Endpunktsicherheit in fragmentierten Landschaften
Unter einem Schirm
Veröffentlicht in Ausgabe 02/2025 - SCHWERPUNKT
Ein UEM-System (Unified Endpoint Management) konsolidiert die Verwaltung verschiedener Arten von Endpunkten – Laptops, Smartphones, Tablets und IoT-Geräte – über eine einheitliche Schnittstelle, indem sie zentralisierte Mechanismen zur Durchsetzung von Richtlinien, zur Überwachung und zum Schutz bereitstellt. So schafft sie selbst in fragmentierten IT-Landschaften die erforderliche Endpunktsicherheit.
Entscheidend dafür ist der mehrschichtige Ansatz eines UEM-Werkzeugs, der Geräteverwaltung, Benutzerauthentifizierung, Bedrohungserkennung und Compliance-Durchsetzung umfasst. Für die Endpunktsicherheit konkret sind dann einzelne UEM-Module beziehungsweise -Funktionen wie Mobile Device Management, Patch/Vulnerability Management, Endpoint Detection and Response und Data Loss Prevention zuständig.
Umfassende Geräteverwaltung
UEM-Systeme kontrollieren und administrieren verschiedene Gerätetypen von einer zentralen Plattform aus, unabhängig vom Betriebssystem. Das garantiert die Durchsetzung einheitlicher Richtlinien für Updates, Patches und Sicherheitskonfigurationen auf allen Endgeräten. Granular ist einstellbar, welche Anwendungen installiert werden, um nicht vertrauenswürdige Software von vornherein auszuschließen.
Ein UEM-System (Unified Endpoint Management) konsolidiert die Verwaltung verschiedener Arten von Endpunkten – Laptops, Smartphones, Tablets und IoT-Geräte – über eine einheitliche Schnittstelle, indem sie zentralisierte Mechanismen zur Durchsetzung von Richtlinien, zur Überwachung und zum Schutz bereitstellt. So schafft sie selbst in fragmentierten IT-Landschaften die erforderliche Endpunktsicherheit.
Entscheidend dafür ist der mehrschichtige Ansatz eines UEM-Werkzeugs, der Geräteverwaltung, Benutzerauthentifizierung, Bedrohungserkennung und Compliance-Durchsetzung umfasst. Für die Endpunktsicherheit konkret sind dann einzelne UEM-Module beziehungsweise -Funktionen wie Mobile Device Management, Patch/Vulnerability Management, Endpoint Detection and Response und Data Loss Prevention zuständig.
Umfassende Geräteverwaltung
UEM-Systeme kontrollieren und administrieren verschiedene Gerätetypen von einer zentralen Plattform aus, unabhängig vom Betriebssystem. Das garantiert die Durchsetzung einheitlicher Richtlinien für Updates, Patches und Sicherheitskonfigurationen auf allen Endgeräten. Granular ist einstellbar, welche Anwendungen installiert werden, um nicht vertrauenswürdige Software von vornherein auszuschließen.
Patchmanagement ist dabei das kleine Einmaleins der Endpunktsicherheit, praktisch die Minimalanforderung. UEMs automatisieren das geräteübergreifende Aktualisieren von Betriebssystemen und An- wendungen, um Schwachstellen zu beseitigen. Sie verteilen Sicherheitspatches auf alle verwalteten Endgeräte und reduzieren so das Risiko von Angriffen, die bekannte Schwachstellen ausnutzen.
MDM und MAM als Grundpfeiler
Mobile Device Management (MDM) und Mobile Application Management (MAM) spielen eine wichtige Rolle. Mobile Geräte sind heute fester Bestandteil von IT-Umgebungen. Spezielle Sicherheitsfunktionen für sie im UEM sind neben der Konfiguration die Kennworterzwingung, Fernlöschung und Verschlüsselung im Fall von Diebstahl oder Verlust. MAM bedeutet die getrennte Verwaltung von Unternehmens- und persönlichen Anwendungen in BYOD-Szenarien, mit Funktionen wie Containerisierung und VPNs für einzelne Anwendungen.
