English

Die Krux mit dem Endpunkt

von VPNHaus | 09.12.2014 |Endpoint Management, Industry Commentary

IT-Sicherheit hat viele Facetten und es gibt – je nach Einsatzumgebung – unterschiedliche Angriffsvektoren. Einen gibt es allerdings immer: den Client. Wenn Dienste, Daten undAnwendungen nicht vom Anwender genutzt werden sollen, muss man sie schließlich gar nicht erst bereitstellen. Nun hat der Client, und damit ist das Endgerät gemeint, nicht der Mensch, der es bedient, in den letzten zehn Jahren eine enorme Wandlung durchgemacht. Es fing bei PCs mit Windows 95 an, setzte sich mit diversen Microsoft-Betriebssystem-Updates fort, bekam eine neue Dimension durch Formfaktoren wie Tablets und Smartphones und immer veränderten sich auch die Anwendungen. Browser und Apps öffneten neue, manchmal verschlüsselte Kanäle, vom Internet direkt ins Dateisystem. Und natürlich veränderten sich auch die Attacken auf die Endgeräte über die Jahre erheblich.

Um mit den neuen Angriffsformen Schritt zu halten, wurden neue Abwehrmaßnahmen entwickelt. Anti-Virus ist der Klassiker, dann folgten Sandboxes, die versuchen Malware durch eine eingeschränkte Laufzeitumgebung zu erkennen und zu blocken und nun wollen MicroVMs Schadsoftware auf Prozessebene eingrenzen. Dazu gibt es zahlreiche weitere Sicherheitsmaßnahmen, vom simplen Passwort über Zwei-Faktor-Authentisierung, Firewalls, Kryptografie und so weiter. Gegen die Maßnahmen an sich ist auch generell nichts zu sagen. Mit Anti-Virus-Software ist ein Endgerät weniger gefährdet als ohne. Die Frage ist nur: Wie viel weniger? Solange Firmen wissen, dass ihre gesammelten technischen Barrieren, egal wie neu und gut gepflegt, nicht mal im Idealfall unüberwindlich sind, ist alles in Ordnung. Dann kommt es darauf an, die Einfallslücken über ein ganzheitliches, realisierbares und vor allem immer wieder angepasstes Sicherheitskonzept so klein wie möglich zu halten.

Wenn sie aber davon ausgehen, dass Technik allein gegen alle Bedrohungen schützt, könnten sie sich den Aufwand sparen und mit dem Budget lieber die jährliche Weihnachtsfeier ausrichten. Egal was dann dem Angreifer in den Weg gelegt wird, es wird das Unvermeidliche nur minimal hinauszögern. Man kann es nicht oft genug wiederholen: Sicherheit ist ein Prozess und kein Produkt. End-to-End Verschlüsselung hilft nicht, wenn ein Trojaner, der über einen infizierten USB-Stick oder ein privates Smartphone eingeschleppt wurde, schon vorher die Tastenanschläge abgreift. Im schlimmsten Fall erschweren die Krypto-Maßnahmen dann noch, dass andere Sicherheitssysteme auf verdächtige Aktivitäten aufmerksam werden. Und alle IT-basierten Maßnahmen (ohne etablierte Prozesse, Rechtevergaben, Klassifizierung von wichtigen Daten, etc.) helfen nicht, wenn man dem Admin oder einem anderen Mitarbeiter mit genügend krimineller Energie 50.000.- € in die Hand drückt und er intern beschafft, was zu beschaffen ist. Ein Sicherheitsniveau wird über das schwächste Glied definiert, nicht über die größten Budgets.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK