Was ist Endpunktsicherheit?

Ein Endpunkt ist ein Gerät, das auf Ihr Netzwerk zugreift. Dabei handelt es sich mittlerweile nicht nur um Desktop-Computer und Server. Heutzutage sind Ihre Mitarbeiter remote tätig und greifen über Laptops, iPads, iPhones, Smartwatches usw. von überall und rund um die Uhr auf (hoffentlich verschlüsselte!) kritische Daten zu. Der Begriff ist aber nicht nur auf Benutzergeräte beschränkt. Zu den Endgeräten zählen auch Drucker, Faxgeräte, POS-Systeme und eine rasant steigende Anzahl an IoT-Geräten (Internet of Things), die alle Zugriff auf Ihr Netzwerk haben.

Ihre wichtigsten Stakeholder sind sich heute der aktuellen Cybersicherheitsrisiken bewusst. Die gute Nachricht: Ein wohldurchdachter Ansatz zum Schutz Ihrer Endpunkte ist gar nicht so kompliziert. Den Großteil macht vor allem eine grundlegende IT-Hygiene aus. Um diese im Griff zu behalten, sollten Sie möglichst viele Vorgänge automatisieren. Hier sind einige Best Practices für die Endpunktsicherheit.

1. Erkennen, inventarisieren und verfolgen Sie alle Geräte, die Zugriff auf Ihr Netzwerk haben.

Sie müssen jedes Gerät, das sich mit Ihrem Netzwerk verbindet, unabhängig von der Plattform, dem Betriebssystem oder dem Standort erkennen, nachverfolgen und überwachen. Hierzu zählen unternehmenseigene Computer, Drucker und IoT-Geräte sowie Laptops, Tablet-Computer und Telefone, die Ihre Mitarbeiter im Rahmen Ihres BYOD-Programms (Bring your own device) nutzen.

Dabei müssen Sie nicht nur sicherstellen, das nicht autorisierte Personen keinen Zugriff auf diese Geräte erhalten. Sie müssen auch erkennen können, welches Gerät auf Ihr Netzwerk zugreift, obwohl es das nicht tun sollte, wer mehr Zugriffsrechte hat als erforderlich und welche Geräte infiziert wurden. Dieses Maß an Sichtbarkeit und Kontrolle ist immens wichtig, um die Sicherheit Ihrer Endpunkte sicherzustellen, auch wenn Sie kein einheitliches System für die Geräteverwaltung haben und gezwungen sind, mehrere unterschiedliche Verwaltungssysteme zu handhaben.

2. Stellen Sie die neuesten Betriebssysteme, Sicherheitssoftware und Patches bereit und warten Sie diese.

Sobald Sie den Überblick über jedes Gerät haben, das auf Ihr Netzwerk zugreift, können Sie Endpunkte identifizieren, für deren Betriebssysteme, Anwendungen und Sicherheitssoftware, die bereits darauf installiert sind beziehungsweise installiert werden müssen, Updates und Patches erforderlich werden.

Indem Sie sicherstellen, dass alle Geräte die aktuelle Sicherheitssoftware installiert haben, können Sie Malware auf Ihren Endpunkten einfacher blockieren und entfernen. Anbieter der Betriebssysteme und Anwendungen, auf die Ihr Unternehmen zählt, bieten nicht nur Schutz durch Sicherheitssoftware, sondern kümmern sich auch intensiv um die Behebung von Schwachstellen in ihrer Software. Diese Updates und Patches zeigen jedoch nur dann ihre Wirkung, wenn sie konsequent und regelmäßig durchgeführt oder angewandt werden.

3. Schränken Sie Benutzerrechte ein.

Im Rahmen Ihres Ansatzes zur Zero-Trust-Sicherheit müssen nicht autorisierte Benutzer davon abgehalten werden, auf vertrauliche Daten zuzugreifen und Malware zu verbreiten, die diese infizieren könnte. Administratoren müssen nachverfolgen, auf welche Systeme Benutzer über ihre Endpunkte zugreifen, und ob die den Benutzern gewährten Zugriffsrechte für ihre Rolle angemessen sind. Benutzer sollten nur Zugriff auf Unternehmenssysteme und -daten erhalten, die sie zur Erledigung ihrer Arbeit benötigen. Standardmäßig erhalten Benutzer die geringsten Zugriffsrechte auf die von ihnen benötigten Systeme und nur bestimmten Benutzern sollten Administratorrechte gewährt werden.

4. Sperren Sie USB-Ports.

USB-Ports sind unbeaufsichtigte Workstations, deshalb könnten selbst Geräte wie Drucker, Kameras und externe Laufwerke ausgenutzt werden, um Unternehmensdaten zu stehlen oder Malware in das Netzwerk einzuschleusen. Administratoren sollten das Least-Privilege-Prinzip anwenden, um im Detail festzulegen, wer von wo aus Zugriff auf bestimmte USB-Ports hat, um so Malware abzuwehren, Datendiebstahl zu verhindern und Ihre Zero-Trust-Sicherheitspraktiken aufrechtzuerhalten.

5. Finden und beheben Sie Schwachstellen.

Sie müssen Softwareversionen, Einstellungen oder Gerätekonfigurationen erkennen, die in Ihrem System möglicherweise Schwachstellen erzeugen können. Führen Sie regelmäßige IT-Sicherheitsprüfungen durch, indem Sie OVAL-Scans (Open Vulnerability Assessment Language) auf allen Windows-, Mac- und Linux-Systemen laufen lassen. Auf diese Weise können Sie Schwachstellen in Ihrer Umgebung und Ihren Systemen auffinden und beheben, die mit Ihren Sicherheits- und Konfigurationsrichtlinien im Widerspruch stehen.

6. Beheben Sie schnell das Problem fehlender oder infizierter Geräte.

Verfolgen und überwachen Sie Ihre ortsgebundenen und mobilen Geräte kontinuierlich. Sollte ein Mobilgerät verloren gehen, können Sie dieses aus der Ferne sperren, löschen oder das Gerät oder Passwort auf die Werkseinstellungen zurücksetzen. So lässt sich der Zugriff auf und die Beschädigung oder der Diebstahl von Daten verhindern. Wenn Sie vermuten, dass ein Endpunkt mit Malware infiziert wurde, führen Sie umgehend ein Reimaging des Geräts mithilfe eines Golden Image durch.