Remote Wipe/Lock heißt Datenlöschung aus der Ferne auf verlorenen gegangenen oder gefährdeten Geräten. Im ersten Moment erscheint diese Funktion als sehr harte Maßnahme. Allerdings dürfte die Chance gering sein, ein verlorenes Mobilgerät wiederzufinden. Dann lieber "plattmachen", bevor Fremde sich die Daten zu eigen machen.
Weiterführend ist auch ein Geofencing per UEM denkbar, das bedeutet Zugriffseinschränkung oder Durchsetzung bestimmter Richtlinien, basierend auf dem Standort des Geräts.
Für das Management mobiler Geräte hat Microsoft mit Intune eine funktionierende cloudbasierte Endgeräte-Verwaltung im Programm, die kostenlos im oft gewählten Enterprise-Lizenzvertrag ”Microsoft 365 E3” enthalten ist. Das Tool beinhaltet die grundlegenden Funktionen der Endgeräteverwaltung wie das Verteilen von EXE- und MSI-Dateien oder das Sperren von Geräten.
Intune stößt aber recht schnell an seine Grenzen, denn es verwaltet hauptsächlich mobile Devices und Clients – bei den Servern geht ohne Zusatzprodukte schon gar nichts mehr. SNMP-Geräte werden überhaupt nicht beziehungsweise nur über weitere Kosten inventarisiert.
Das Hauptproblem ist, dass Admins immer nur eine Teilansicht ihrer IT-Infrastruktur erhalten und Risiken daher leicht übersehen. Deshalb empfiehlt sich eine Kombination mit einer vollwertigen On-Premises-UEM-Suite. Die Vorteile: Geräte- und Benutzergruppen lassen sich aus Intune in die UEM-Plattform überführen und sind darin sichtbar, und iOS- und Android-Devices lassen sich im UEM detailliert managen.
Zugriffskontrolle durch Identity and Access Management
Multifaktor-Authentifizierung (MFA) ist ein im Webverkehr gängiges Verfahren, um Zugriffsberechtigungen zu kontrollieren beziehungsweise zu erteilen. Insbesondere von NIS-2 betroffene Unternehmen sollten darauf achten, wie ihr UEM diesbezüglich ausgestattet ist; MFA ist aber natürlich auch interessant für alle anderen User.
Aagon beispielsweise verwendet in der aktuellen Version seiner ACMP-Suite ein Time-based-Onetime-Passwort-Verfahren (TOTP), das klassisch mit dem Google- oder Microsoft-Authenticator verzahnt ist. Die erstmalige Einrichtung läuft über einen QR-Code. Nach der Verbindung und der Eingabe eines Passworts fragt das Verfahren eine PIN aus der Authenticator-App ab, nach deren Eingabe der Zugang zur UEM-Konsole gewährt wird. Damit einher geht eine eigene Usergruppe, in der das Verfahren einem User als zwingend anzuwenden mitgegeben wird.
MFA ist ausschließlich für die UEM-Managementkonsole (nicht für alle Rechner) gedacht, stellt also einen Schutzmechanismus für den IT-Administrator dar. Sie verhindert, dass jeder ungeprüft die Möglichkeit hat, auf die Steuerungsfunktionen der Konsole zuzugreifen und dem Netzwerk Schaden zuzufügen.
Damit wirklich auch zwei Faktoren für die Abfrage Verwendung finden, sollte auf jeden Fall die Speicherung des Passworts deaktiviert werden, um die Sicherheit bei der Anmeldung nicht hintenherum wieder zu unterminieren.
