WithSecure, im Unternehmensumfeld vormals bekannt unter dem Namen F-Secure, bietet eine cloudbasierte IT-Security-Suite. Auf der Clientseite unterstützt diese Windows, macOS, Linux, Android und iOS. Ein Blick auf die Gesamtübersicht von "WithSecure Elements" zeigt dabei vier sogenannte Solutions:

- Endpoint Protection,

- Endpoint Detection and Response,

- Vulnerability Management und

- Collaboration Protection.

Letztendlich bietet WithSecure Elements Schutz vor verschiedenen Bedrohungsvektoren: Malware, Ransomware, Advanced Persistent Threats (APTs), Zero Day Exploits, Phishing, Business E-Mail- Compromise (BEC), Marken- und Domainmissbrauch. Ausgestattet mit diesem Komplettpaket sollen Administratoren die potenziellen Angriffsflächen mit einem präventiven Schutz minimieren können, der eine Kombination aus netzwerkbasiertem Schwachstellenmanagement, Endpunktschutz, automatisiertem Patchmanagement und Cloud-Anwendungsschutz umfasst.

Langwierige manuelle Analysen sollen dank KI- und Data-Science-Methoden entfallen, sodass sich Admins auf die wirklich ernsten Bedrohungen konzentrieren können. Im Fall eines unklaren Sicherheitsvorfalls steht der kostenpflichtige Service "Elevate to WithSecure" zur Verfügung, bei dem rund um die Uhr Threat Hunter Vorfälle untersuchen und Anleitung geben. Diese vollmundigen Versprechungen kombiniert mit einer besonders einfachen cloudbasierten Verwaltung, ohne Notwendigkeit einer Serverinvestition, klingt zumindest vielversprechend.

Für eine Testbetrachtung stellte uns der Hersteller einen Kundenzugang zu With- Secure Elements zur Verfügung. Nach der ersten Anmeldung an die Oberfläche "WI Elements", die ohne jeden Zweifel als modern, optisch ansprechend und gut nutzbar zu bezeichnen ist, begannen wir, einige Clientsysteme mit der Agentensoftware auszustatten. Alle Arbeitsschritte, die als Administrator durchzuführen sind, erfolgen im Browser. Wir konnten die Zugriffe mit Safari, Edge, Firefox und Chrome – jeweils in der für den November 2022 gebräuchlichen Version – ohne Probleme durchführen.

Die Darstellung der Oberfläche reagierte stets rasch. Die Oberflächeneinstellungen, die der Benutzer oben rechts durch einen Klick auf das Avatarsymbol öffnen kann, erlauben eine Anpassung der Zeitzone und der Sprache. Zur Letzteren zeigt sich With- Secure äußerst flexibel – neben Englisch und Deutsch finden sich auch Polnisch, Spanisch, Französisch, Italienisch, Schwedisch, Portugiesisch und zwei Sprachen aus dem asiatischen Raum. Für eine erhöhte Sicherheit bietet sich der Zugriff über eine Zweifaktor-Authentifizierung (2FA) an, beispielsweise mittels Google Authenticator oder Duo Mobile für Mobilgeräte.

Die gesamte Menüstruktur, die Onlinehilfetexte und der Aufbau der Cloudumgebung wirken stimmig und ein halbwegs in dem Thema bewanderter ITler kann direkt loslegen. Es gibt keinen Assistenten, mit dem der Administrator erst eine Grundeinrichtung vornehmen müsste, alles ist bereits mit Standardeinstellungen versehen, die – zumindest unserer Meinung nach – passen.

Die erste Amtshandlung besteht darin, die eigenen Systeme der Sicherheitssoftware bekanntzumachen. Hierbei spielt es übrigens keine Rolle, ob die Computer und Server in einer Domäne organisiert betrieben werden oder ob es sich um eher autonom organisierte Arbeitsgruppencomputer oder Mobilgeräte handelt.

Für das Hinzufügen eines Geräts gibt es verschiedene Varianten. Bei der bereits erwähnten Form kommt ein EXE-, MSI-, MPKG-, DEB- oder RPM-Paket für Windows, macOS oder Linux zum Einsatz. Im Menü "Geräte" gibt es den Befehl "Neues Gerät hinzufügen" und dieser verweist, sowohl unter "Geräte" als auch unter "Mobilgeräte", auf einen Dialog, bei dem der Administrator zunächst das Produkt auswählt und dann die Bereitstellung angeht. With- Secure Elements EDR und ERP Premium für Computer (macOS und Windows) ist die eine Option, die zweite ist das "With- Secure Elements Vulnerability Management". Hierbei handelt es sich um einen Schwachstellenscan auf Windows-Geräten. IT-Profis können dies als zusätzliche Option für die Rechner nutzen, auf denen weder ERP noch EDR installiert ist.

