5 Endpoint-Security-Tipps: Worauf es beim Schutz von Endgeräten im Unternehmen ankommt

Die Vielzahl an Endgeräten im Unternehmen so gut wie möglich gegen Angriffe von Hackern abzusichern, ist eine der zentralen Herausforderungen für IT-Abteilungen. Wir haben 5 bewährte Best Practices zum Thema Endpoint Security zusammengestellt, die Sie implementieren sollten, um wachsam gegenüber Cyber-Angriffen und Datendiebstahl zu bleiben: 

1. Automatisieren Sie das Patch-Management

Eine automatisierte Patch-Management-Lösung kann verhindern, dass sich Schwachstellen in Betriebssystemen oder Anwendungen in Einfallstore für Malware-Angriffe verwandeln.

Ein Beispiel: Stellen Sie sich ein Finanzunternehmen mit 1.000 Computern vor, die von 10 Administratoren und Technikern betreut werden. Die IT-Abteilung erfährt von einer kritischen Schwachstelle, die Außenstehenden Zugriff auf eine Datenbank mit den Finanzinformationen der Kunden ermöglicht. Glücklicherweise stellt der Software-Hersteller bereits nach wenigen Stunden einen Hotfix bereit, der von der IT-Abteilung nun möglichst schnell auf allen Computern ausgerollt werden sollte.

Gerade in so einer Situation würde es viel zu lange dauern, die Patches manuell auf den 1.000 Computern zu installieren. Mit einer automatisierten Patch-Software wie Endpoint Central (ehemals Desktop Central) oder Patch Manager Plus müssen Sie lediglich die Konfigurationsrichtlinie für den Patch manuell einleiten, der Rest geht automatisch – ein deutlicher Zeitvorteil.

Drittanbieter-Software nicht vergessen!

Obwohl sich viele Unternehmen beim Patch-Management nach wie vor auf das Einspielen der Microsoft-Updates konzentrieren, stehen heute auch bei den Patches für Drittanbieter-Software immer öfter Sicherheitsverbesserungen im Mittelpunkt. Cyber-Angreifer arbeiten ununterbrochen daran, Schlupflöcher in Unternehmensnetzwerken zu finden. In letzter Zeit zielten Angriffe dabei häufig auf Adobe-Produkte ab, doch selbst Antivirus-Software bleibt von Hackern nicht verschont, wie das Beispiel AVGator zeigt.

Vor diesem Hintergrund sollten Sie bei der Auswahl einer Patch-Management-Software darauf achten, dass diese eine umfangreiche Liste an Drittanbieter-Anwendungen unterstützt – anderenfalls verbringen Ihre Administratoren am Ende Stunden oder Tage damit, Patches selbst anzuwenden.

Übrigens:
Sowohl die Endpoint-Management-Lösung Endpoint Central (ehemals Desktop Central) als auch die Patch-Management-Lösung Patch Manager Plus von ManageEngine eignen sich für das Patch-Management zahlreicher Nicht-Microsoft-Anwendungen.

Eine detaillierte Übersicht, welche Software genau unterstützt wird, finden Sie hier (für Endpoint Central) und hier (für Patch Manager Plus) auf der englischen Website des Herstellers.

Cloud-basiertes Patch-Management

Falls Sie gerade mit der Auswahl einer neuen Lösung beschäftigt sind, lohnt es sich, über die Einführung einer Cloud-basierten Architektur für automatisiertes Patchen nachzudenken. Die Vorteile dabei: Sie müssen nicht viel in die Infrastruktur investieren, der Aufwand für die Verwaltung der Endgeräte ist gering und die Patch-Bereitstellung ist schnell und einfach. Zudem profitieren Sie in einer Cloud-Umgebung von On-Demand-Berechnungen und erweiterten Speicherkapazitäten. Bei aller Cloud-Euphorie sollten Sie dabei allerdings nicht vergessen, dass Sie Ihre Cloud-Ressourcen ebenfalls schützen müssen, wenn Sie Außenstehende mit der Betreuung Ihrer Cloud-Anforderungen beauftragen.

Übrigens:
Patch Manager Plus von ManageEngine ist auch als Cloud-Version erhältlich. Hier finden Sie eine Übersicht, welche Features in Patch Manager Plus Cloud genau enthalten sind.

2. Setzen Sie auf Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung spielt eine wichtige Rolle, um Cloud-Computing-Anwendungen zu sichern, bei denen Cloud-Speicher von mehreren Anwendern genutzt werden. Bei der Multi-Faktor-Authentifizierung melden sich die Benutzer mit zwei oder mehr Parametern an, beispielsweise mit ihrem Benutzernamen und Passwort sowie einer gerätebasierten Authentifizierung mit Einmalpasswort, einem Smart Card Logon (für Windows), einer E-Mail-Authentifizierung oder einem biometrischen Merkmal ( z. B. Fingerabdruck, Sprach- oder Pupillenerkennung). Jede Authentifizierungsebene sorgt dabei für zusätzliche Sicherheit – eine Multi-Faktor-Authentifizierung kann sogar Brute-Force-Angriffe wirkungslos machen.

Vor diesem Hintergrund sollten Sie, wenn möglich, immer mindestens eine zweite Methode zur Authentifizierung der Anwender nutzen.

Übrigens:
Endpoint Central verfügt ebenfalls über eine Zwei-Faktor-Authentifizierung, die Sie in wenigen Minuten einrichten können. Wenn Sie diese Option aktivieren, müssen sich die Anwender beim Login mit ihrem Passwort sowie einem Einmalpasswort authentifizieren. Sie können wählen, ob das Einmalpasswort per E-Mail versendet oder in der Google Authenticator App generiert werden soll.

3. Bauen Sie ein fähiges und wachsames Incident-Response-Team auf

Um schnell – idealerweise innerhalb von 48 Stunden – auf sicherheitsrelevante Vorfälle reagieren zu können, sollten Sie ein Incident-Response- oder Vorfallreaktions-Team aufbauen. Der Begriff „Incident Response“ bezeichnet einen organisierten Ansatz, mit dem potentielle Angriffe nach einer Sicherheitsverletzung oder bei Erkennung einer Schwachstelle verhindert werden sollen. Eine Sicherheitsverletzung liegt vor, wenn geschützte vertrauliche Daten verloren gehen, falsch geändert oder öffentlich zugänglich gemacht werden. Die Idee hinter dem Incident-Response-Ansatz ist es, den Schaden zu begrenzen und so die Wiederherstellungskosten und -zeit zu reduzieren. 

Ein Incident-Response-Team sollte aus folgenden Personen bestehen:

  • Vorfall-/Notfallreaktions-Teamleiter, der die Aufgaben zur Eindämmung des Vorfalls delegiert und priorisiert
  • Cyber-Security-Experten, die die Schadenshöhe des Vorfalls bewerten und schnell handeln, um weitere Schäden zu minimieren
  • Bedrohungsanalysten, die potenzielle unbefugte Zugriffe kontinuierlich überwachen und vergangene und aktuelle Angriffe gemeinsam mit den Sicherheitsexperten analysieren

Darüber hinaus sollte das Incident-Response-Team in der Lage sein, zu erkennen, ob ein System in einem Netzwerk verwundbar ist; dazu gehören das Erkennen von abnormalem Verhalten, Viren und Malware, das Filtern von Inhalten z. B. nach Dateitypen sowie ein schnelles und angemessenes Reagieren auf Vorfälle, sobald diese erkannt werden. Damit das Incident-Response-Team unverzüglich auf einen Vorfall reagieren und seine Auswirkungen begrenzen kann, ist ein geeignetes Warnsystem erforderlich. 

Übrigens:
Endpoint Central bietet umfassende Berichte und individuell konfigurierbare Alarme zu Systemschwachstellen, Patches und Betriebssystemen. So können Sie sich umgehend per E-Mail über Sicherheitslücken in Ihrem Netzwerk informieren lassen – und diese anschließend mit den richtigen Patches schnell beheben.

