Endpoint-Management in der Praxis So behalten Sie Ihre Endpunkte im Griff

Immer mehr Endgeräte, immer mehr mobile Nutzer – die Administratoren in den Unternehmen sehen sich mit steigenden Anforderungen konfrontiert, wenn es um all die Geräte geht, die als Endpunkte mit ihrem Netz verbunden sind. Neben der Wartung und Betreuung geht es ja schließlich auch um die Sicherheit der diversen Endpoints und ihrer Daten. Wir haben einen Blick auf die Endpunkte „an sich“, deren Verwaltung, auf die Sicherheitsproblematik und auf mögliche Lösungsansätze geworfen.

Firma zum Thema

Ganz unterschiedliche Geräte im Netzwerk mit nur einer Konsole zu betreuen, zeichnet optimale Management-Lösungen aus.
Ganz unterschiedliche Geräte im Netzwerk mit nur einer Konsole zu betreuen, zeichnet optimale Management-Lösungen aus.
(Bild: © Gorodenkoff - stock.adobe.com)

IT-Mannschaften müssen vielfach „ihre“ Endgeräte vom PC über mobile Geräte bis hin zu solchen Dingen wie Kassensysteme (POS-Systeme – Point of Sale) getrennt voneinander und mit verschiedensten Werkzeugen verwalten. Dabei kämpfen sie zudem häufig mit einem Mix aus lokal installierten oder verteilten sowie mobilen und nicht zu vergessenden Cloud-Anwendungen und SaaS-Lösungen, die auf diesen unterschiedlichen Endgeräten im Einsatz sind. Um das alles im Griff zu behalten stehen den Administratoren heute die unterschiedlichsten Softwarelösungen für ein einheitliches Endpoint-Management bereit, die dabei helfen sollen, die unterschiedlichsten Geräte in möglichst einer einheitlichen Konsole im Griff zu behalten.

Bildergalerie

Die „Endpoints“ im Netzwerk – viele und vielfältig

Für Computer-Netzwerke, ganz gleich, ob es sich um ein LAN, WAN oder WLAN handelt, repräsentiert in der Regel jedes Gerät, das mit dem Netz verbunden ist und über dieses Netz kommuniziert, einen Endpunkt. Leider beschränken dabei einige Unternehmen, deren Produkte den Markt der Security- und/oder Mobility adressieren, in ihren Ausführungen den Begriff „Endpunkt“ leider allzu häufig immer noch ausschließlich auf die Systeme, die sich außerhalb der Unternehmens-Firewall befinden: Also Smartphones, Tablets oder Notebook am Rand des eigenen Netzwerks.

Für die IT-Administration ist das aber sicher nur ein Teilbereich der Endpunkte. Denn da gibt es ja noch jede Menge andere Geräte im Netzwerk wie beispielsweise Switches, Router, Drucker, Datenterminals und nicht zuletzt auch IoT-Geräte, die es ebenfalls zu verwalten gilt. So ist dann auch die Sicherheit der Endgeräte im Netzwerk ein sehr wichtiger Punkt, der aber ebenso sicher nicht das alleinige Kriterium sein kann. Die Art und Weise, wie wir mit Geräten und Daten umgehen, hat sich in den letzten Jahren dramatisch verändert und ausgeweitet – doch für die IT-Profis gilt nach wie vor, dass sie ALLE Endpunkte in Unternehmensnetzwerk verwalten, betreuen und natürlich auch sichern müssen.

Was die Software können sollte…

Das bedeutet dann auch, dass IT-Verantwortliche und Administratoren ganz bestimmte Anforderungen an die Features und Möglichkeiten einer derartigen Lösung stellen. Auf der Suche nach der für sie am besten geeigneten Software für das Endpoint Management werden sie feststellen, dass sich die Ansätze und Umsetzungen der verschiedenen Anbieter gerade im Bezug auf den Funktionsumfang doch deutlich voneinander unterscheiden. Dabei sollten jedoch unter anderem einige grundlegende Anforderungen von einer Lösung auf jeden Fall erfüllt werden:

  • Erkennen und verwalten aller Endpoint-Assets, die mit dem eigenen Netzwerk kommunizieren
  • Verwaltung und Betreuung von Patches und Updates und somit das Sicherstellen, dass die Geräte den Konformitätsrichtlinien des Unternehmens entsprechen
  • Erkennen von neuen und möglicherweise unerwünschten Endgeräten
  • Neuinstallation und Updates von Betriebssystemen und Anwendungen auf den Endgeräten

Da es kaum eine Lösung geben wird, die wirklich allen Anforderungen entsprechen kann, ist es wichtig, zunächst festzulegen, welche Funktionen und Features die IT-Profis in ihrem Betrieb benötigen. So existieren beispielsweise Produkte, deren Managementfunktionen zwar sowohl für Windows- als auch für Apples Mac-Systeme einsetzbar sind, die aber im Bereich Patchmanagement nur für die Windows-Clients eingesetzt werden können.

