Endpoint Security: Ende gut, alles gut.
Eine zuverlässige Schadcode-Erkennung ist sicher ein wichtiges Element jeder Client-Sicherheit. Die Vielzahl der Gefahrenherde macht aber die Verschmelzung mit Netzwerksicherheit unabdingbar. Und in Zukunft hilft vielleicht oft nur noch rigoroses Whitelisting.
Auch ein Unternehmensnetz ist nur so sicher wie das schwächste Glied, sprich der letztemobile Rechner, der irgendwo draußen herumstreunt, gleichwohl aber auf wichtige Anwendungen zugreifen kann und darf. »Solange es notwendig oder gewünscht ist, dem Benutzer die volle Kontrolle über seinen Arbeitsplatz zu geben, ist es mindestens genauso notwendig, jedes einzelne Endgerät auf seinen Sicherheitszustand zu überwachen «, konstatiert Klaus Gheri, der technische Direktor des Innsbrucker Konnektivitäts- und Sicherheitsspezialisten Phion.
In der Tat: Alle Sicherheitsmaßnahmen auf Netzebene, all die leistungsfähigen universellen Sicherheitsboxen (Unified Threat Appliances, UTM), ja auch alle noch so guten Netzzugangskontrollsysteme (NAC/NAP) sind unzureichend, wenn auf den Clients der jeweilige Nutzer das absolute Kommando haben soll. Michael Ziegler, Teamleiter Virtualisierung und Sicherheit bei Materna, meint deshalb, dass Unternehmen, die auf »virtualisierte Clients und Applikationen setzen, viele potenzielle Gefahrenherde von vornherein ausschließen «. Bei einer solchen Vorgehensweise müssten zahlreiche Bedrohungen »erst gar nicht mit hohem technischen Aufwand abgewehrt werden«.
»Die meisten EPP-Anbieter haben sich noch kaum Gedanken zur Integration von NAC in die Endgeräte-Sicherheit gemacht.« Neil MacDonald, Vice President und Gartner Fellow
Viele Unternehmen wollen oder müssen sich indes diesen hohen technischen Aufwand leisten. Warum sonst hätten Lösungspakete für Endgeräte-Sicherheit oder »Endpoint Protection Platforms« (EPP) eine derartige Konjunktur? Gut 20 einschlägige Anbieter mit nennenswerter europa- oder weltweiter Präsenz dürfte es derzeit geben. Diemeisten kommen aus der Ecke Virenschutz-, Firewall- oder Einbruchsprävention (beispielsweise Phion, Kaspersky, Checkpoint oder TrendMicro), einige aber auch aus der Client-Management-Ecke (Avocent/Landesk). In einer dritten Gruppe finden sich Schwergewichte wie HP ProCurve, IBM, Microsoft, Symantec oder McAfee, die neben vielen anderen Sicherheits- und Management-Tools eben auch EPP anbieten.
IBM, Symantec und McAfee haben durch teilweise milliardenschwere Aufkäufe sich in puncto Client-Management (Altiris zu Symantec) oder Netzwerksicherheit (Secure Computing zu McAfee und ISS zu IBM) umfangreiche Gesamtlösungen gebaut, sodass beispielsweise EPP auch mit Netzzugangskontroll-Systemen oder Datenleck-Präventions-Systemen (DLP) gekoppelt werden können. Aus eben diesen Synergie- Gründen hat auch Sophos – von Haus aus stark bei EPP und NAC – kürzlich Utimaco übernommen. Man ergänzt sein Portfolio durch diese Erwerbung nicht nur durch DLP, sondern auch durch erstklassige Verschlüsselungs-Technik, die durch lange Erprobung in der Praxis gekennzeichnet ist.
Konsolidierungs-Strategien
Anbindungen der Endpunkt-Sicherheit sollten über Standardschnittstellen wie beispielsweise Syslog erfolgen.« Ralph Höltmann, IT Security Architect bei IBMGlobal Technology Services
Währendman beim ThemaDLP darüber streiten kann, ob die dabei verwendetenMethoden vollständig auf das Endgerät gehören oder mehr in den Bereich der Netzsicherheit oder ob man gar zwei verschiedene DLP-Mechanismen benötigt, ist es bei NAC/NAP klar, dass diese Technik zwar in den BereichNetzwerksicherheit fällt, gleichwohl aber mit der Endgerätesicherheit zusammenspielen muss. Gerade für Gastsysteme und Geräte, bei denen aus welchem Grund auch immer kein Software-Agent installiert werden kann, sind zumindest rudimentäre NAC-Lösungen absolut notwendig. »Die meisten EPP-Anbieter haben sich allerdings kaum Gedanken in diesem Punkt gemacht«, schreiben die Gartner-Analysten Firstbrook, Hannawell, Girard und Mac- Donald in einem gerade publizierten Research Paper1. Großen Nachholbedarf bei fast allen Anbietern sehen die Marktforscher auch bei der Verschmelzung der einzelnen EPP-Funktionen und bei deren Zusammenführung auf einer leistungsfähigen und übersichtlichen Managementkonsole.
Einzig Symantec nimmt man aufgrund der Integration der hauseigenen Endpoint-Lösung (SEP 11.0) in das Client-Management der vor zwei Jahren zugekauften Firma Altiris bei dieser Kritik aus. Dass die Zusammenführung für den Anwender große Vorteile bringt, macht Bernd Bilek, Sicherheitsexperte bei Symantec, an Zahlen fest: »Rund 30 Prozent der Angriffe sind überhaupt erst möglich, weil die Anwendungen noch nicht auf den aktuellen Patchstand gebracht wurden, schon allein dies zeigt die Wichtigkeit von Client-Management.« Auch Landesk, mittlerweile ein Geschäftsbereich von Avocent, ist aufgrund seiner Client-Management-Historie mit der Zusammenführung der eben angesprochenen Welten schon relativ weit. Detlef Lücke, Manager Technical Consultants meint: »Wenn EPP seinen Ursprung im Client-Life-Cycle-Management hat, können die vorhandenen Management-Agenten leicht um NAC/NAP-Fähigkeiten erweitert werden.«
Dynamischer Signatur-Dienst
»Rund 30 Prozent der Angriffe sind überhaupt erst möglich, weil die Anwendungen noch nicht auf dem aktuellen Patchstand gebracht wurden.« Bernd Bilek, Sicherheitsexperte bei Symantec
Viele Anbieter versuchen indes den Spagat zwischen »Konsol«-idierung einerseits und einer möglichst großenWahlfreiheit der Anwender andererseits. IBM setzt in puncto Desktop Security Management auf eine Kooperation mit BigFix. Die in IBM Proventia Endpoint Secure Control umgetaufte BigFix-Lösung ermöglicht laut IBM »dem Kunden ein einheitliches Management bei gleichzeitig freier Wahl der besten auf dem Markt verfügbaren Sicherheitslösungen«. Auch Trend Micro arbeitet bei EPP mit BigFix zusammen. Durch ein entsprechendes Lizenzierungsabkommen hat man sich Management-Fähigkeit eingekauft, die man für ein »skalierbares Framework« nutzen will, das bis zu 250 000 Anwender auf einem einzigen Managementserver unterstützen soll.
Wahlfreiheit für die Anwender hat sich auchMicrosoft mit der Security-Suite Stirling auf die Fahne geschrieben. Diese war eigentlich schon für das erste Halbjahr 2009 angekündigt, verzögert sich aber jetzt wohl bis ins Jahr 2010. Eine Basisversion soll es aber schon in der zweiten Jahreshälfte 2009 geben. Vor allem die Kompatibilität mit Produkten anderer Hersteller, die in Stirling besonders berücksichtigt werden soll, macht den Entwicklern in Redmond wohl mehr zu schaffen als geplant. Außerdem arbeitet man mit neuen Techniken wie dem sogenannten Dynamic Signature Service, der verhindern soll, dass Schwachstellen, die noch nicht gepatcht worden sind, angegriffen werden können.
Grenzen einer einheitlichen EPP-Konsole
Die Sicherheit der Endgeräte ist immer in erheblichem Maße auch mit der Netzwerksicherheit verschränkt, schließlich sind die Endpunkte ja de facto immer Netz-Endpunkte. Auf jeden Fall ist auch eine Client- Firewall, die scheinbar so eindeutig dem Endpunkt zugehörig scheint, nicht zuletzt ein Netzwerkelement und sollte auch unter diesem Aspekt betrachtet werden. Insofern hat Kurt Semba, Security Solutions Manager bei Enterasys Networks, nicht unrecht, wenn er meint, dass die »Endgeräte-Sicherheit als Teil vonNAC verstanden werden kann«. Das sieht Willi Doetsch, Solution Marketing Manager EMEA, ähnlich, wenn er meint, dass NAC/NAP-Lösungen die Endgerätesicherheits- Plattform als Integrationsstelle benutzen, wo die einzelnen Geräte sicherheitsmäßig auf den erwünschten Stand gebracht werden. Richard Werner, Senior Sales Engineer bei Trend Micro, sieht es freilich gerade umgekehrt, wenn er prognostiziert, dass »das Thema NAC im Virenschutzbereich an Bedeutung verlieren werde«, weil aufgrund von Signatur-Updates aus weltweit verteilten Datenbanken und ohne Zeitverlust der Scanner immer schon dann aktuell sei, wenn er Netzzugang habe.