Zusätzlichen Schutz vor Bedrohungen aus dem Unternehmensinneren bietet ADAudit Plus, die Auditing- und Reporting-Lösung für das Active Directory: Die Funktionen zur Analyse des Anwender-Verhaltens (User Behaviour Analytics) helfen Ihnen u. a. dabei, ungewöhnliche Dateiaktivitäten von Benutzern aufzuspüren.

4. Definieren Sie klare Sicherheitsrichtlinien

Gut definierte Zugriffs- und Autorisierungsrichtlinien sind unerlässlich, um den Missbrauch von Informationen zu verhindern. Das gilt auch und insbesondere für die Administratoren-Zugänge der Techniker: Diese sollten immer rollenbasiert vergeben werden. So können Sie beispielsweise einem Remote-Desktop-Techniker andere Berechtigungen zuweisen als einem Patch-Manager.

Daher sollten Sie möglichst eine Endpoint-Management-Lösung mit rollenbasierter Zugriffskontrolle auswählen. Falls die von Ihnen eingesetzte Patch-Management-Lösung diese Funktion nicht bietet, prüfen Sie die Zuweisung des vollen Lese-, Schreib- und Auditzugriffs an mehrere Techniker sehr sorgfältig!

Zudem sollten Sie eine strikte Zugangsrichtlinie für das Virtual Private Network (VPN) definieren, um Sicherheitsverletzungen bei unbefugten Zugriffen auf eine VPN-Verbindung zu verhindern. Dies kann beispielsweise vorkommen, wenn ein Mitarbeiter seinen Laptop verliert, während das VPN aktiviert ist, oder wenn ein ehemaliger Mitarbeiter noch auf das Unternehmensnetzwerk zugreifen kann.

Da viele Netzwerke im Laufe der Zeit kaum verändert werden und auch die VPN-Verbindungen statisch bleiben können, besteht die Möglichkeit eines Man-in-the-Middle-Angriffs. Um dies zu verhindern, sollten Unternehmen eine Endpoint-Security-Lösung verwenden, die einen starken und sicheren VPN-Zugriff bietet, sich um die Firewall-Einstellungen jedes einzelnen Clients kümmert und vorzugsweise einen Agenten einsetzt. 

Übrigens:
Mit der rollenbasierten Zugriffskontrolle in Endpoint Central können Sie granular festlegen, welcher Techniker welche Berechtigungen hat. Detaillierte Informationen finden Sie auf der englischen Website des Herstellers.

5. Achten Sie auf Usability und eine mobile Benutzeroberfläche

Bei der Auswahl einer Endpoint-Management-Lösung sollten Sie auch darauf achten, dass sich die Lösung durch den Anwender einfach bedienen lässt und mit mobilen Endgeräten aufgerufen werden kann. Eine hohe Benutzerfreundlichkeit minimiert nicht nur die Fehlerquote durch die Anwender, sondern verbessert auch deren Produktivität und Effizienz. Eine mobile Benutzeroberfläche oder Konsole ist heute ebenfalls unerlässlich und unterstützt Ihre Mitarbeiter und Administratoren, alle Hinweise auf einen Cyberangriff sofort zu erkennen und umgehend darauf zu reagieren – selbst wenn sie nicht an ihrem Schreibtisch sitzen.

Fazit

Bei der Auswahl einer Endpoint-Management-Lösung sollten Sie auch darauf achten, dass sich die Lösung durch den Anwender einfach bedienen lässt und mit mobilen Endgeräten aufgerufen werden kann. Eine hohe Benutzerfreundlichkeit minimiert nicht nur die Fehlerquote durch die Anwender, sondern verbessert auch deren Produktivität und Effizienz. Eine mobile Benutzeroberfläche oder Konsole ist heute ebenfalls unerlässlich und unterstützt Ihre Mitarbeiter und Administratoren, alle Hinweise auf einen Cyberangriff sofort zu erkennen und umgehend darauf zu reagieren – selbst wenn sie nicht an ihrem Schreibtisch sitzen. 

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren