Endpoint-Security

Software-Security ist weich – Hardware-Security ist hart

06.12.2023
Anzeige  Endgeräteschutz ist viel mehr als Software-Patches; er beginnt bereits bei der Hardware. Nur so werden die Geräte sicherer und außerdem besser managebar.
Zur Endpoint-Security gehören nicht nur PCs, Workstations, Notebooks und Tablets, sondern alle digitalen Endgeräte, wie Digital Signage, interaktive Kiosksysteme oder auch die Endgeräte von Maschinen und Industrieanlagen.
Foto: LeoWolfert - shutterstock.com

Home-Office, IoT, Digital Signage und die vielen interaktiven Kioske bedeuten, dass die Endpunktsicherheit neu überdacht werden muss. Firewall, Virenscanner und andere Software-Maßnahmen sind zwar unerlässlich, reichen aber schon lange nicht mehr aus, denn die Cyberkriminellen haben längst die Grenzen der Anwendungssoftware durchbrochen. Heute ergänzen hardwarebasierte Maßnahmen unterhalb des Betriebssystems die üblichen Softwareeinrichtungen.

Ein Drittel nutzt bereits hardwarebasierte Security

Viele IT-Manager kennen die Security-Mechanismen auf Hardware-Ebene und reagieren bereits. So hat das renommierte US-Meinungsforschungsinstitut Ponemon im Frühjahr 2022 eine Untersuchung durchgeführt, um der Frage nachzugehen, wie die IT-Chefs zum Thema hardwarebasierte Security stehen, und welche Ausbreitung solche Maßnahmen bereits haben. Danach nutzen derzeit über ein Drittel (36 Prozent) der befragten Unternehmen bereits derartige Sicherheitslösungen und fast die Hälfte (47 Prozent) plant die Einführung innerhalb der nächsten sechs bis zwölf Monate. Ein Großteil derjenigen, die es im Einsatz haben, messen diesen Maßnahmen eine sehr hohe Priorität bei und sehen Hardware als einen wichtigen Teil der gesamten IT-Sicherheitsstrategie. Dabei beschränkt sich deren Einsatz nicht nur auf die persönlichen Endgeräte, wie PCs, Laptops oder Tablets, sondern auch auf IoT-Geräte und ähnliche Endpoints.

Interessant ist, dass viele IT-Chefs eine hardwarebasierte Security nicht nur als eine besonders gute Abwehrmaßnahme betrachten, sondern auch als eine deutliche Unterstützung des gesamten Security-Managements. So sagen 69 Prozent derer, die es nutzen, dass es das Managen von Schwachstellen wesentlich effektiver macht. Und diejenigen, die es nutzen, sind auch sicherheitsbewusster. Beispielsweise verfolgt ein Drittel von ihnen eine Zero-Trust-Infrastrukturstrategie und die Hälfte davon haben Hardware-Sicherheitsfunktionen in ihre Zero-Trust-Strategie integriert.

So funktioniert die hardwarebasierte Security

Hardwarebasierte Sicherheit beruht auf einem mehrdimensionalen Ansatz. Beispielsweise ist der Code, der beim Start eines Gerätes ausgeführt wird (BIOS/Firmware) eine besonders empfindliche Schwachstelle. Hacker suchen nach Möglichkeiten, hier ihre Malware einzuschleusen, da bei diesen Programmen kein Software-Schutz möglich ist und das Betriebssystem diesem Code auch dann vertraut, wenn er kompromittiert ist. Nur mithilfe von hardwarebasierten Features kann dem vorgebeugt werden.

Ein Beispiel für einen solchen Schutz ist der Intel® Hardware Shield, der zur Intel vPro® Plattform gehört. Er bietet verbesserten Schutz vor Angriffen unterhalb des Betriebssystems, sowie erweiterte Funktionen zur Erkennung von Bedrohungen. Er überwacht BIOS und Firmware und stellt sicher, dass das Betriebssystem nur auf berechtigter Hardware läuft. Außerdem verhindert er die Injektion von bösartigem Code, indem er den Zugriff auf den BIOS-Speicher stark einschränkt. Hinzu kommen weitere hardwarebasierte Schutzfunktionen. Beispielsweise erkennen Intel® Core™ Prozessoren und Intel vPro Systeme, die die Intel Threat Detection Technology verwenden, ein Malware-Verhalten bereits unterhalb des Betriebssystems und speisen diese Erkenntnisse in die "Endpoint Detection and Response-Lösungen" ein.

Remote-Management: So wichtig wie die Sicherheit

Doch es gibt noch weitere Punkte, die bei der Endpunkt-Kontrolle zu beachten sind. So bietet die vPro Plattform eine Reihe hardwarebasierter Funktionsmerkmale, die von der Fernverwaltung über Wi-Fi 6 bis zu stromsparendem Ressourcenmanagement reichen; letzteres bedeutet wesentlich längere Akkulaufzeiten, was vor allem für Notebooks und Tablets wichtig ist. Hierbei ist auch auf die Fernverwaltung hinzuweisen, die unter dem Namen Intel Active-Management-Technologie (AMT) vermarktet wird. Zu diesem Toolset gehören KVM over IP (Übertragung der Tastatur-, Video- und Maussignale über IP-Verbindungen, ohne lauffähiges Betriebssystem), ferngesteuertes Herunter- und Hochfahren, Hardware-Wecker und Boot-Umleitung. Mithilfe der Out-of-Band-Verwaltung kann die IT-Abteilung PCs besser verwalten und instand setzen auch wenn das Gerät abgeschaltet ist oder das Betriebssystem nicht reagiert. Und das alles ohne die bekannten Fernwartungstools, wie SCCM. Diese Möglichkeiten erweisen sich als besonders nützlich bei Geräten, die an schwer zugänglichen Stellen angebracht sind, also bei Industrie-PCs in gefährlichen Umgebungen oder bei Kassensystemen im Einzelhandel, die nach Ladenschluss abgeschaltet werden.

Fazit

Das Design der PC-Hardware hat große Auswirkungen auf die gesamte IT-Sicherheit. Intel Produkte sind mit integrierter Sicherheit ohne lauffähige Betriebssystemtechnik ausgestattet, um potenzielle Angriffsflächen zu schützen. Da diese Technik auf dem Prozessor basiert, ist sie vor allen Software-Angriffen geschützt. Dieses schafft eine vertrauenswürdige Computing-Grundlage und bietet einen bestmöglichen Schutz vor allen Cyberbedrohungen.

Alle Infos über vPro und wie diese Plattform auch Ihr Business sicherer und einfacher macht, finden Sie hier.