar sind.
Bei der Data-Loss-Prevention geht es um die Erkennung und das Verhindern von Datenschutzverletzungen, Exfiltration oder unerwünschte Zerstörung sensibler Daten. Exfiltration ist eine unautorisierte Verschiebung von Daten. Um das zu verhindern, werden verschiedene Aktivitäten unterbunden: Hochladen von Dateien in Cloud-Dienste, Kopieren von Daten oder Dateien in die Zwischenablage, auf USB-Sticks oder auf freigegebene Netzwerkordner werden blockiert. Außerdem wird der Zugriff auf nicht zugelassene Apps sowie das Drucken verhindert. Hierdurch kann gewährleistet werden, dass Daten nicht unbefugt das Unternehmen verlassen können.
Mobile-Device-Management (MDM) ist eine Software, um Mobilgeräte bereitzustellen und gleichzeitig Unternehmenswerte wie zum Beispiel Firmendaten zu schützen. Neben der Verwaltung des IT-Gerätebestands schützt ein MDM auch die Anwendungen, Daten und Inhalte der IT-Geräte selbst. Wenn ein IT-Gerät beim Mobile-Device-Management angemeldet ist, erhält es rollenbasiert Zugriff auf Unternehmensdaten und E-Mails. Darüber hinaus kann je nach verwendeter Endpoint-Security-Lösung ein sicherer VPN-Gateway, GPS-Verfolgung, kennwortgeschützte Anwendungen, Löschen der Daten bei Verlust des IT-Gerätes sowie weitere Funktionen zur Optimierung der Datensicherheit integriert werden.
Fazit
„Modern Endpoint Security“-Lösungen sind heute wichtiger denn je. Die zunehmende Digitalisierung und Vernetzung von Unternehmen führt zu einer exponentiell steigenden Anzahl von potenziellen Angriffspunkten für Cyber-kriminelle. Die modernen Endpoint-Security-Lösungen bieten einen umfassenden Schutz für Endgeräte wie Notebook, Smartphones, Tablets und IoT-Geräte, die in Unternehmensnetzwerken verwendet werden. Es werden verschiedene IT-Sicherheitstechnologien zur Prävention, Erkennung, Reaktion und dem Management integriert, um einen umfangreichen Schutz zu gewährleisten. Durch die zentrale Verwaltung, oft aus professionellen Security-Operations-Centern heraus, kann die gesamte IT-Infrastruktur auf einen Blick überwacht werden, sodass schneller auf Angriffe reagiert werden kann, um größere Schäden abzuwenden.
Literatur
[1] C. Böttger, N. Pohlmann: „Sicheres und vertrauenswürdiges Arbeiten im Homeoffice – aktuelle Situation der Cybersicherheitslage“, IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag, 2/2021
[2] N. Pohlmann: „Die Notwendigkeit von neuen IT-Sicherheitskonzepten“, DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 1/2024
[3] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung“, Springer-Vieweg Verlag, Wiesbaden 2022
Sven Siebe studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Endpoint Security.
Norbert Pohlmann ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco.