Was ist Endpunktsicherheit? | Endpunktschutz

Unter Endpunktsicherheit versteht man den Schutz von Endpunktgeräten wie Desktop-Computern, Laptops und Smartphones vor Angriffen und Datenlecks.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Beschreiben, warum Endpunktsicherheit für Unternehmen wichtig ist
  • Die wichtigsten Merkmale von Endpunktschutzlösungen erklären
  • Beziehung zwischen Endpunktsicherheit und Netzwerksicherheit verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist Endpunktsicherheit?

Unter Endpunktsicherheit oder Endpunktschutz versteht man den Angriffsschutz für Endpunkte - Geräte, die eine Verbindung zu einem Netzwerk herstellen, wie Laptops und Smartphones. Endpunktsicherheit kann auch bedeuten, dass man gefährliches Verhalten von Nutzern blockiert – Verhalten, das dazu führen könnte, dass das Endpunktgerät kompromittiert oder mit Malware infiziert wird.

Mithilfe von Endpunkt-Schutzsoftware können Unternehmen Sicherheitsrichtlinien durchsetzen, Angriffe erkennen, laufende Angriffe blockieren und Datenverluste verhindern. Da Endpunkte mit internen Unternehmensnetzwerken verbunden sind, ist der Schutz von Endpunkten auch eine wichtige Komponente der Netzwerksicherheit.

Der Schutz von Endpunkten hat viele Facetten, da Bedrohungen von vielen Seiten kommen können. Gängige Bedrohungsvektoren* für Endpunkte sind unter anderem:

  • Ausnutzung von Schwachstellen über einen Webbrowser
  • Social-Engineering-Angriffe per E-Mail, die dazu führen, dass Nutzer böswillige Dateien oder Links öffnen
  • Kompromittierte USB-Geräte
  • Bedrohungen durch gemeinsam genutzte Dateilaufwerke
  • Nutzung von ungesicherten Anwendungen

Der Schutz von Endpunkten bestand früher vor allem in der Erkennung und Prävention von Malware durch Anti-Malware- oder Antiviren-Software, doch heute werden auch diese anderen Bedrohungsvektoren berücksichtigt.

*In der Sicherheitsbranche ist ein „Bedrohungsvektor“ eine Quelle oder ein Kanal, von dem ein Angriff ausgehen kann.

Wie funktioniert Endpunktsicherheit?

Software für Endpunktsicherheit verwendet eines von zwei Modellen:

Beim Client-Server-Modell läuft die Software auf einem zentralen Server und die Client-Software wird auf allen Endpunkten installiert, die mit dem Netzwerk verbunden sind. Die Client-Software für den Endpunkt verfolgt die Aktivitäten und potenziellen Bedrohungen auf dem Endpunktgerät und meldet diese an den zentralen Server zurück. In der Regel kann die Client-Software aktive Bedrohungen isolieren oder beseitigen – zum Beispiel indem sie Malware auf einem Endpunkt deinstalliert oder isoliert oder den Zugriff des Endpunkts auf das Netzwerk blockiert.

Beim Software-as-a-Service-Modell (SaaS) wird die Endpunkt-Software von einem Cloud Provider gehostet und verwaltet. SaaS-Endpunktsoftware bietet den Vorteil, dass sie sich leichter skalieren lässt als das Client-Server-Modell, wie es normalerweise bei Cloud-Computing-Diensten der Fall ist. SaaS-basierte Endpunktsoftware kann auch Updates an Endpunkte senden und Warnungen von ihnen empfangen, selbst wenn sie nicht mit dem Unternehmensnetzwerk verbunden sind.

