ENDPOINT

HARDENING

Schütze deine Geräte vor dem Netzwerk und schütze dein Netzwerk vor den Geräten.

Was ist Endpoint Hardening?

Unter Härtung versteht man einen Prozess in der Metallverarbeitung, bei dem die Festigkeit eines Metalls erhöht wird. In der Cybersecurity werden Endpunkte wie Clients und Server durch Härtung widerstandsfähiger gegen Angriffe gemacht. Das geschieht durch die Aktivierung von Security-Features und die Deaktivierung von veralteten Funktionen.

Seit Jahrzehnten fügen Softwarehersteller neue Funktionen hinzu, haben gleichzeitig aber Schwierigkeiten, alte Funktionen zu entfernen. Microsoft ist dafür bekannt, die Kompatibilität mit alten Anwendungen auf verschiedenen Plattformen zu ermöglichen. Das Protokoll NTLM (NT LAN Manager) aus dem Jahr 1998 ist immer noch der Standard für die Anmeldung mit Passwörtern in Windows 11 und Windows Server 2022. Die Vorgängerversion mit dem Namen LM (LAN Manager) wurde bereits 1987 eingeführt und wird auch heute noch von den neuesten Windows-Versionen unterstützt.

Was ist ein Härtungs-Standard?

Viele Firmen und Regierungsbehörden verwenden Härtungs-Standards wie DISA, CIS oder von Microsoft, um ihre Server und Clients zu härten. Diese Standards bieten Vorlagen und Richtlinien für die maximale Härtung von Systemen. Obwohl sie sich ähneln, sind diese Standards alle sehr restriktiv und verfehlen oft das Ziel der Benutzbarkeit.

Das Problem ist, dass die Härtungs-Standards jeden Anwendungsfall berücksichtigen müssen. So könnte Windows 11 beispielsweise für ein öffentliches Terminal oder auch für einen Firmen-Laptop verwendet werden. Der Härtungs-Standard wäre immer derselbe. Des Weiteren verursachen die restriktiven Einstellungen auch viele Probleme mit Applikationen, da alle Funktionen abgedreht werden, die für das Betriebssystem nicht unbedingt notwendig sind. Man muss sehr viel Zeit in das Testen der Applikationen investieren.

Was hat Compliance damit zu tun?

Je nach Branche kann es sein, dass du gesetzlich dazu verpflichtet bist, einen Härtungs-Standard einzusetzen, wie zum Beispiel den Payment Card Infrastructure Data Security Standard (PCI DSS) für Banken.

Ein Härtungs-Standard macht dich nicht unverwundbar, aber er reduziert die Angriffsfläche und damit die Wahrscheinlichkeit eines erfolgreichen Angriffs drastisch. Es ist wie das Tragen eines Helms auf einer Baustelle. Wenn dir ein Bagger auf den Kopf fällt, hast du einfach Pech gehabt, aber wenn es nur ein Ziegelstein ist, könnte der Helm dein Leben retten.

Wir ermutigen unsere Kunden, ihre eigenen Härtungs-Standards zu erarbeiten. Jedes Unternehmen ist individuell. Verwende bestehende Standards als Vorlage und passe sie an deine Bedürfnisse an. Für KMUs empfehlen wir unseren nullzwo Graphene Härtungs-Standard. Er ist an die großen Standards angelehnt, allerdings berücksichtigt er die Usability und Kompatibilität. Du kannst ihn hier kostenlos herunterladen!

Worin besteht der Unterschied zu Schwachstellen?

Schwachstellen sind Fehler in der Implementierung eines IT-Systems. Veraltete Funktionen wie NTLM könnten zwar als Schwachstellen betrachtet werden, funktionieren aber immer noch wie vorgesehen. Allerdings können sie mit moderner Technologie, die damals noch nicht verfügbar war, trotzdem angegriffen werden. Das ist vergleichbar mit Asbestdichtungen in Oldtimern. Solange sie funktionieren, ist das unproblematisch, aber irgendwann sollte man sie lieber durch etwas Moderneres ersetzen.

Durch die Härtung deiner Systeme wird es für Hacker wesentlich schwieriger, potenzielle Schwachstellen auszunutzen. Die Schwachstelle „PrintNightmare” aus dem Jahr 2021 betraf alle Windows-Systeme, auf denen der Druckspooler lief. Dieser Dienst wird nur auf Druckservern verwendet und ist auf allen Windows-Systemen standardmäßig aktiviert. Dazu gehören auch Domain-Controller (Server auf denen das Identity-System Active-Directory läuft), bei denen eine Ausnutzung der Schwachstelle zu einer vollständigen Kompromittierung der IT-Infrastruktur führen würde. Wenn deine Systeme gehärtet wären, würden deine IT-Administratoren nur müde lächeln und einfach weitermachen, während der Rest der Welt in Panik gerät.

Ganzheitliches Konzept? Ja, bitte!

Härtungsstandards für Computer-Endpunkte sind eine enorme Verbesserung der Sicherheit, aber sie sind nur ein einzelnes Glied in der Sicherheitskette. Wenn du es richtig machen möchtest, gibt es viele Punkte, die du beachten musst. Hier sind unsere Empfehlungen:

Härtungsstandard:

Deaktiviert veraltete Funktionen wie z.B. Dienste, eingehende Ports, SMBv1, PowerShell 2.0 und TLS 1.0.

Aktiviert Sicherheits-Funktionen wie LSA-Schutz, Credential Guard und PowerShell-Protokollierung.

Anti-Virus / EDR (Endpoint Detection and Response): Erkennt und verhindert Malware / Ransomware und Exploits auf deinen Systemen. Idealerweise über ein zentrales Management, damit Vorfälle nicht unentdeckt bleiben.

Lokale Firewall: Erlaubt nur notwendige Verbindungen zu deinen Geräten.

Festplatten-Verschlüsselung: Stellt sicher, dass gespeicherte Daten geschützt sind, insbesondere auf mobilen Geräten.

Data Loss Prevention: Erkennt und verhindert unerwünschte Ausfuhr von Daten und sorgt für eine automatische und transparente Verschlüsselung.

Whitelisting von Anwendungen: Verhindert die Ausführung nicht autorisierter Software und stoppt damit die meisten Malware- und Ransomware-Angriffe.

UEFI / BIOS-Schutz: Aktivierung von UEFI-Passwörtern, um nicht autorisierte Änderungen an der Hardware zu verhindern, wie z. B. das Deaktivieren von TPM, Secure Boot usw.

LAPS (Local Administrator Password Solution): Ändert automatisch das lokale Admin-Passwort und legt es in Active Directory oder Entra ID ab. Dadurch wird verhindert, dass dasselbe Passwort auf verschiedenen Geräten verwendet wird.

Always-On VPN: Stellt eine permanente Verbindung zum firmeneigenen Netzwerk her und verschlüsselt den gesamten eingehenden und ausgehenden Datenverkehr, unabhängig vom Standort der Endpunkte. Beispielsweise in Cafés und Hotspots in Hotels.

Office-Makros: Durch das Deaktivieren von Office-Makros wird die Sicherheit erheblich verbessert und Malware weitgehend blockiert. Benötigte Makros können auf dedizierten Netzlaufwerken abgelegt und freigegeben werden. Es kann auch konfiguriert werden, dass nur signierte Makros ausgeführt werden dürfen.

„Privacy Filter“ (Bildschirmschutzfolie): Schützt vertrauliche Daten vor neugierigen Blicken, wenn Mitarbeiter von unterwegs aus arbeiten.

Asset-Management: Verwaltung einer Übersicht aller Endpunkte, die unter deiner Obhut stehen. Unbekannte Endpunkte können nämlich nicht überwacht werden.

Patch-Management: Installiert die neuesten Updates zeitnah und überwacht die Patch-Stände.

Schwachstellen-Management: Identifiziert und meldet neue Schwachstellen an eine zentrale Konsole.

Health Monitoring: Überprüft wichtige Informationen wie Speicherplatz, Leistung, offene Ports usw.