RichardWerner macht im Übrigen auch auf die Grenzen einer einheitlichen EPP-Management-Konsole aufmerksam: Nicht alle Endgeräte könnten mit Agenten versehen werden und überdies würden die Angriffe immer raffinierter und vomTyp her vielfältiger. Das mache oft eine separate Kontrolle der Sicherheits- Tools notwendig. Eine einheitliche Konsole gestaltet sich natürlich auch dann sehr schwierig beziehungsweise erweist sich als unmöglich, wenn die Endgeräte-Sicherheits-Lösung aus verschiedenartigen Komponenten zusammengesetzt ist. »Wenn in solchen Fällen Updates oder Patches benötigt werden, müssen die Komponenten erst ausgiebig auf Kompatibilität getestet werden, wodurch sich Aktualisierungen zeitlich verzögern oder ganz ausgelassen werden«, sagt Thorsten Schuberth, Senior Technical Consultant & Security Evangelist bei Check Point Software. Nicht zuletzt stellt sich bei umfassenden Management- Konsolen auch noch die Kostenfrage, auf die Stefan Angerer, Deutschland-Geschäftsführer von Norman Data Systems, hinweist. Viele kleine und mittlere Unternehmen könnten sich nur die Management- Konsole der Virenschutz-Lösung leisten. Aber diese reiche in aller Regel für eine Übersicht in puncto Endpunkt- Sicherheit auch vollkommen aus.
Verbindung zum Service-Desk
»Bei einem Einsatz virtualisierter Clients müssten zahlreiche Bedrohungen erst gar nicht mit hohem technischen Aufwand abgewehrt werden.« Michael Ziegler, Teamleiter Virtualisierung und Sicherheit bei Materna
Managementkonsolen müssen nicht nur bezahlbar, sondern im Tagesbetrieb auch sinnvoll handhabbar sein. Insofern darf die EPP-Konsole nicht überladen werden, gleichwohl müssen aber Verbindungsmöglichkeiten zu anderen IT-Managementsystemen, als da sind Identitätsmanagement, Logdaten- und Eventdaten- Erfassung und nicht zuletzt der Service Desk, leicht machbar sein. »Eine Integration in den Service Desk ist schon deshalb notwendig, damit beispielsweise der Servicemitarbeiter den Grund, warum ein bestimmtes Endgerät in Quarantäne ist, unkompliziert ermitteln und möglichst schnell beseitigen kann«, sagt Holger Hasenaug, Technical Consultant bei HP ProCurve.
Solche Anbindungen sollten allerdings nicht proprietär, sondern über Standardschnittstellen wie beispielsweise Syslog erfolgen, ergänzt Ralph Höltmann, IT Security Architect bei IBM Global Technology Services. Mirco Rohr, Technology Evangelist bei Kaspersky, plädiert dagegen eher für eine enge Verknüpfung der Endgeräte-Sicherheit mit dem Service Desk, damit bei »Incidents gleich die richtige Abwehrstrategie gestartet werden kann«. Die richtige Abwehrstrategie hängt natürlich auch davon ab, welches Endgerät man vor sich hat. Ein normaler Sachbearbeiter-Arbeitsplatz stellt diesbezüglich geringere Anforderungen – zumindest in der Regel – als ein Geldautomat. Bernd Redecker, Head Security Solutions, Professional Services bei Wincor Nixdorf, weist deshalb drauf hin, dass Bankautomaten nur auf der Basis »breiter Identitätsmanagement-Fähigkeiten zuverlässig abgesichert werden können«. Nötig seien eine Kombination von Authentifizierung und Berechtigungsprüfung, ohne die bestimmte Daten und Applikationen gar nicht erst benutzt werden können.
EPP auf Basis von Positivlisten
Solche strikten Forderungen gehen natürlich weit über reaktive Schadcode-Erkennung hinaus und definieren einen Typ von Endgeräte-Sicherheit, der in Richtung Klassifizierung von Daten und Anwendungen geht, wie sie auch viele Datenleck-Präventions-Systeme (DLP) propagieren. Eine Steigerung dieser rigorosen Art von Endgeräte-Sicherheit besteht in einemPositivlisten- Verfahren (Whitelisting), bei dem nur auf Daten und Applikationen zugegriffen werden kann, die ausdrücklich erlaubt sind. Solche Verfahren propagiert schon seit Jahr und Tag ein Unternehmen wie Lumension, das man auf den ersten Blick gar nicht als EPPAnbieter wahrnimmt. Angesichts der enormen Diversifizierung der Gefahrenherde, durch welche die zunehmend nomadisierenden Endpunkte in unserer IT-Landschaft charakterisiert ist, stellt sich die Frage, ob demnächst Endgeräte Sicherheit der alten Art – also in erster Linie ausgeklügelten Abwehrmechanismen – überhaupt noch durchführbar sein wird oder ob man schlicht alles verbietet, was nicht ausdrücklich erlaubt ist. Sonst wird die Endpunkt-Sicherheit schnell zum Endpunkt der Sicherheit und nicht am Ende alles gut.
- 1. Seite: Endpoint Security: Ende gut, alles gut.
- 2. Seite: Endpoint Security: Ende gut, alles gut. (Fortsetzung)
- 3. Seite: Konsolidierungs-Strategien
- 4. Seite: Dynamischer Signatur-Dienst
- 5. Seite: Grenzen einer einheitlichen EPP-Konsole
- 6. Seite: Verbindung zum Service-Desk
- 7. Seite: EPP auf Basis von Positivlisten
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
