Endpoint Privilege Management: Eine neue Generation 007

Anders als oft angenommen, sind Cyberangriffe nicht immer ein massiver Versuch, eine Infrastruktur zu übernehmen oder lahmzulegen. Zwar kann ein breit angelegter DDoS-Angriff als Ablenkungsmanöver dienen – die eigentliche Arbeit erfolgt jedoch subtiler und gezielter. Stell Dir zum Beispiel einen James-Bond-Film vor: Der Bösewicht infiltriert die Organisation still und leise, identifiziert ihre Schwachstellen und versucht nach und nach, Kontrolle zu erlangen, um seinen finsteren Plan umzusetzen.

Genau wie in diesen Filmen reicht ein starker äußerer Schutz nicht aus – meist greifen Gegenmaßnahmen zu spät, um eine Infiltration noch zu stoppen. Das gilt besonders für dezentral aufgestellte Unternehmen mit vielen externen Dienstleistern oder Mitarbeitenden im Homeoffice. Ist der Angreifer einmal drin, fällt die ganze Organisation. Und da 69 % aller Sicherheitsvorfälle auf externe Akteure wie organisierte Kriminelle oder staatlich unterstützte Gruppen zurückgehen, braucht es jemanden wie 007, um den Ernstfall zu verhindern.

Endpoint-Schutz im Wandel

Endpunkte wie Workstations und Server sind ideale Angriffspunkte für eine erfolgreiche Infiltration. Besonders gefährdet sind sie, wenn sie außerhalb des Unternehmensnetzwerks betrieben werden – denn dann fehlt der klassische Perimeterschutz.

Früher konzentrierten sich Antivirenlösungen auf das Erkennen von Malware-Signaturen und arbeiteten mit Blacklists und Whitelists. Doch dieser Ansatz stößt schnell an seine Grenzen – aus einem einfachen Grund: Er basiert auf bekannten Schwachstellen. Das bedeutet, dass Systeme immer wieder durch sogenannte Zero-Day-Exploits angreifbar sind, weil ständig neue Bedrohungen entstehen.

Als sich Angriffsvektoren weiterentwickelten, reagierten Softwarehersteller mit einer neuen Generation von Schutzmechanismen – dem Next Generation Antivirus (NGAV), der unter anderem auf folgende Technologien setzt:

Maschinelles Lernen, um unbekannte Bedrohungen zu erkennen und neuartige Angriffe zu verhindern
Endpoint Detection and Response (EDR), das Ereignisse korreliert und verdächtige Aktivitäten aufdeckt

Allerdings liegt auch hier der Fokus weiterhin auf der Erkennung von Bedrohungen – nicht auf einem inneren Schutzmechanismus. Es bleibt also ein reaktiver statt proaktiver Ansatz.

Schutz von innen heraus

Endpoint Privilege Management (EPM) ist eine neue Generation des Cyberschutzes, die auf eine Art „Immunabwehr“ für Endgeräte setzt. Anstatt Angriffe zu erkennen und zu blockieren, wird alles unterbunden, was nicht zum „natürlichen“ Verhalten des Systems gehört.

Mit anderen Worten: Nur legitime Aktionen dürfen auf dem System ausgeführt werden.

Gerade für Endpunkte, die außerhalb des Unternehmensnetzwerks betrieben werden – etwa von Drittanbietern oder mobilen Mitarbeitenden – ist dieser Ansatz besonders interessant. Er geht davon aus, dass Systeme grundsätzlich kompromittiert werden könnten, schützt sie aber so von innen, dass selbst im Ernstfall kein Schaden entsteht. Selbst außerhalb der Unternehmensgrenzen bleibt der Schutz bestehen.
EPM folgt dabei dem Prinzip der minimalen Rechtevergabe: Ohne lokale Administratorrechte kann ein Angreifer oder eine Malware nicht die nötigen Rechte erlangen, um Prozesse oder Anwendungen auszuführen.

Die Durchsetzung des Prinzips der minimalen Rechtevergabe bringt zusätzliche Vorteile mit sich:

Vermeidung überprivilegierter Nutzer auf Endgeräten, sodass Schadsoftware keine kritischen Daten stehlen oder Systeme beschädigen kann
Entfernung aller lokalen Administratorenkonten, um die Verteidigungslinien zu stärken
Blockieren von Crypto-APIs, um zu verhindern, dass Ransomware Systeme als Geiseln nimmt
Gezielte Rechtevergabe an die richtigen Nutzer im richtigen Kontext

Das ist ein guter erster Schritt – aber er konzentriert sich noch immer auf den „externen Agenten“: den Nutzer und seine Rechte. In der Praxis reicht das nicht aus, um Endgeräte umfassend zu schützen. Systeme müssen sich selbst verteidigen können. Deshalb gehen moderne EPM-Lösungen noch einen Schritt weiter.

Rechte auf Prozessebene statt auf Nutzerebene

Die leistungsfähigsten und innovativsten EPM-Lösungen vergeben Zugriffsrechte nicht mehr auf Ebene der Nutzer, sondern auf Ebene von Prozessen und Anwendungen.

Das ist ein grundlegender Paradigmenwechsel in der Cybersicherheit: Lokale Systeme werden nicht mehr nur vor Bedrohungen oder einzelnen Nutzern geschützt – die Verteidigung findet auf Ebene der Anwendung oder des Prozesses statt. Das ermöglicht eine präzisere und kontextbezogene Kontrolle.

In vielen Unternehmen basiert das Anwendungsmanagement noch immer auf einer binären Entscheidung: Ein Nutzer darf eine Anwendung nutzen – oder nicht. Eine Software ist erlaubt – oder eben nicht. Solche Regeln sollen verhindern, dass Anwendungen dem System schaden. Doch sie beeinträchtigen die Produktivität, wenn Nutzer für jede legitime Installation erst den IT-Support kontaktieren müssen.

Werden Anwendungen jedoch vorab genehmigt – inklusive bestimmter erlaubter oder verbotener Aktionen innerhalb dieser Programme – wird die Verwaltung der Endgerätesicherheit deutlich einfacher. Prozesse und Anwendungen dürfen dann nur mit exakt definierten Rechten in genau definierten Kontexten ausgeführt werden. Ohne lokale Adminrechte und mit gesperrter Rechteeskalation können Prozesse nicht missbraucht werden, um schadhafte Operationen durchzuführen.

Ein so granularer Schutz auf Prozessebene ermöglicht es den Nutzern, effizient und selbstständig mit allen benötigten Werkzeugen zu arbeiten – während gleichzeitig sichergestellt ist, dass keine Software das System beschädigen kann, selbst wenn ein Angreifer ins Netzwerk eindringt.

—

James Bond zu rufen, um die Situation zu retten, ist leider nicht immer eine Option. Mit EPM lassen sich Bedrohungen an der Wurzel bekämpfen – von innen heraus: über Prozesse und Anwendungen. Das gilt besonders für Endgeräte wie Mitarbeiter-PCs, die externen Gefahren ausgesetzt sind.

Eine konsequente Umsetzung des Prinzips der minimalen Rechtevergabe verhindert, dass eingeschleuste Angreifer die Kontrolle über Systeme übernehmen – schlicht, weil sie keine Berechtigungen haben, die über das hinausgehen, was Mitarbeitenden für ihre konkreten Aufgaben zur Verfügung steht.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Endpoint Privilege Management: Eine neue Generation 007

Endpoint-Schutz im Wandel

Schutz von innen heraus

Rechte auf Prozessebene statt auf Nutzerebene

Verwandte Inhalte