Endpoint Management | IT Security

Unified Endpoint Management für mehr Sicherheit – Und das auch noch sicher?

07. September 2021, Avatar of Frank HeiderFrank Heider

Unternehmen sind gut darin ihre IT Infrastruktur vor Angriffen – sowohl von außen als auch von innen – bestmöglich zu schützen. Eine verlässliche Firewall-Lösung, eine zuverlässige Antivirenlösung, ebenso wie ein vernünftiger Backup & Recovery Strategie gehören zur Mindestausstattung. In Zeiten von aggressiver Schadsoftware mehr denn je. 

Um den Schutz vor Sicherheitsrisiken innerhalb des Unternehmens weiter zu erhöhen, ist es unabdingbar sich über vernünftige Rechtekonzepte, eine sinnvolle Netzsegmentierung und den Einsatz einer sicheren UEM-Lösung Gedanken zu machen. 

Eine sichere UEM-Lösung, worauf sollte ich achten?

Zunächst einmal sollte eine sichere UEM-Lösung die eigenen Anforderungen erfüllen können. Dabei ist es besonders wichtig, sich nicht vom Funktionsumfang der verschiedenen Angebote blenden zu lassen. Im Fokus sollte der sichere Betrieb einer solchen Lösung stehen. 

Hierzu einige Tipps

  • Hinterfragen Sie die Sicherheitskonzepte hinter einer solchen Lösung. Erkundigen Sie sich beim Anbieter über Angebote zu Schulungen oder Leitfäden für potentielle Maßnahmen zur Härtung der Systeme. 
  • Bringen Sie in Erfahrung wo das UEM-System in der Infrastruktur platziert werden muss und überlegen Sie, auf welche relevanten Systeme es Zugriff benötigt.
  • Sie wollen mit der UEM-Lösung auch mobile Endgeräte (Smartphones, Tablets, Laptops) außerhalb des Unternehmens verwalten? Werden Sie aufmerksam, wenn das Management System dafür in der DMZ platziert werden muss oder direkte Portweiterleitungen konfiguriert werden müssen. Lösungen, wie die baramundi Management Suite setzen hierbei auf eine Abstraktionsschicht, die den Management Server vor direkten Attacken schützt. Das baramundi Gateway stellt sicher, dass nur valide Anfragen von bekannten Endpunkten weitergeleitet werden und überprüfte Nachrichten an den Management Server sodass dieser im geschützten internen Netz verbleiben kann.
  • Werfen Sie einen Blick auf die Absicherung der Kommunikation zwischen Endgerät (Mobilgerät, Laptop, PC) und steuerndem Server. 

Warum spielt der sichere Betrieb einer UEM-Lösung eine entscheidende Rolle?

Ein UEM-System zählt zu den sicherheitskritischsten Systemen überhaupt, denn es verfügt über höchste administrative Berechtigungen auf den verwalteten Endpoints. Daneben hat es direkten Zugriff auf verbundene Active Directories und stellt über angebundene Zertifizierungsstellen automatisiert Zertifikate aus. 
Umso wichtiger ist es, dass dieses System weitestgehend vor unberechtigtem Zugriff geschützt wird. Wer die Kontrolle über dieses System erlangt, hat damit praktisch automatisch auch das gesamte Netzwerk im Griff.

Die Tipps 1-3 bestärken die Absicherung des Management Systems stark. Was aber wenn die Kommunikation zwischen verwaltetem Endpunkt und Server das Risiko darstellt? 
Gängige UEM-Lösungen setzen in der Regel auf eine verschlüsselte Kommunikation zwischen Endpunkt und Server. Diese Kommunikationsabsicherung ist identisch zur gewohnten Verschlüsselung beim Surfen im Internet mit TLS geschützten Verbindungen. Für eine vertrauenswürdige beidseitige Kommunikation auf Client Management Ebene ist das allerdings nicht ausreichend. Eine vollständig sichere Kommunikation, bei der sowohl der Server als auch die Clients ihr Gegenüber eindeutig identifizieren können, kann durch zusätzliche kryptografische Mittel erreicht werden. Daher sollten Sie besonderen Wert auf Tipp 4 legen. Auf was es dabei ankommt, möchte ich Ihnen nun aufzeigen.

Sichere Kommunikation – worauf kommt es an?

Die folgende Liste beschreibt einige Sicherheitsmerkmale die eine moderne und sichere UEM-Lösung wie die baramundi Management Suite bei der Kommunikation mit den Endgeräten auszeichnet:

  • Verwendung von sicheren Zertifikaten mit mindestens 2048 Bit Schlüssellänge und SHA-2 Hash-Algorithmus
  • Verschlüsselte Kommunikation mit TLS 1.2 oder höher
  • Authentifizierung und Autorisierung der Endgeräte anhand von sicheren Client-Zertifikaten mit mindestens 2048 Bit Schlüssellänge und SHA2 Hash-Algorithmus
  • Zertifikats-Pinning verwalteter Endpunkte auf Server-Seite und Zugangskontrolle durch entsprechende „Allow“-Listen
  • Zertifikats-Pinning des Servers auf Client-Seite
  • Integritätsprüfung eingehender Nachrichten auf Basis digitaler Signaturen
  • Einfacher Austausch von korrumpierten Zertifikaten
  • Konsequente Umsetzung für alle verwalteten Endpunkt-Typen

Fazit

Eine moderne UEM-Lösung trägt mit ihrem Funktionsumfang maßgeblich zur Steigerung der Sicherheit in Unternehmensinfrastrukturen bei, sollte dabei aber selbst keine Sicherheitsproblem darstellen. 

baramundi bietet mit der baramundi Management Suite und deren zusätzlichen Angeboten genau solch eine UEM-Lösung und beantwortet die Ausgangsfrage klar – sicher für mehr Sicherheit ist möglich.

Mehr lesen?