Alle Endpoints im Unternehmen effizient schützen

Antivirus-Lösungen und Firewalls sind inzwischen etabliert und gehören quasi zur Standardausstattung. Doch die Gefahren für die Unternehmens-IT sind weitaus vielfältiger und deshalb müssen IT-Abteilungen ein umfassendes Sicherheitskonzept umsetzen, das auch Bedrohungen wie Exploits (Schadsoftware) oder Verstösse gegen Unternehmensrichtlinien berücksichtigt.

Wer aus dem Haus geht, verschließt alle Fenster und sperrt die Haustür ab, um ungebetene Eindringlinge fernzuhalten und sein Hab und Gut zu schützen. Ähnlich verhält es sich mit der Unternehmens-IT. Administratoren ergreifen verschiedene Massnahmen, um Daten und alle zu verwaltenden Geräte zu schützen. Heutzutage weit verbreitet sind Anti-Virus-Software oder Firewalls. Sie bieten einen umfassenden und wirkungsvollen Schutz gegen Angriffe mittels Viren und Trojanern.

Doch Hacker starten Angriffe mithilfe von Schadsoftware und nutzen nicht gepatchte Schwachstellen in Software und Betriebssystemen aus. In der Praxis sieht das beispielsweise so aus: Ein Mitarbeiter der Personalabteilung erhält eine Bewerbung mit einem präparierten PDF. Öffnet er das Dokument, kann sich die Schadsoftware eine Lücke im PDF-Reader zunutze machen und den Schadcode auf dem Rechner ausführen. Der Schadcode kann nun eine Verbindung vom Rechner zu einem externen Server des Angreifers aufbauen. Der Hacker hat vollen Zugriff und kann nach Belieben den Rechner für seine Zwecke missbrauchen.

Gefahr in Sicht

Unbekannte Schwachstellen stellen für die Unternehmens-IT kaum eine Gefahr dar. Sobald ein Hersteller den dazugehörigen Patch bereitstellt, sollten Administratoren jedoch handeln und die Sicherheitslücke schließen. Denn Hacker und Exploit-Entwickler informieren sich in einschlägigen Datenbanken oder Foren und können anhand des Patches Rückschlüsse auf die Schwachstelle ziehen und wie diese ausgenutzt werden kann. Die Nutzung einer Schadsoftware (Exploit) ist dann ein Kinderspiel.

IT-Sicherheitslücken erkennen und schliessen

IT-Administratoren müssten sich permanent in Blogs, Foren und Datenbanken informieren und nach neuen Schwachstellen suchen, diese bewerten, alle eigenen Clients prüfen, Updates paketieren, testen, verteilen und erfassen, ob die Verteilung auch erfolgreich war. Angesichts der Menge vorhandener Geräte und eingesetzter Software in Unternehmen ist das in der Praxis nicht umsetzbar.

Um einen Überblick über alle Sicherheitslücken auf allen Clients im Unternehmen zu erhalten benötigen Administratoren eine entsprechende Software. Bewährt hat sich ein Scanner, der automatisiert alle Clients auf IT-Sicherheitslücken prüft. Dies erfolgt in der Regel auf Basis von ständig aktualisierten Datenbanken, die von anerkannten Sicherheitsorganisationen gepflegt werden. Dort werden Schwachstellen zusätzlich bewertet und nach Gefährdungspotenzial markiert.

Ideal sind Lösungen zum automatisierten Patch-Management, die neben Microsoft-Patches auch Updates für häufig genutzte Anwendungen wie Adobe Reader, Java oder Firefox verteilen können. Aufgrund ihrer hohen Beliebtheit und weiten Verbreitung werden sie häufig Ziel von Angriffen. Die Lösung sollte Schwachstellen erkennen, das automatisierte Verteilen von Patches und Updates ermöglichen sowie eine Rückmeldung zum Installationsstatus und zu etwaigen Fehlern geben. Manchmal kommt es vor, dass Hersteller keinen Patch bereitstellen. Dann muss fallweise abgewogen werden, ob die Anwendung essenziell für den betrieblichen Ablauf ist und das Risiko in Kauf genommen werden soll oder ob die Anwendung besser entfernt wird.

Geräte jederzeit sicher konfiguriert

Passwortlänge und Ablaufdatum oder die Passwortabfrage nach dem Standby – derartige Einstellungen sind essentiell für das Sicherheitsniveau eines Gerätes. Ebenso wichtig ist es, zu erfahren, ob Autoplay für alle Laufwerke deaktiviert ist, welche Arten von Remote-Zugriffen auf entfernte Rechner möglich sind oder ob eine reversible Passwort-Verschlüsselung zugelassen ist.

Auch bei mobilen Geräten sollten Vorgaben wie das automatische Sperren beim Erlöschen des Bildschirms und eine Mindestkomplexität der Passwörter vorhanden sein.

Um ein hohes Sicherheitsniveau durchzusetzen, muss jedoch auch geprüft werden, dass die Einstellungen bzw. Vorgaben auf allen Clients angekommen sind. Zudem ist es denkbar, dass die Konfiguration im Rahmen von Supportmaßnahmen oder unbefugt durch den Endanwender verändert wurde.

Genauso wie bei der Suche nach Schwachstellen in Anwendungen und Betriebssystemen ist es für einen IT-Administrator aber in größeren Umgebungen praktisch unmöglich, ohne automatisierte Hilfsmittel die Konfiguration aller Endgeräte im Auge zu behalten. Eine Lösung für Konfigurationsmanagement prüft auf den Geräten einen Regelsatz, der die unternehmensinternen Anforderungen an die Konfiguration widerspiegelt und zeigt dem IT-Administrator übersichtlich auf, auf welchen Geräten welche Verstöße bestehen.

Sicherheit mit Plan

Es ist für Unternehmen unerlässlich, ein umfassendes Sicherheitskonzept zu entwickeln, das alle wesentlichen Aspekte mit einschliesst. Ein automatisiertes Schwachstellenmanagement ist wie Firewall und Virenscanner ein Baustein für einen umfänglichen Schutz der Unternehmens-IT. In einer größeren Umgebung sollten standardisierte Abläufe ebenso wie ein zentrales und automatisiertes Backup von Daten und Benutzereinstellungen, das Verschlüsseln von Datenträgern oder der Schutz vor nicht autorisierten Anwendungen Teil der Sicherheitsstrategie sein. Unified-Endpoint-Management-Lösungen wie die baramundi Management Suite ermöglichen es, einheitliche Standards auf allen Geräten im Unternehmen durchzusetzen, Daten zu schützen und IT-Sicherheitslücken zuverlässig aufzuspüren. Schlussendlich müssen neben den technischen Voraussetzungen auch die Anwender ins Boot geholt werden und für Gefahren sensibilisiert und darüber informiert werden, welche Verhaltensweisen zum Schutz vor Angriffen beitragen.

Mehr zur baramundi software AG

Autor: 

Tobias Frank, Mitglied der Geschäftsleitung, baramundi software AG

 

Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter