Endpoint Security

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien unterschiedliche Funktionalitäten, verbesserte Sicherheit und optimierten Datenschutz.

Autor Dr. Ewan Fleischmann 03.08.2022

Das Wichtigste in Kürze

  • Unter Endpoint Security versteht man technische und organisatorische Maßnahmen um unberechtigte Zugriffe und die Ausführung von Schadsoftware auf Endgeräten abzuwehren.
  • Zu Endgeräten gehören Geräte wie PCs, Laptops, Smartphones, Tablets, aber andere Geräte die mit dem Unternehmensnetz verbunden sind.
Beitrag teilen

Lesezeit 3 Minuten

1. Was ist Endpoint Security?

Unter Endpoint Security (Endpunktsicherheit) versteht man den Schutz von Endgeräten wie Desktops, Laptops und mobilen Geräten vor der Ausnutzung durch bösartige Aktivitäten.

Zu den Bedrohungen denen Endgeräten ausgesetzt sind gehören das Aufbringen von Schadsoftware oder eines Remote-Access-Trojaners (RAT). Auch der unerwünschte Datenabfluss oder der Anschluss externer Massenspeichergeräte können die Vertraulichkeit der Unternehmensdaten gefährden.

Das Maßnahmenpaket setzt sich üblicherweise aus

  • Technische Maßnahmen auf dem Endgerät,
  • Technische Maßnahme im Unternehmensnetzwerk und
  • Organisatorische Maßnahmen für die Benutzer

zusammen.

Die digitale Transformation von Unternehmen mit einer stetig steigenden Anzahl mobiler Arbeitsplätze, die Adaption der Cloud und die vergrößerte Angriffsoberfläche erhöhen den Absicherungsbedarf. Der Endgeräteschutz gewinnt damit weiterhin an Relevanz.

2. Maßnahmen zum Schutz der Endgeräte

Technische Maßnahmen für Endgeräte werden von Herstellern oft als Endpoint Protection Platform (EPP) vermarktet. Dazu können präventive, erkennende aber auch reaktive Maßnahmen gehören wie:

  • Schutz vor Malware und Ransomware (signaturbasiert und verhaltensbasiert)
  • Schutz der administrativen Berechtigungen
  • Desktop-Firewalls
  • Clientseitige IDS/IPS
  • Web-Filtersysteme
  • Isolation der Anwendungen durch Virtualisierung
  • Data Loss Prevention (DLP)
  • Management von externen Geräten wie USB-Sticks

Zu den wichtigsten organisatorischen Maßnahmen für Benutzer zählen regelmäßige Security Awareness Trainings zu aktuellen Bedrohungen wie Phishing. Auch die Sicherheitsrichtlinien für den Umgang mit Endgeräten, externen Datenspeichern oder dem Unternehmensnetz müssen mit einbezogen werden.

Auf Ebene des Netzwerkes können zusätzliche Maßnahmen wie IDS/IPS, Web-Proxys, Phishing-Erkennung die Endpunktsicherheit unterstützen.

Der Vorteil von netzwerkbasierten Maßnahmen besteht in der Reduktion des Ressourcenverbrauchs auf den Endgeräten durch weniger Agenten und einer breiteren, netzwerkbasierten Sichtbarkeit.

3. Endgeräteschutzplattformen (Plattform EPP, Endpoint Protection Platforms)

Eine Endgeräteschutzplattform soll Bedrohungen wie bekannte Malware und fortschrittliche Bedrohungen wie dateilose Angriffe und Ransomware verhindern. Klar, Zero-Day-Exploits werden eher nicht erwischt, aber eine grundlegende IT-Hygiene kann erreicht werden. Eine erkennt bösartige Aktivitäten mithilfe verschiedener Techniken:

  • Signatur: Erkennung von Bedrohungen anhand bekannter Malware-Signaturen
  • Statische Analyse: Analyse von Binärdateien und Suche nach bösartigen Merkmalen vor der Ausführung mithilfe von Algorithmen des maschinellen Lernens
  • Verhaltensanalyse: EPP-Security-Lösungen können Verhaltensanomalien erkennen, auch wenn es keine bekannte Bedrohungssignatur gibt
  • Whitelisting und Blacklisting: Blockieren des Zugriffs oder Erlauben des Zugriffs nur auf bestimmte IP-Adressen, URLs, Anwendungen und Prozesse.
  • Sandbox: Testen auf bösartiges Verhalten von Dateien, indem sie in einer virtuellen Umgebung ausgeführt werden, bevor sie zur Ausführung zugelassen werden

Oft bieten diese Endgeräteschutzplattformen weitere passive Schutzfunktionen an wie Datei- und Festplattenverschlüsselung, Host-basierte Firewalls und Data Loss Prevention -Funktionen.

Viele dieser Lösungen arbeiten cloudbasiert ohne einen on-premises Management-Server um auch in einem mobilen Arbeitsumfeld ein kontinuierliches Monitoring sicherzustellen. Bei einigen Anbietern wird nicht nur das Management in die Cloud ausgelagert, sondern auch Teile der Erkennungsfunktionen selbst. Der Endgeräte-Agent muss keine lokale Datenbank mit allen bekannten IOCs (Indicators of Compromise) mehr unterhalten. Eine Cloud-API reicht um unbekannte Objekte zu klassifizieren.