Bedrohungserkennung und Defender-Management
Endpoint Detection and Response stellt ein Kernthema dar, für das UEM-Plattformen gleich eine ganze Batterie an Werkzeugen auffahren: Antivirus-, Antimalware- und Echtzeit-Bedrohungserkennungs-Tools arbeiten integriert zusammen, um das Geräteverhalten zu überwachen und Cyberangriffe zu verhindern. Im Prinzip wie SIEM (Security Information and Event Management), nur dass eben nicht lediglich ein Alarm ausgelöst wird und anschließend manuelles Eingreifen erforderlich ist.
Umfängliche UEM-Plattformen verknüpfen das Schwachstellen-Management vielmehr mit ihren Kernbestandteilen Inventarisierung, Asset-, Update- und Patch- management nach dem Prinzip der Security Orchestration, Automation and Response (SOAR). Das Ergebnis sind automatisierte Prozesse von der Bedrohungser- kennung bis zur Behebung.
UEM-Systeme, die Microsofts Defender in ihre Konsole integrieren, ergänzen diesen und liefern aussagekräftige Reports, Scan-Historien und Informationen zum nächsten anstehenden Scan. Das UEM gibt einen Überblick über alle gefundenen Bedrohungen, fehlgeschlagene Updates und sonstige Ereignisse. Die Anzeige der Ereignisse lässt sich konfigurieren, veraltete lassen sich filtern, sortieren oder löschen. Aus einem Ereignis kann der Admin direkt aus der UEM-Konsole zum betroffenen Client navigieren.
Zudem hat dieser die Möglichkeit, Quarantänedateien einzusehen, wiederherzustellen, Aktionen auf ihnen auszuführen sowie sie automatisiert nach Ablauf eines definierten Zeitraums zu löschen.
Compliance sicherstellen
UEM-Software unterstützt Unternehmen bei der Einhaltung von Branchenvorschriften wie DSGVO oder HIPAA. Admins können sich Alarme bei nicht konformen Geräten einrichten, ferner können sie Gruppenrichtlinien verfassen, um zu verhindern, dass bestimmte Fachbereiche bestimmte Software installieren. In einem weiteren Schritt startet die Administrationsabteilung über die UEM automatisierte Maßnahmen wie die Quarantäne von Geräten, sobald eine Nichteinhaltung festgestellt wird.
Data Loss Prevention (DLP) bedeutet das Verhindern eines ungewollten Abflusses sensibler Daten. BitLocker-Management kann als Teil einer umfassenden DLP-Strategie gesehen werden, insbesondere zum Schutz ruhender Daten. Das Verschlüsselungs-Tool von Microsoft ist bereits tief in Windows integriert. Vor dem Hintergrund steigender Security-Anforderungen empfiehlt es sich, es zusätzlich anzureichern beziehungsweise in ein Managementkonzept einzubetten.
Auf diese Weise erhält BitLocker zusätzliche Funktionen wie eine zentrale Verwaltung der Festplattenverschlüsselungen, Statusabfragen von Schlüsselschutzvorrichtungen, Überblick über BitLocker-fähige Clients sowie Monitoring- und Reporting-Funktionen für aussagekräftige Analysen. Das zentrale Zuweisen von (individuellen) Konfigurationsprofilen ermöglicht eine einfache und strukturierte Konfiguration der Festplattenverschlüsselung. Die Einstellungen von BitLocker lassen sich über die Konfigurationsprofile fein granular definieren.
Fazit
Auch in fragmentierten IT-Umgebungen für Endpunktsicherheit zu sorgen, dabei unterstützen UEM-Systeme Admins heute auf vielfältige Weise. Sie folgen einem mehrschichtigen Ansatz, der Gerätemanagement, Bedrohungserkennung, Compliance-Durchsetzung und Benutzerauthentifizierung umfasst. Ein orchestriertes Zusammenspiel der UEM-Komponenten für Mobile Device Management, Endpoint Detection and Response, Data Loss Prevention und Patch sowie Vulnerability Management stellt sicher, dass alle Endgeräte, unabhängig von Typ und Standort, sicher verwaltet werden und den Unternehmensrichtlinien entsprechen.
(ln)
Sebastian Weber ist Head of Product Management bei Aagon.