Clients oder Endpoints bilden die letzte Verteidigungslinie gegen Bedrohungen. Darum ist es wichtig, sie besonders gut zu schützen. Hier einige Tipps, worauf es beim Aufbau eines wirksamen Schutz von Client-Systemen ankommt.

Egal, ob Client- oder Endpoint-Security, gemeint ist dasselbe: die zentral verwaltete Sicherheit auf Client-Ebene. Der Begriff Client umfasst dabei Desktop-Computer, Laptops, Remote-Desktops und PDAs, aber auch Netzwerkeinstiegspunkte wie Server.

In der Vergangenheit war der Begriff Endpoint-Security vor allem mit zentral verwalteten Desktop-Firewalls verbunden. Doch der von solchen Systemen gebotene Schutz reicht längst nicht mehr aus. Das Schreiben und Verbreiten von Viren, Spyware und anderem zerstörerischen Code ist zu einem profitablen Geschäft geworden.

Die Bedrohungen, denen sich Clients heute ausgesetzt sehen, wiegen schwerer und sind mit traditionellen Sicherheitssystemen immer schwerer in den Griff zu bekommen. Clients bilden immer die letzte und oft die einzige Verteidigungslinie gegen neue Bedrohungen.

Viele Organisationen wähnen sich sicher, solange sie Firewalls und Antivirus-Software nutzen. Das ist schon mal etwas, aber noch keine umfassende Client-Security. Traditionelle Firewalls konzentrieren sich in der Hauptsache darauf, verdächtigen Verkehr zu blockieren, der aus dem Internet kommt. Sie sie kümmern sich weniger darum, welche Anwendungen von innen auf das Internet zugreifen.

Und das klassische Antiviren-Programm erkennt zwar Viren, Würmer und anderen gefährlichen Code auf Festplatten und in E-Mails und Web-Verkehr. Aber Würmern, die sich via Instant-Messaging, Peer-to-Peer-File-Sharing oder IRC ausbreiten, steht es oft machtlos gegenüber.

Sicherheitsrichtlinien helfen nur bedingt

Zwar können Unternehmensrichtlinien dem Mitarbeiter die Nutzung solcher Dienste verbieten, und eine Firewall kann die entsprechenden Kanäle blockieren. Aber kein Administrator hat die Macht, Benutzer daran zu hindern, diese Dienste auf unternehmenseigenen Laptops außerhalb des Unternehmens auszuführen.

Client-Security umfasst also mindestens eine Firewall, Antivirus-Software, Anti-Spyware, Content-Security und Anwendungsüberwachung. Wünschenswert sind außerdem eine Anti-Spam-Komponente sowie Intrusion-Detection/-Prevention.

Für einen kontinuierlichen Schutz muss die Sicherheitssoftware nach dem Einschalten in einem Echtzeitmodus arbeiten. Nur so kann sie Sicherheitsverletzungen in Echtzeit verhindern, statt lediglich Angriffe oder Systemänderungen erkennen, nachdem diese bereits passiert sind.

Antivirus- und Spyware-Scanning sollte auf alle Applikationen angewandt werden, die auf Dateisysteme zugreifen, ferner auf E-Mail- und Web-Verkehr. Denn dies sind nach wie vor die Wege, über die sich gefährlicher Code auf häufigsten ausbreitet.

Eine Firewall für Desktop-Computer ist notwendig, um das Netzwerk vor Wurminfektionen zu schützen. Für mobile Computer ist eine Desktop-Firewall sogar obligatorisch, denn eine Unternehmens-Firewall auf Netzwerkebene schützt solche Computer nicht.

Netzwerkapplikationen wie Peer-to-Peer-, IRC- oder IM-Programme an sich sind nicht bösartig. Gefährlich ist aber das, was Benutzer damit anstellen können, beispielsweise vertrauliche Dokumente ins Internet senden.

Hier leistet eine Anwendungsüberwachung gute Dienste, die einfach die Ausführung solcher Programme verhindert. Sinnvoll ist sie aber nur dann, wenn nicht der Benutzer selbst entscheiden darf, ob er bestimmten Programmen den Zugriff aufs Internet erlaubt oder nicht.

Möglichst keine Eingriffe

Natürlich ist jedes Netzwerk anders aufgebaut: Eines mit zehn Desktops lässt sich kaum mit einem vergleichen, an dem 5000 Computer angeschlossen sind. Aber egal, ob eine Client-Protection-/-Security-Software in einem kleinen oder großen Netzwerk eingesetzt wird: Die Installation und die nachfolgenden Aktualisierungen sollten möglichst automatisch erfolgen, die Konfiguration aufs Notwendigste beschränkt und die Administration über eine zentrale Konsole ausführbar sein.

Ein weiterer Punkt, auf den Anwender achten sollten: Je kleiner das Netzwerk, desto weniger sollte ein »Administrator« involviert sein. Denn in kleinen Unternehmen mit überschaubaren Netzwerken gibt es oft gar keinen Systemverwalter.

Für kleine Netzwerke gilt also die Devise »installieren und vergessen«. Die Installation beginnt damit, die Management-Software auf einer Management-Maschine zu installieren. Von dort aus wird dann die Endpoint-Software an die Clients verteilt.

Anschließend sorgen automatische Updates dafür, dass Virendefinitionen, die Software etc. auf neuestem Stand bleiben. Eingriffe eines Administrators sollten dann nicht mehr notwendig sein.