Zu den Anbietern dieser klassischen Endpunktgeräte-Plattformen zählen unter anderem Broadcom (Symantec), Microsoft, Trend Micro, SentinelOne, Sophos, Crowdstrike. Eine stetig aktualisierte Liste findet sich bei Gartner.

4. Endpoint Detection und Response (EDR)

EDR-Lösungen ergänzen EPP-Plattformen, indem sie auch die zeitliche vorgelagerten verdächtigen Aktivitäten und das zeitlich nachgelagerte Incident-Response mit in die Überwachung einbeziehen.

Das wird auch durch die Buchstaben D und R in EDR reflektiert.

Die wichtigsten Funktionen einer EDR-Plattform sind:

  • Kontinuierliche Überwachung und Sammlung von Aktivitätsdaten von Endpunkten, die auf eine Bedrohung hindeuten könnten,
  • Automatisierte Reaktion auf erkannte Bedrohungen, unterstützt von Machine Learning/Künstliche Intelligenz und anderen Threat-Intelligence Quellen wie dem MITRE ATT&CK Framework,
  • Benachrichtigung des SOC-Teams falls eine Bedrohung erkannt wird und
  • als Forensik- und Analysetool fungieren, um erkannte Bedrohungen zu untersuchen und nach verdächtigen Aktivitäten zu suchen.

Für den Schutz der Endgeräte bietet EDR-Software im Vergleich zu klassischer EPP/Anti-Virensoftware insbesondere mehr Sichtbarkeit und Einflussnahme bei Angriffen mit aktueller Malware.

Zu den Anbietern von EDR-Software zählen viele Hersteller die bereits im vorhergehenden EPP-Abschnitt aufgeführt sind ( EDR-Liste von Gartner).

Zugegebenermaßen verschwimmt die Linie auf Anbieterseite zwischen EPP-Software und EDR-Software, da oftmals Features beider Produktlinien in ein integriertes Produkt überführt werden. Als Folge wird Endpoint Protection auf Basis der eigenen DER/EPP-Software bei jedem Hersteller ein wenig anders definiert.

Vergleich Endpoint Protection Platform vs. Endpoint Detection & Response

Feature Endpoint Protection Platform (EPP) Endpoint Detection & Response (EDR)
Ziel Prävention bekannter Bedrohungen und vielleicht ein paar unbekannter Verbesserung der Transparenz und Möglichkeit von Incident-Response Aktivitäten auf dem Endgerät
Einflussnahme Gering aktive Erkennung von Bedrohungen möglich
Unterstützung bei Sicherheitsvorfällen passiver Schutz vor Bedrohungen unterstützt die Behandlung von Sicherheitsvorfällen als Incident-Response Tool

5. MDR und XDR

Die EDR-Plattform bietet dem eigenen Sicherheitsteam hervorragende Einblicke und Transparenz, um eine Überwachung der Infrastruktur sicherzustellen. Um die Leistung aber voll zu nutzen benötigt es genügen Ressourcen, die häufig in den eigenen Teams nur schwer verfügbar sind.

  • Managed Detection and Response (MDR): erweitert eine EDR-Plattformen um eine externe menschliche Komponente, idealerweise durch ein Team von IT-Sicherheitsexperten.
  • Extended Detection and Response (XDR): XDR-Softwarelösungen dehnen die gute Endgerätesichbarkeit die EDR erzeugt auf die gesamte IT-Infrastruktur eines Unternehmens aus. Auch die Cloud-Infrastruktur, mobile Geräte und Netzwerkgeräte werden dabei mit betrachtet. Diese einheitliche Sichtbarkeit vereinfacht das Management der IT-Sicherheit und auch die Durchsetzung von Sicherheitsrichtlinien.

Inhalt
Dr. Ewan Fleischmann

Dr. Ewan Fleischmann

Gründer Redlings GmbH

Auch interessant

Card Image

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen...

Weiterlesen...
Card Image

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber...

Weiterlesen...
Card Image

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,

Weiterlesen...
Card Image

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist...

Weiterlesen...
Card Image

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die...

Weiterlesen...
Card Image

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den...

Weiterlesen...
Card Image

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben...

Weiterlesen...
Card Image

Top 10 Vulnerability Scanner für 2024

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken...

Weiterlesen...
Card Image

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Weiterlesen...
Card Image

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

Weiterlesen...
Card Image

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common...

Weiterlesen...
Card Image

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen...

Weiterlesen...
Card Image

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme...

Weiterlesen...
Card Image

Karriereguide Pentester

Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den...

Weiterlesen...
Card Image

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem...

Weiterlesen...

Wollen Sie testen ob Ihr Proxy alle Ihre Anforderungen erfüllt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.

Privacy Policy

Sie haben unsere Regelungen zum Datenschtz gelesen und anerkannt.

NOTWENDIG
YouTube

Wir verwenden den Dienst YouTube, um das Streaming von Videoinhalten auf dieser Website zu ermöglichen.

Datenschutz