Endpoint Security – die unterschätzte Herausforderung für Unternehmen

Im Jahr 2021 gab es so viele Angriffe durch Cyberkriminelle auf Unternehmen, Regierungen, andere Organisationen und deren Netzwerke wie noch nie zuvor. Aber die Masse der Attacken allein stellt nur ein Problem dar. Ein anderes ist die stetig wachsende Professionalität der Angreifer. Sie lassen nichts unversucht und greifen zu immer neuen Mitteln, um in Netzwerke einzudringen, Daten abzugreifen und Lösegeld zu erpressen – sei es mit Ransomware, Phishing-Mails, Social Engineering/Hacking oder Drive-by-Downloads.

Dies stellt die Sicherheitsexperten in Unternehmen vor große Herausforderungen, um der Menge an tagtäglichen Bedrohungen schnell und effizient entgegenzutreten. Unterschätzt oder vernachlässigt wird dabei häufig das Thema Endpoint Security bzw. Endpunkt-Sicherheit. In diesem Bereich hat sich die Angriffsfläche für Cyber Kriminelle in den letzten Jahren deutlich vergrößert. Verantwortlich dafür ist unter anderem die Covid-Pandemie, da in dieser Zeit sehr viele Mitarbeiterinnen und Mitarbeiter vom Home Office aus tätig waren.

Risikofaktor: eigene Geräte und Anwendungen der Mitarbeiter

Fakt ist, dass Mitarbeiter im Home Office – aber nicht nur dort – häufig ihre eigenen Geräte für berufliche oder solche des Unternehmens für private Zwecke nutzen, um Dokumente zu erstellen, E-Mails zu lesen und zu verschicken oder im Internet zu surfen. Dabei werden nicht selten unwissentlich Sicherheitsfunktionen umgangen, die das Unternehmensnetzwerk schützen sollen. Außerdem erweitert sich mit jedem Gerät, das Mitarbeiter verwenden, das Netzwerk um einen Endpunkt. Das kann ein Notebook, Smartphone oder Tablet sein, aber auch ein Peripheriegerät wie Drucker, Router oder Switch. Frühere Regeln von Unternehmen bezüglich BYOD (Bring Your Own Device) sind durch vermehrtes Home Office und die allgemein zunehmende Konnektivität in den meisten Fällen obsolet geworden.

Welche Lösungen gibt es für eine bessere Endpoint Security?

Für eine sichere IT-Infrastruktur mit einer stark gewachsenen Zahl von Endpunkten benötigen Unternehmen neue Ansätze und Sicherheitsstrategien. Dafür gibt es mehrere Lösungen, die auf den jeweiligen Bedarf abgestimmt werden können. Diese sind folgende Services:

– Endpoint Detection and Response (EDR)

– Managed Detection and Response (MDR)

– Extended Detection and Response (XDR)

Für die Erkennung von Cyberangriffen, dem ersten Schritt zu deren Abwehr, eignen sich alle drei Lösungen. Wichtig ist dabei die sogenannte mittlere Erkennungszeit (Mean Time To Detect – MTTD). Sie beschreibt, wie schnell anormale Aktivitäten im Netzwerk erkannt werden. Ohne eine Überwachung der Endpunkte bleiben Bedrohungen in der Regel länger unentdeckt.

Analog dazu ist auf den Leistungsindikator der mittleren Reaktionszeit (Mean Time To Repair – MTTR) zu achten. Dieser Indikator steht für die Zeit zwischen der Erkennung einer Bedrohung und der passenden Reaktion auf das Problem. Je kürzer die Zeitspanne ist, desto schneller kann eine aktive Malware im System gestoppt und beseitigt werden.

Eine optimale Lösung beinhaltet aber auch Maßnahmen für die Prävention von Cyberattacken. Hier ist ein gemanagter bzw. automatisierter Service vorzuziehen. EDR kann lediglich ein Problem erkennen, aber nur wenig zu dessen Beseitigung beitragen. IT-Mitarbeiter im Unternehmen können proaktiver handeln, wenn die Abwehr einer Bedrohung durch einen Dienstleister oder einen automatisierten Prozess unterstützt wird.

Endpoint Detection and Response

EDR-Tools dienen der Überwachung des Netzwerks. Sie sammeln und analysieren Informationen über erkannte Bedrohungen an den Endpunkten und suchen nach anormalen Aktivitäten. Sie können auf Verletzungen der Endpoint Security hinweisen und eine schnellere Reaktionszeit ermöglichen. Allerdings kosten sie Zeit für das Sicherheitsteam des Unternehmens und sind auf dessen Know-how und Kapazitäten begrenzt.

Managed Detection and Response

Mit MDR-Lösungen können Unternehmen die Überwachung der Endpunkte sowie die Erkennung und Reaktion auf Bedrohungen an einen Service-Anbieter auslagern, was die eigenen Mitarbeiter entlastet. Vor allem kleine und mittlere Unternehmen, die nicht über das erforderliche Personal verfügen, profitieren von diesem Angebot, ihr Remote-Netzwerk abzusichern und eigene Qualifikations- und Kapazitätslücken zu schließen.

Extended Detection and Response

XDR bietet eine einheitlich gestaltete Endpoint Security auf einer einzigen Plattform, die Bedrohungen nicht nur erkennt, sondern auch über Endgeräte und verschiedene Netzwerke hinweg aktiv reagieren kann. Daten werden automatisch gesammelt und über sämtliche miteinander verbundenen Ebenen in Korrelation zueinander gesetzt. Sie sind in der Lage, in alle Datenpools einzudringen, in denen sich Malware verbergen könnte. Durch die kombinierte Überwachung von Netzwerken und Endpunkten bietet XDR den wohl robustesten Ansatz für eine Endpoint Security-Lösung.