Unabhängig davon, wie plump oder ausgefeilt eine Cyberattacke auch angelegt sein mag: Oftmals setzen Angreifer im ersten Schritt auf den menschlichen Faktor. Gängiges Muster ist hier seit jeher, unbedarfte Anwender zum Klicken auf schädliche Links oder E-Mail-Anhänge zu verleiten. Die nachgeladene Malware setzt wiederum darauf, dass auf dem jeweiligen Rechner Schwachstellen existieren, die sie ausnutzt, um mit dem Client als Sprungbrett weitere Ressourcen im Netzwerk zu übernehmen. Ohne eine solide Abwehrkette nimmt das Unheil seinen Lauf. Damit es nicht so weit kommt, hat der Hersteller HP mit seiner Sparte Wolf Security eine Palette an Sicherheitsprodukten für Clients und Drucker im Angebot.

So stattet HP hauseigene Geräte für den geschäftlichen Einsatz neben üblichen Komponenten wie einem Trusted Platform Module (TPM) 2.0, mit einem zusätzlichen HP Endpoint Security Controller (ESC) aus. Der ESC bildet die Basis für erweiterte Funktionen, darunter Sure Run. Diese Software hält wichtige Systemprozesse und Anwendungen aktiv, selbst wenn Malware versuchen sollte, sie zu beenden. Sure Start ist ein weiterer Baustein, der darauf abzielt, die Integrität des BIOS-Codes der Clients zu schützen. Bei jedem Boot überprüft Sure Start automatisch die Integrität des BIOS und stellt im Fall eines vermuteten Angriffs wieder einen sicheren Zustand her.

Sure Sense setzt als Antimalware der nächsten Generation auf künstliche Intelligenz (KI), um Clients vor einer Vielzahl von Bedrohungen zu schützen, einschließlich unbekannter und neuer Schädlinge. Dazu nutzt die Software maschinelles Lernen und Verhaltensanalyse, um verdächtige Aktivitäten und Angriffe in Echtzeit zu erkennen. Sure Recovery ermöglicht es, ein neues Betriebssystemabbild schnell und einfach über eine Netzwerkverbindung zu installieren. Auch dieser Baustein setzt dabei auf den ESC, um sicherzustellen, dass die Wiederherstellung auch bei schwerwiegenden Angriffen möglich bleibt.

Weitere Elemente bieten zusätzlichen physischen Schutz. So kann Sure View Reflect als Alternative zu konventionellen Folien auf Knopfdruck den Blickwinkel des Bildschirms begrenzen. Tamper Lock verwendet Sensoren, um zu erkennen, ob das Gehäuse des Computers geöffnet wird. Um eine Manipulation des Systems zu verhindern, kann Tamper Lock verschiedene Gegenmaßnahmen ergreifen, vom Blockieren des Systemstarts auf BIOS-Ebene bis hin zum Löschen des TPM mitsamt der darin enthaltenen Informationen zur Festplattenverschlüsselung.

Zudem ist auch Sure Click Enterprise (SCE) Teil des Produktportfolios. Geräte der Elite-Baureihen bringen diese Funktion bereits ab Werk mit. Administratoren müssen sie lediglich lizenzieren und in Betrieb nehmen. Doch HP beschränkt den Einsatz der Software nicht auf die hauseigenen Geräte, auch kompatible Devices anderer Hersteller können die Software verwenden, um potenziell gefährliche Aktionen zunächst in einer Sandbox auszuführen. Einen ähnlichen Ansatz verfolgt auch Sure Access Enterprise speziell zur Absicherung von vertraulichen Daten und Fernzugriffssitzungen für IT- und OT-Admins. Im Fokus unseres Interesses stand aber die Sicherheit für Endanwender mithilfe von SCE.

Die technische Basis von SCE nutzt das Prinzip der Mikrovirtualisierung und stammt ursprünglich vom Hersteller Bromium, den HP im Jahr 2019 übernommen hat. Die Gründer von Bromium, Simon Crosby und Ian Pratt, sind im Bereich der Virtualisierung keine Unbekannten: Sie waren bereits maßgeblich an der Entwicklung des freien Hypervisors Xen und dessen kommerziellem Ableger Citrix XenServer beteiligt. Noch heute kümmert sich Ian Pratt bei HP um die Weiterentwicklung von SCE. Der Name Bromium findet sich noch in der Onlinedokumentation und auch als Teil der URLs zum Managed Cloud Controller, auf den wir gleich zurückkommen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt in seinem Maßnahmenkatalog gegen Ransomware die Ausführung potenziell gefährlicher Inhalte in gekapselten Umgebungen mittels Mikrovirtualisierung als zusätzliches Werkzeug der Clientsicherheit. Der auch als Microvisor bezeichnete Ansatz nutzt die Hardware-Virtualisierungsfunktionen in modernen Prozessoren, um Anwendungsprozesse in Mikro-VMs – besonders schlanke virtuelle Maschinen mit minimal notwendigem Funktionsumfang – zu verlagern. Dies geschieht automatisch und für Endbenutzer transparent. Die jeweilige Mikro-VM isoliert eine einzelne Anwendung, sodass Links und Dateien unbekannten Ursprungs keinen Schaden anrichten können.

SCE unterstützt die aktuellen Versionen von Windows 10 und 11. Voraussetzung ist eine CPU der x86-64-Architektur, wahlweise der Typen Intel Core i3 bis i9 oder der Xeon-Familie mit im BIOS aktivierter Intel Virtualization Technology (Intel VT) und den Extended Page Tables (EPT). HP empfiehlt Clients mit vPro-Chipsatz. AMD-Prozessoren mit Rapid Virtualization Indexing (RVI) eignen sich ebenfalls. Hier rät HP zu Prozessoren mit vier Kernen für optimale Performance.

HP beschränkt den Support nicht auf physische Hardware. Auch virtuelle Desktops können SCE nutzen, sofern der unterliegende Hypervisor "Nested Virtualization", oder zu Deutsch "verschachtelte Virtualisierung", beherrscht und die Virtualisierungsfunktionen der physischen Prozessoren des Hosts an die VM durchreicht. Hier unterstützt HP eine Virtual Desktop Infrastructure (VDI) auf Basis von VMware Horizon oder Citrix Virtual Apps and Desktops (CVAD). Zudem harmoniert SCE auch mit SINA-Workstations, also besonders gesicherten Systemen entsprechend der "Sicheren Inter-Netzwerk Architektur (SINA)" von Secunet Security Networks und dem BSI.

Die Richtlinien zur Konfiguration von SCE definiert der Wolf Security Controller. SCE stuft zunächst sämtliche Webseiten, Downloads und Anhänge als unsicher ein, doch der Controller kann die Clients mittels Richtlinien veranlassen, bestimmte Domains oder Speicherorte als sichere Quellen anzusehen. Diese zentrale Verwaltung betreibt HP als Managed Cloud Controller. Alternativ bietet der Hersteller den Controller auch zur Installation im eigenen Rechenzentrum an. Die lokale Variante basiert auf den Windows-eigenen Internet Information Services (IIS). Weiterhin erwartet der Controller eine Microsoft-SQL-Server-Datenbank.

Zu Testzwecken darf es die kostenlose Express-Variante sein, im produktiven Betrieb setzt HP dagegen einen ausgewachsenen SQL Server Standard oder Enterprise voraus. HP lizenziert SCE pro abzusicherndem Endpunkt, unabhängig davon, ob es sich dabei um ein physisches Gerät oder eine VM handelt. Der Controller für das zentrale Management ist unabhängig von seinem Betriebsmodell, on-premises oder als Managed Service, inbegriffen – mit einer Einschränkung: Für eine lokale Umgebung mit weniger als 1000 Endpunkten ist ein zusätzlicher Premium-Support-Service erforderlich, dessen Kosten von der Laufzeit der Lizenzen abhängen.

Bei der Initialisierung auf dem Client erstellt SCE im Hintergrund ein schreibgeschütztes Image des laufenden Betriebssystems. Dieses ist kein vollständiges Abbild, sondern beinhaltet nur die zu isolierenden Anwendungen und die von diesen benötigten Komponenten. Die Initialisierung wiederholt SCE immer dann, wenn es signifikante Änderungen am Betriebssystem, wie etwa Updates oder neue Anwendungen, feststellt. Doch SCE integriert nicht pauschal sämtliche Applikationen, sondern nur die Softwarepakete, die typischerweise als Einfallstor für Malware bekannt sind. Es kommt daher mit ungefähr 6 GByte Massenspeicher aus.

Neben dem auf Chromium basierenden Sure Click Enterprise Secure Browser integriert sich die Software über die Wolf Security Extension in Google Chrome, Microsoft Edge sowie aktuelle Versionen von Mozilla Firefox mitsamt dessen ESR-Versionen 115 und 128. Erwähnt sei aber, dass SCE nur den Secure Browser und optional auch Firefox ESR 128 vollständig isoliert in Mikro-VMs ausführt. Die übrigen Browser laufen ohne Isolierung. SCE schützt sie aber mithilfe der Browsererweiterung, leitet Links zu als schädlich bekannten Seiten in den Secure Browser um und versieht Downloads mit Metadaten, sodass sie in einer Mikro-VM laden. Dazu isoliert SCE den Adobe Reader DC 2023 sowie 2024, das klassische Microsoft Office 2016 bis 2021 sowie die Click-to-Run-Installer von Microsoft 365. Hinzu kommen Notepad und Windows Media Player mit zahlreichen Text- und Skriptdateien sowie Bild- und Videoformaten.

Sollte sich einer der virtualisierten Prozesse mit Malware infizieren, fängt die jeweilige Mikro-VM schädliche Aktionen ab und lässt die Attacke nur innerhalb der Mikro-VM gewähren. Versucht ein Angreifer auf diesem Weg etwa, Systemdateien oder die Registry zu manipulieren, geschieht dies nur in einer Kopie, die SCE augenblicklich im Hintergrund erstellt hat. SCE erkennt zweifelsfrei vom Anwender gewollte Aktionen, wie das Öffnen oder Speichern einer Datei, und erlaubt in einem solchen Fall den Zugriff aus der Mikro-VM auf das reale Dateisystem des unterliegenden Betriebssystems. Aktionen, die SCE für verdächtig hält, fängt die Mikro-VM dagegen ab oder fragt nach, ob sie wirklich vom Anwender gewünscht sind.

Im Webinterface des Controllers analysiert SCE die Vorgänge auf dem Client und stellt Bezüge zum Mitre-Att&ck-Framework her. Mit diesem stellt MITRE eine weltweit zugängliche Wissensbasis über typische Taktiken und Techniken von Angreifern bereit, sodass Sicherheitsexperten detaillierte Einblicke in die Funktionsweise von Malware erhalten. Auf Wunsch nutzt SCE die HP Threat Intelligence Services in der Cloud, um aktuelle Bedrohungsdaten in Echtzeit zu empfangen.

Optional gleicht der Agent auf dem Client untersuchte Dokumente und andere Dateien mit dem Clouddienst ab, um bereits bekannte Gefahren zu erkennen. Diese Überprüfung überträgt nur Hash-Werte, nicht komplette Dateien. Mit Beenden der Mikro-VM ist der Spuk dann auch schon vorbei. Alle Änderungen, die eine Schadsoftware vermeintlich vorgenommen hat, verwirft SCE mitsamt der Mikro-VM.

Dateien, die nach dem Beenden der Mikro-VM persistent gespeichert bleiben sollen, weil der Benutzer diese etwa bewusst heruntergeladen hat oder eine Richtlinie dies erlaubt, reichert SCE um zusätzliche Metadaten an, sodass sie bei zukünftigen Zugriffen wiederum automatisch in einer neuen Mikro-VM geöffnet werden. Sofern eine Richtlinie dies gestattet, können Endanwender diesen Schutz über das Kontextmenü einer Datei im Windows-Explorer aufheben, wenn sie der jeweiligen Datei vertrauen.

Für unsere Tests hatte uns HP einen befristeten Zugang zu einem Managed Cloud Controller zur Verfügung gestellt, außerdem ein Notebook vom Typ EliteBook 840 G11, das den Wolf-Security-Agenten mitsamt SCE mitbrachte. Wir meldeten uns zunächst am Wolf-Enterprise-Security-Portal an. Beim initialen Login forderte uns das Portal auf, ein Passwort zu setzen. Ab dem zweiten Login verlangte die Webseite nach einer obligatorischen Absicherung per Multifaktor-Authentifizierung (MFA). Hier schlug das Portal zunächst die Salesforce-Authenticator-App vor, die ein proprietäres MFA-Verfahren verwendet und zeitgesteuert zwei laufend wechselnde Wörter anzeigt. Alternativ konnten wir aber auch ein übliches TOTP-Verfahren verwenden, wie es etwa Google Authenticator, Microsoft Authenticator oder auch die Desktopanwendung KeePassXC unterstützen.

Über das Portal konnten wir auf die Onlinedokumentation zugreifen und das Installationspaket der Software herunterladen. Des Weiteren fanden wir dort die URLs zum Zugriff auf den Controller. HP unterscheidet hier zwei Endpunkte, einen zum Zugriff auf das grafische Webfrontend zur Administration sowie einen API-URL, über den sich die Agenten auf den Clients verbinden. Das Webfrontend erreichten wir aus dem Portal mit automatischem Login per SSO.

Das Webfrontend des Controllers lädt zunächst das Gerätesicherheits-Dashboard, das über den aktuellen Zustand aller Clients informiert. Der Punkt "Einstellungen" mit den Unterpunkten "Controller-Konfiguration" und "Benutzer" regelt die Funktionen des Controllers, insbesondere zur Nutzung der HP Threat Intelligence, sowie den Zugriff auf das Webfrontend mit einem Rollenmodell, das steuert, was Benutzer und Gruppen dürfen.

Der Punkt "Ereignisse" protokolliert sämtliche Vorgänge auf den Clients. Dazu gehören etwa die Informationen, dass SCE sich erneut initialisiert hat, ein Endanwender auf das lokale Dashboard des Clients zugegriffen hat oder auch die Warnung vor einer erkannten Bedrohung. Deutlich ausführlichere Informationen liefert der Bereich "Malware" mit seinen Unterpunkten. Doch darauf und den weiteren Bereich der "Credential Protection" kommen wir gleich zurück.

Sobald sich unsere Clients mit dem Controller verbunden hatten, fanden wir sie unter dem Menüpunkt "Gerätesicherheit / Geräte" wieder. Bei der Verwaltung größerer Flotten hilft der weitere Unterpunkt "Gerätegruppen". Hier konnten wir Clients manuell in Gruppen sortieren oder aber Regeln für eine automatische Zuordnung festlegen. Die Mitgliedschaftsregeln bieten dabei zahlreiche Eigenschaften von Clients zur Auswahl an, darunter etwa Version und Architektur des Betriebssystems, Version von Sure Click, Hersteller, Modell, Informationen zu CPU, GPU und TPM oder auch die Frage, ob VT und EPT unterstützt und im BIOS aktiv sind. Die Regeln verbindet SCE mit Vergleichen und logischen Operatoren, sodass etwa eine dynamische Gruppe nur die Clients enthält, die auch tatsächlich in der Lage sind, SCE auszuführen.

Den Gerätegruppen konnten wir dann unter dem Menüpunkt "Richtlinien" das Regelwerk zur Arbeitsweise des Wolf-Security-Agenten zuweisen. In diesem Bereich fanden wir zuunterst die "HP Supplied Richtlinien". Der Hersteller liefert hiermit unveränderliche Voreinstellungen für einen möglichst schnellen Einstieg. Diese lassen sich aktivieren oder aber als Vorlagen für eigene Richtlinien verwenden. Sobald wir eine der vorgefertigten Richtlinien kopierten, erschien diese weiter oben auf der Seite bei den lokalen Richtlinien und wir konnten sie nach unseren Wünschen ändern. Das Webfrontend wies darauf hin, dass die lokalen Richtlinien automatisch Vorrang vor den von HP gelieferten Policies haben und diese im Konfliktfall überschreiben.

Eine Richtlinie steuert granular mit über 100 möglichen Optionen verteilt auf neun Registerkarten das Verhalten des Agenten auf den Clients. Der erste Reiter "Verwaltbarkeit" legt globale Einstellungen fest, wie die Protokollierung oder automatische Updates der Client-Software. Die Registerkarte "Funktionen" bestimmt, um welche Dateitypen sich SCE kümmert. Die übrigen Reiter regeln die Details. Hier konnten wir etwa eine Liste von Webseiten pflegen, die SCE grundsätzlich als vertrauenswürdig behandelt, und steuern, ob Benutzer selbst eingreifen dürfen. So gestattet eine Option etwa, dass Benutzer Webseiten temporär von der Isolierung ausnehmen, wenn sie einen Grund dafür eingeben. Ebenso konnten wir wahlweise erlauben oder verbieten, dass Benutzer Dateien für vertrauenswürdig erklären oder gar die Isolierung komplett abschalten. Das Webfrontend erwies sich mit seinen Optionen als leicht verständlich und intuitiv bedienbar.

Wir beließen es aber zunächst bei den Voreinstellungen und aktivierten für alle unsere Clients die vier von HP gelieferten Richtlinien "Recommended Protection Settings", "Download Protection", "Link Protection" sowie "Attachment Protection". Diese versorgen SCE bereits mit praxistauglichen Einstellungen.

Nach der Installation sowie nach signifikanten Änderungen am Client führte SCE automatisch eine Initialisierung durch – etwa nachdem wir zusätzliche Browser, die Microsoft-365-Apps oder auch Adobe Reader installiert hatten. Alternativ konnten wir SCE auch über die lokale Konsole der Clients im Bereich "Einstellungen / Bedrohungseindämmung" manuell initialisieren, sofern nicht eine Richtlinie diese Funktion sperrte. Unter "Einstellungen / Sicherheitsmanagement" zeigte uns der Client den Status der Verbindung zum Controller sowie die derzeit aktiven Richtlinien an. Auch im lokalen Dashboard der Clientsoftware sahen wir auf einen Blick den Status des Sicherheitsmanagements, ob die Isolierung aktiv ist und wie viele Webseiten und Dokumente sie schon isoliert hat.

Die über das Tray-Icon des Agenten erreichbare "Live View" öffnet ein separates Fenster mit einer Liste aller aktuell aktiven Mikro-VMs. Wie wir im Task-Manager nachvollziehen konnten, liegt der Speicherbedarf pro Mikro-VM für Office-Anwendungen bei weniger als 1 GByte RAM und für Browsersitzungen deutlich darunter. Weiterhin konnten wir erkennen, dass SCE im Hintergrund immer zwei Mikro-VMs im Leerlauf bereithält, die bei Bedarf und ohne bemerkbare Verzögerung neue Dateien oder Webseiten öffnen. Da SCE zudem Instruktionen nicht emulieren muss, sondern dank Hardwarevirtualisierung nativ ausführt, konnten wir so bei der Arbeit keine spürbaren Leistungseinbußen feststellen.

Um die Wirkungsweise von SCE zu demonstrieren, hatte uns der Hersteller präparierte Office-Dokumente zur Verfügung gestellt, eine Word-Datei im alten DOC-Format mit dem Verhalten einer Ransomware sowie eine Excel-Datei, die mithilfe eines Makros eine Kommandozeile öffnet. Wir öffneten diese Dateien zum einen aus der Desktopversion von Outlook sowie auch per Browser aus Outlook im Web. In beiden Fällen versah SCE die heruntergeladenen Dateien mit Metadaten, die diese als nicht vertrauenswürdig auswiesen, und öffnete sie jeweils isoliert in einer Mikro-VM. Erwähnt sei aber, dass dies bis zum Redaktionsschluss nur für Anhänge im klassischen Outlook funktioniert und noch nicht für das neue Outlook. Hierzu erklärte HP in einem Support-Artikel, dass man gemeinsam mit Microsoft an einer Lösung arbeite und erst eine kommende Version von SCE das sogenannte "Neue Outlook" unterstützen werde.

Mithilfe der aus Excel heraus gestarteten Kommandozeile konnten wir die Wirkung der Isolierung nachvollziehen. Im virtualisierten Dateisystem der Mikro-VM fanden wir uns nicht im Profilpfad unseres tatsächlichen Benutzers wieder, sondern in dem eines virtuellen Benutzers, der im realen Betriebssystem überhaupt nicht existierte. Innerhalb dieser Kommandozeile konnten wir entsprechend nach Belieben Dateien löschen, ohne dass sich dies tatsächlich auf unser System auswirkte. Ebenso verhielt es sich mit einem innerhalb der VM gestarteten Registry-Editor. Dass wir dort Schlüssel veränderten und löschten, beeindruckte das reale System nicht. Und nachdem wir die Mikro-VM beendet und eine neue geöffnet hatten, waren alle mutwillig herbeigeführten Schäden wieder verschwunden.

Im Kontextmenü von Dateien aus nicht vertrauenswürdiger Quelle integriert SCE die Aktion "Schutz aufheben". Damit können Anwender Dateien aus der Isolierung entlassen, sofern nicht eine Richtlinie diese Funktion sperrt. Um den Ausbruch von Malware zu verhindern, führt SCE die Aktion aber nicht ohne Weiteres aus. Nach der Bestätigung eines zusätzlichen Warnhinweises dauerte der Vorgang auf unseren Testsystemen wenige Sekunden. Währenddessen zeigt ein Ladebalken den Fortschritt an. Im Liveview konnten wir erkennen, was im Hintergrund geschah: So öffnet SCE die gewünschte Datei automatisch in einer Mikro-VM und untersucht, ob diese verdächtiges Verhalten zeigt. Ist dies der Fall, bricht der Vorgang ab. Ein Pop-up informiert den Anwender, dass die jeweilige Datei potenziell unsicher ist und der Schutz daher aktiv bleibt.

Die Meldungen zu erkannten Bedrohungen übermittelt der Agent an den Controller, wo wir im Bereich "Malware" des Webfrontends detaillierte Informationen dazu einsehen konnten. So lieferte uns ein separates Dashboard eine grafische Übersicht über sämtliche Gefahren. Außerdem konnten wir in einer tabellarischen Ansicht alle Ereignisse über die Zeit einsehen und von dort die Details der einzelnen Meldungen abrufen. Hier fanden wir umfassende Informationen zur Natur der Bedrohung mit den Bezügen zum Mitre-Att&ck-Framework sowie auf den Registerkarten "Graph", "Dateien", "Verhaltensrelevant" und "Netzwerk" Einblicke in die Funktionsweise der Malware. So visualisiert insbesondere der Graph auf einer Zeitachse, welche Komponenten die jeweilige Malware nachlädt und was diese tun.

Praktisch für die weitere Forensik ist, dass wir die Informationen wahlweise in den XML-Formaten STIX 1 oder MAEC sowie die Hashwerte blockierter Dateien und kontaktierte IP-Adressen als CSV-Datei exportieren konnten. Mithilfe von Trusted Automated eXchange of Indicator Information (TAXII) übermittelt der Controller die Informationen auf Wunsch auch automatisch an weitere Sicherheitssysteme.

Die Mikrovirtualisierung fängt Malware effektiv ein, kann aber wenig gegen Phishing ausrichten. Denn verleitet eine bösartige Webseite einen Anwender dazu, seine Anmeldeinformationen einzugeben, kann sie diese auch abgreifen, wenn sie im isolierten Browser läuft. Hier bietet SCE aber mit der "Credential Protection" eine zusätzliche Ebene der Sicherheit, die den Anwendern nicht nur im sicheren Browser, sondern über die HP Wolf Security Extension auch in Chrome, Edge und Firefox zur Seite steht.

Wir aktivierten den Schutz der Anmeldeinformationen, indem wir über den Controller eine weitere Richtlinie für unsere Clients konfigurierten und auf der Registerkarte "Credential Protection" passende Einstellungen vornahmen. Im Sperrlistenmodus zeigt der Browser beim Zugriff auf der HP Threat Intelligence sicher als Phishingseite bekannte URLs, im Durchsetzungsmodus auch bei unbekannten Seiten eine Warnung. Auf sicher als Phishingversuch bekannten Seiten können Anwender die Warnung zwar quittieren, Sure Click sperrt danach aber das Passwortfeld der jeweiligen Seite für eine Eingabe. Für unbekannte Seiten regelt die Richtlinie, ob Benutzer trotz Warnung ihre Anmeldedaten eingeben dürfen oder nicht.

Ähnlich den Informationen zu Malware fanden wir anschließend zentral auch zu Phishingversuchen im Bereich "Credential Protection / Warnungen" Details zu jeder einzelnen Gefährdung mitsamt Screenshot der Phishingseite, Zeitachse sowie Whois-Informationen zu Eigentümer und Herkunft der Domain.

Mit der Mikrovirtualisierung etabliert HP Sure Click Enterprise eine zusätzliche Schutzschicht gegen Malware. Anstatt deren Ausführung zu verhindern, lässt der Agent Schadsoftware in einer Sandbox gewähren und präsentiert so detaillierte Einblicke in Art und Funktionsweise der Bedrohung. Das System stellt damit keine Konkurrenz, sondern vielmehr eine nützliche Ergänzung zu Antimalware-Produkten dar. SCE harmoniert mit Microsoft Defender sowie Virenscannern von Drittanbietern wie Bitdefender, McAfee, Symantec, Trend Micro und weiteren. Die Onlinedokumentation liefert zu jedem dieser Hersteller passende Hinweise, welche Ausnahmen zu definieren sind, damit sich Virenwächter und SCE nicht in die Quere kommen.

Im Hinblick auf den Secure Browser gilt es zu prüfen, ob alle für das Tagesgeschäft relevanten Seiten in der Isolation funktionieren und die Endanwender diesen akzeptieren. Doch auch mit der Erweiterung für andere Browser bietet SCE einen Gewinn an Sicherheit, da die Software bekannte Phishingseiten abfängt und Downloads gängiger Dateiformate vollständig isoliert.