Typische Sicherheitsfunktionen für Endpunkte sind:

  • Anti-Malware: Als eine der wichtigsten Komponenten der Endpunktsicherheit erkennt die Anti-Malware- oder Antiviren-Software, ob böswillige Software auf einem Gerät vorhanden ist. Nach der Erkennung sind verschiedene Aktionen möglich: Die Anti-Malware kann den zentralen Server oder das IT-Team alarmieren, dass eine Infektion vorliegt, sie kann versuchen, die Bedrohung auf dem infizierten Endpunkt unter Quarantäne zu stellen, sie kann versuchen, die böswillige Datei zu löschen oder zu deinstallieren, oder sie kann den Endpunkt vom Netzwerk isolieren, um laterale Bewegungen zu verhindern.
  • Verschlüsselung: Bei der Verschlüsselung werden Daten so verschlüsselt, dass sie ohne den richtigen Entschlüsselungsschlüssel nicht gelesen werden können. Die Verschlüsselung des Inhalts eines Endpunkts schützt die Daten auf dem Endpunkt, wenn das Gerät kompromittiert oder physisch gestohlen wird. Endpunktsicherheit kann Dateien auf dem Endpunkt oder die gesamte Festplatte verschlüsseln.
  • Anwendungskontrolle: Mit der Anwendungskontrolle können IT-Administratoren festlegen, welche Anwendungen Mitarbeiter auf Endpunkten installieren dürfen.

Was ist Anti-Malware oder Antivirus-Software?

Anti-Malware-Software (oder Antivirus-Software) ist seit langem ein wichtiger Aspekt für den Schutz von Endpunkten. Anti-Malware erkennt Malware anhand von vier wesentlichen Methoden:

  • Signaturerkennung: Die Signaturerkennung scannt Dateien und vergleicht sie mit einer Datenbank bekannter Malware.
  • Heuristische Erkennung: Bei der heuristischen Erkennung wird Software auf verdächtige Merkmale hin analysiert. Im Gegensatz zur Erkennung von Signaturen kann diese Methode Malware identifizieren, die zuvor noch nicht entdeckt und klassifiziert wurde. Allerdings kann die heuristische Erkennung auch zu falsch-positiven Ergebnissen führen – also zu Fällen, in denen normale Software fälschlicherweise als Malware identifiziert wird.
  • Sandboxing: In der digitalen Sicherheit ist eine „Sandbox“ eine virtuelle Umgebung, die vom Rest eines Computers oder eines Netzwerks abgeschottet ist. In einer Sandbox kann Anti-Malware-Software potenziell böswillige Dateien sicher öffnen und ausführen, um ihr Verhalten zu überprüfen. Jede Datei, die böswillige Aktionen durchführt, wie das Löschen wichtiger Dateien oder die Kontaktaufnahme mit nicht autorisierten Servern, kann dann als Malware identifiziert werden.
  • Speicheranalyse: Dateilose Malware läuft auf vorinstallierter Software eines Geräts, speichert aber keine Dateien. Dateilose Malware kann durch die Analyse des Speichers von Endpunkten erkannt werden.

Was ist Endpoint Detection and Response (EDR)?

Endpoint Detection and Response (EDR) ist eine wichtige Kategorie von Sicherheitsprodukten für Endpunkte, die Ereignisse auf Endpunkten und im Netzwerk überwachen. Die Features von EDR-Produkten variieren, aber alle sind in der Lage, Daten über Aktivitäten auf Endpunkten zu sammeln und so Sicherheitsadministratoren bei der Identifizierung von Bedrohungen zu helfen. Die meisten können auch erkannte Bedrohungen blockieren.

Warum müssen Unternehmen und große Organisationen ihre Entpunkte unbedingt schützen?

Für Privatpersonen ist der Schutz von Endpunkten wichtig, aber in der Regel ist keine spezielle Software für Endpunktsicherheit erforderlich. Viele Betriebssysteme für Verbraucher sind bereits mit grundlegenden Sicherheitsfunktionen ausgestattet (z. B. Anti-Malware), und Nutzer können bestimmte bewährte Verfahren befolgen, um ihre Computer, Smartphones und Internetaktivitäten zu schützen.

Die Sicherheit von Endpunkten ist ein größeres Problem für Unternehmen, insbesondere für solche, die Hunderte oder Tausende von Endpunkten ihrer Mitarbeiter verwalten müssen. Ein unsicherer Endpunkt kann für Angreifer ein Fuß in der Tür sein, wenn sie in ein ansonsten sicheres Unternehmensnetzwerk eindringen wollen. Je mehr Endpunkte mit einem Netzwerk verbunden sind, desto mehr potenzielle Schwachstellen entstehen in diesem Netzwerk – so wie mehr Autos auf der Straße die Wahrscheinlichkeit erhöhen, dass ein Fahrer einen Fehler macht und einen Unfall verursacht.