Wer in einer typischen AD-Umgebung arbeitet, kann sich eine Liste von Computern oder Servern erzeugen lassen, die nicht in WithSecure verwaltet sind. Hierzu ist es erforderlich, dass zumindest ein Computer bereits im AD organisiert ist, der das AD entsprechend abfragt. Die Verteilung auf die Geräte selbst muss der Administrator wieder manuell angehen oder das MSIPaket zur Installation in einer separaten Ferninstallationssoftware einbinden. Die Liste der nicht verwalteten und somit potenziell ungeschützten Geräte verschwindet nach 24 Stunden.

Die in unserem Test letztgenannte Option ist "WithSecure Elements EPP für Mobilgeräte" – ein Malwareschutz samt VPN für Geräte unter Android und iOS. Die Bereitstellung erfolgt über eine E-Mail- Einladung. Der Administrator füllt die Felder Name, Vorname, Alias und EMail- Adresse aus – an diese wird eine Einladungs-E-Mail in der gewünschten Sprache verschickt. Im Maildialog hat der Empfänger die Wahl zwischen iOS und Android. Je nach Mobilbetriebssystem gilt es noch, dem Datei- oder VPN-Zugriff zuzustimmen und im Fall von iOS über die Eingabe gesonderter Anmeldedaten eine Verknüpfung zur passenden WithSecure-Instanz herbeizuführen. Diese "Aktivierung" kann vom Benutzer auch über den Aufruf des Links in der E-Mail durchgeführt werden.

Auch bei der Installation auf macOS ist eine Zustimmung durch den Benutzer erforderlich, der zudem noch explizit das Recht vergeben muss, dass die Agentensoftware auf das Dateisystem zugreifen darf. Dieser Vorgang ist jedoch auch für wenig IT-affine Anwender recht einfach durchführbar.

Wie die meisten aktuellen Programme bietet auch die "Endpoint Protection" von WithSecure ein Dashboard für den Administrator. Zu den von uns hinzugefügten Computern – es handelte sich hierbei um einen virtualisierten Windows Server 2019, zwei mit VMware virtualisierte Windows-10- und 11-Enterprise-Workstations und ein Subnotebook mit einem älteren Win dows 10 (19H2) sowie einen Mac Mini mit macOS 12.5.1 (Monterey) – zeigt das Dashboard zusammengefasst die wichtigsten Ereignisse an. Hierbei handelte es sich in unserer Teststellung um fehlende, kritische Softwareupdates, Hinweise auf zu geringen Speicherplatz – hier weniger als 5 GByte auf dem Systemlaufwerk – und Vorfälle mit offenen, wichtigen EDR-Ereignissen. Eine weitere Meldung betraf den Firewall-Status, die per Gruppenrichtlinie im Domänenumfeld deaktiviert war.

Zu jedem dieser Einträge findet der Administrator einen Link, der zu einer detaillierten Ansicht führt. Erst wenn ein Problem oder Hinweis vom IT-Verantwortlichen oder vom Benutzer direkt am Gerät abgearbeitet ist, verschwindet der Eintrag im Dashboard. Die Meldungen hier bilden den ersten Anlaufpunkt für IT-Sicherheitsverantwortliche, um sofort auf aktuelle Ereignisse reagieren zu können, sofern hierfür kein Automatismus festgelegt ist – dazu später mehr.

Der zweite Menüpunkt auf der linken Seite lautet "Geräte" und hier findet der Administrator eine detaillierte Liste zu den hinzugefügten Computern und Servern. Mit einem Blick ließ sich in unserem Fall erkennen, dass beispielsweise für den Windows-11-Computer lediglich das "WithSecure Elements Vulnerability Management" installiert war und daher nur das Schwachstellenmanagement als Informationsquelle zur Verfügung stand. Computer mit "WithSecure Elements EDR und EPP Premium für Computer" oder der Servervariante liefern genauere Details – zum Beispiel, dass die Malware aktiviert ist oder ob Sicherheitsupdates fehlen. Bedauerlicherweise liest die Software nicht den Status des integrierten Microsoft Defender aus, sondern belässt es, sofern kein Schutz mit EDR/EPP zur Verfügung steht, beim Eintrag "Nicht zutreffend".

An Mobilgeräten haben wir für unseren Test ein Samsung SM-P610 Tablet-PC mit Android 12 und ein iPhone 12 mit iOS 16.1.1 hinzugefügt. Diese fanden wir in einer zweiten Auflistung unter "Geräte".

Jedem Computersystem hat die Software automatisch ein "Profil" zugewiesen. In unserem Test handelt es sich um "With- Secure Office (open)", "With Secure Office for Mac (open)" und "WithSecure Server". Manuell konnten wir unser Subnotebook, das auch als Tablet-Computer genutzt werden könnte, dem Profil "With- Secure Laptop (open)" zuordnen beziehungsweise dem geklonten Profil. Die Standardprofile mit der Namenserweiterung "open" sind vom Hersteller vordefiniert und können vom Administrator nicht angepasst werden. Sie dienen aber dank der Klonfunktion als Basis für eigene Anpassungen.

In einem Profil kann der IT-Sicherheitsverantwortliche eine große Anzahl von Vorgaben und Einstellungen definieren. Diese reichen von einem Umgehen des HTTPProxies über Datei- und Ordnerausschlüsse bei Sicherheitsscans und -maßnahmen bis hin zu Vorgaben für den Browser. Hierbei lässt sich beispielsweise der SafeSearch-Modus erzwingen, der Webseitenzugriff auf Reputationsbasis einschalten oder eine Webinhaltssteuerung vornehmen. Die Auswahl bei den Webinhalten ist dabei typisch, wobei uns die eigene Kategorie "Abtreibung" schon etwas verwunderte. In unserem Test machte der Webinhaltsfilter einen ganz passablen Eindruck, wobei es natürlich immer wieder Seiten gibt, die hinsichtlich ihres Contents nicht klassifiziert wurden und daher vom Benutzer zur Ansicht gebracht werden konnten.

Mit dem Inhaltstypfilter lassen sich spezifische Dateien, zum Beispiel Office-Dokumente oder ausführbare Files, gänzlich blockieren. Bei Bedarf kann der Administrator einzelne Webseiten vom Schutz ausnehmen oder Seiten sperren, unabhängig davon, ob es dort fragwürdige Informationen oder Downloads gibt. In der Gerätesteuerung wiederum kann der Admin festlegen, in welcher Art und Weise Beschränkungen für den Zugriff von Benutzern auf USB-Geräte wie Massenspeicher, USB-Kameras und Drucker festzulegen sind. Dabei lässt sich der Schreibzugriff auf jedes USB-Speichergerät sperren, die Ausführung von Dateien darauf verhindern oder Beschränkungen in Abhängigkeit der Gerätegruppe festlegen.

Besonders gut gefiel uns die Möglichkeit, abhängig vom Netzwerkstandort unterschiedliche Regeln zur Anwendung zu bringen. Es ist also kein Problem, einen freizügigeren Zugriff innerhalb einer gesicherten Umgebung einzurichten, während in einer anderen Umgebung strengere Sicherheitseinstellungen gelten.

Ansonsten gibt es für den Administrator eine ganze Menge an Funktionen und Befehlen, die er per Mausklick über die Software zur Ausführung bringt. Die meisten Kommandos erlaubt dabei der Windows- Client: Vollständiges Senden des Status, Softwareupdates installieren, Dateiscans durchführen, Laufwerksverschlüsselung aktivieren, Systemneustart und Nachrichten an das Gerät senden, die der angemeldete Benutzer angezeigt bekommt. Eine sehr praktische Funktion ist die "Isolation von Netzwerk" – die, bevor sie greift, noch einmal explizit nachfragt, ob das Kommando für die gewählten Computer tatsächlich durchgeführt werden soll. Die Isolation ist selbsterklärend – anschließend funktioniert der Netzwerkzugriff nicht mehr. Wird die Isolation aufgehoben, was sich ebenfalls über einen Mausklick erledigen lässt, bekommt der Zielcomputer davon jedoch nichts mit. Zumindest stellte es sich in unseren Tests so dar. Erst nach einem Neustart war ein unlimitierter Zugang wieder möglich.

Für Mobilgeräte kann der Administrator ebenfalls Profile definieren, diese sind jedoch hinsichtlich ihres Umfangs deutlich simpler und beschränken sich in erster Linie auf die VPN-Steuerung mit verschiedenen virtuellen Standorten und der Scheduler-Steuerung für den Malwareschutz – alles recht überschaubar.