Darüber kann ein erfolgreicher Angriff auf ein Unternehmen enorme Auswirkungen haben und dazu führen, dass Geschäftsprozesse unterbrochen werden, vertrauliche Daten verloren gehen oder der Ruf Schaden nimmt.

Was Endpunkte außerdem zu einem verlockenden Ziel macht, ist die Schwierigkeit, sie abzusichern. IT-Teams haben keinen regelmäßigen, direkten Zugriff auf die von den Mitarbeitern genutzten Computer und auch nicht auf die persönlichen Geräte der Mitarbeiter wie Laptops und Smartphones. Wenn die IT-Abteilung aber verlangt, dass auf Geräten, die mit einem Netzwerk verbunden sind, eine Endpunkt-Schutzsoftware installiert wird, kann sie die Sicherheit dieser Geräte aus der Ferne verwalten und überwachen.

Die Sicherung von Endpunkten ist mit der Zunahme von BYOD-Umgebungen (Bring Your Own Device) in den letzten zehn Jahren zu einer großen Herausforderung geworden. Die Anzahl der Geräte, die sich mit jedem Netzwerk verbinden, hat zugenommen, ebenso wie die Vielfalt der Geräte. Zu den Endpunkten in einem Netzwerk gehören wahrscheinlich nicht nur persönliche Smartphones und Tablets, sondern auch Internet of Things (IoT)-Geräte eine Vielzahl von Software und Hardware (erfahren Sie mehr über IoT-Sicherheit).

Wie hängt Endpunktsicherheit mit Netzwerksicherheit zusammen?

Die Sicherheit von Endpunkten ist Teil der Netzwerksicherheit, da ein ungesicherter Endpunkt eine Schwachstelle in einem Netzwerk darstellt, die ein Angreifer ausnutzen kann. Zur Netzwerksicherheit gehören aber auch der Schutz und die Sicherung der Netzwerkinfrastruktur, die Verwaltung des Netzwerks, der Cloud und des Internetzugangs sowie weitere Aspekte, die von den meisten Sicherheitsprodukten für Endpunkte nicht abgedeckt werden.

Heutzutage verschwimmen die Grenzen zwischen Endpunkt- und Netzwerksicherheit immer mehr. Viele Unternehmen gehen zu einem Zero Trust-Modell für Netzwerksicherheit über. Dieses Modell beruht auf der Annahme, dass jedes Endpunktgerät eine Bedrohung sein könnte und verifiziert werden muss, bevor es eine Verbindung zu internen Ressourcen herstellen kann – selbst SaaS-Anwendungen. Bei einem solchen Modell wird es wichtig, dass der Endpunkt ein hohes Sicherheitsniveau aufweist, um Netzwerk- und Cloud-Zugang zu erhalten.

Endpunktsicherheit und Zero Trust

In einem Zero Trust-Modell wird keinem Endpunkt automatisch vertraut. Zero Trust erfordert, dass jedes Gerät regelmäßig auf Sicherheitsrisiken überprüft wird, oft auf einer Anfrage-zu-Anfrage-Basis. Dies kann eine Integration mit Endpunkt-Sicherheitslösungen beinhalten, die den Endpunkt auf Malware oder andere Risiken überwachen. Einige Zero Trust-Provider bieten dies auch von Haus aus an.

Ein solcher Ansatz bedeutet, dass potenziell kompromittierte Endpunkte schnell vom Rest des Netzwerks isoliert werden, um laterale Bewegungen zu verhindern. Dieses Prinzip der Mikrosegmentierung ist ein Kernaspekt der Zero Trust-Sicherheit.

Mehr über Zero Trust erfahren Sie unter Was ist ein Zero Trust-Netzwerk? Oder erfahren Sie mehr über Cloudflare One, das Netzwerk- und Sicherheitsdienste in einer Zero Trust-Plattform vereint.