Während sich im Register "Endpoint Protection" die klassischen Grundlagen der Malwareabwehr und Systemaktualisierung finden, geht es im Abschnitt "Endpoint Detection and Response" um die Sichtung der vorhandenen Programme und die Prüfung, ob diese einen "guten Ruf" haben und was das System unternehmen soll, falls hier eine unerwünschte Software auftaucht. Etwaige Reaktionstrigger sind aber nicht nur das Vorhandensein einer Software, sondern auch deren Verhalten. Die Produktdokumentation beschreibt beispielhaft den Aufruf von "whoami" in der Eingabeaufforderung mit anschließendem Verlassen des Fensters und Abmeldung als ungewöhnliches Verhalten. Wird diese Befehlsfolge erkannt, dokumentiert WithSecure dies als besonderes, sicherheitsrelevantes Ereignis – dies ist praktischerweise auch als Sensortest für die Software selbst nutzbar.

Bei den Reaktionen stehen diverse Kommandos zur Verfügung: Löschen von Dateien oder Ordnern, Registry-Inhalten, Scheduler-Tasks und Windows-Diensten sowie Auflisten von aktiven Prozessen, Diensten, geplanten Aufgaben, Erstellen eines Memory Dumps, Prozessbeendung, Thread-Beendung, Registry- oder Dateisystem- Mapping, Netstat, Ereignisanzeigenprüfungen, Wiederherstellen von MBR-, MFT- oder -Ereignisanzeigeneinträgen. Dies sind alles in allem ausreichende Werkzeuge, um wirkungsvolle Gegenmaßnahmen durchzuführen, sofern der Administrator die Anatomie beziehungsweise das Vorgehen der Malware kennt.

Wir konnten in einem unserer Tests die Leistungsfähigkeit der Sicherheitssoftware praxisnah nachvollziehen. Hierzu installierten wir auf einem unserer Testcomputer die eher unbekannte Entwicklungsumgebung Purebasic und nutzten einen eigens entwickelten Quellcode, der in den Benutzerverzeichnissen nach Office-Dokumenten fahndet, um diese über einen Austausch der ersten 52 Byte unbrauchbar zu machen. Einen Reproduktionsmechanismus für das Programm findet sich in den Zeilen nicht und es handelt sich in dieser Form auch um keinen bekannten Schädling. Vor einigen Wochen hatten wir lediglich dieses Sample über VirusTotal analysieren lassen. Schlussendlich verhinderte WithSecure nach dem Kompilieren das Erzeugen der Datei und somit die Aktivierung eines möglichen Schadteils. Eine grafische und tabellarische Auflistung zeigt in der "Broad Context Detection" das vermeintliche Wirken einer Malware und identifizierte unser Programm als "HEUR/APC.Nekark".

WithSecure hat mit dem "Vulnerability Management (VM)" und der "Collaboration Protection" noch zwei weitere Module im Programmpaket, die wir nur noch kurz erwähnen möchten. Mit dem VM können Administratoren nach typischen Verwundbarkeiten fahnden – das reicht von der Port-Übersicht über die Computer mit ihrer Netzwerkumgebung kommunizieren, bis hin zur Prüfung gegenüber CVE-Schwachstellen und Anfälligkeitsprüfungen inklusive der Bewertung der Lücke von 0 bis 10.

Die Collaboration Protection stellt die Möglichkeit zur Einbindung in die Clouddienste Exchange Online, SharePoint Online sowie OneDrive von Microsoft dar. Auch in diesem Anwendungsfall arbeitet WithSecure wieder mit Policies, um Regelwerke umzusetzen. Und natürlich haben alle unsere Testgeräte ordnungsgemäß auf den Versuch, den EICAR-Teststring zu schreiben oder als Datei herunterzuladen, mit einer Warnung und einem Vorgangabbruch reagiert.

WithSecure bietet eine große Menge an ausgefeilten Sicherheitsfunktionen und sorgt von Anfang an für eine solide Basissicherheit. Wer sich dann auf die vielfältigen Möglichkeiten von WithSecure einlässt, wird nicht enttäuscht. Insgesamt ist dem Hersteller die Umsetzung als Clouddienst sehr gut gelungen und lediglich die Bereitstellung der Agenten bleibt den technischen Fähigkeiten des Admins überlassen.