Endpoint Management ohne Sicherheit gibt es nicht

Die Basisfunktionen eines Endpoint Managements helfen Administratoren dabei, die Geräteeinstellungen so sicher zu wählen, dass Anwender keine Fehler begehen können. Dies allein ist aber nur das Zentrum in der Sicherheitsbetrachtung. Es ist ohne Zweifel von entscheidender Bedeutung, aber in vielen Szenarien nicht ausreichend. Um diesen Kernbereich befinden sich das Patch-Management und die Überwachung der Sicherheitseinstellungen – Microsoft fasst diese beispielsweise im Dialog „Windows Sicherheit“ zusammen. Hierbei handelt es sich um Statusinformationen und Einstellungen zu „Viren und Bedrohungsschutz“, die Kontoüberwachung, die Prüfung der Firewall- und Netzwerkschutzeinstellungen, die App- und Browser-Steuerung, die Gerätesicherheit – sofern Hardware-Sicherheitsfunktionen zur Verfügung stehen und Aktionen zur Geräteleistung und -integrität.

Zu den weiteren sehr wichtigen Basisaufgaben in der IT gehört auch die laufende Aktualisierung von Applikationen auf den Endgeräten. Insbesondere Programme, die mit externen Datenquellen interagieren, bedürfen einer hohen Aufmerksamkeit des Administrators und das ist bei der schieren Masse von Software wahrlich eine Herausforderung. Der Trend hin zur Cloud/SaaS-basierten Applikationen könnte hier ein wenig zur Entspannung beitragen, da lokal nur der Browser erforderlich ist. Aber Entspannung ist nicht das richtige Wort – es handelt sich eher um eine Aufgabenveränderung.

Anwendungskontrolle im herkömmlichen Sinn ist das Zulassen oder die Verhinderung der Nutzung einer Applikation durch den Benutzer. So bedürfen alle tatsächlich ausführbaren primären Programme im Unternehmensumfeld der Kontrolle durch die IT. Auf diese Weise sichern die Administratoren Stabilität und Nutzbarkeit der für die Firma wichtigen Software. Unkontrolliert installierte Programme bergen das Risiko der Interaktion mit Primärapplikationen oder könnten Sicherheitslücken enthalten, die Cyber-Kriminelle für ihre Zwecke ausnutzen.

Üblicherweise sind die Programme für das Endpoint-Management dazu in der Lage, auf Endgeräten das Betriebssystem in der gewünschten Art und Weise bereitzustellen und dem Benutzer die richtigen Programme zur Verfügung zu stellen. Sofern alle sicherheitsspezifischen Basisfunktionen des Betriebssystems zum Einsatz kommen, hat der Administrator auf diese Weise bereits eine ganze Menge für die Sicherheit des digitalen Arbeitsplatzes getan.

Ausgereifte Endpoint Security Systeme gehen aber über diese Grundsicherheit deutlich hinaus. Programme dieser Art verlassen sich nicht auf die Informationen, die ihnen das Betriebssystem zur Verfügung stellt. Ihnen helfen aktive Scans im Arbeitsspeicher, auf den lokalen Festplatten und den verbundenen Netzwerkressourcen dabei, gefährliche und bedrohliche Programme genauer zu identifizieren. Die laufende Überwachung der ein- und ausgehenden Datenströme können Eindringversuche oder unerwünschte Datenverluste registrieren oder gleich verhindern. Hier kommen dann vermehrt IPS- (Intrusion Protection System) und DLP-Lösungen (Data Loss Prevention) zum Einsatz.

One Size fits all – das gibt es leider nicht

Jeder Anbieter von Endpoint-Management-Software hat unterschiedliche Schwerpunkte bei der Entwicklung gesetzt, daher variiert deren Leistungsfähigkeit zumindest in Detailbereichen. Gibt es im Unternehmen einen überwiegenden Teil von Client-Systemen mit Apple-Betriebssystem oder handelt es sich um eine Ausprägung mit umfassenden Remote Desktop Servern, auf die Benutzer beinahe ausschließlich mit ThinClients zugreifen, so benötigen Administratoren eine ganz andere Lösung als in einer eher von Windows-PCs dominierten Umgebung.

Leider ist die in einigen Bereichen immer noch verbreitete Annahme, dass es den „einen Endpoint“ für „den Benutzer“ gibt, trügerisch und nicht mehr zutreffend. Eine 1:1-Beziehung von Gerät und User gibt es in vielen Fällen seit Jahren nicht mehr, da sich das Arbeiten in den Unternehmen deutlich verändert hat. Während vor einigen Jahren noch Laptops in Bezug auf die Leistungsfähigkeit weit hinter den Desktop-PCs hinterherhinkten, dürfte die Variante mit der Docking Station heute eher gebräuchlich sein. Mitunter nutzen Anwender mehrere mobile Geräte – Laptop, Smartphone und Convertible oder Mini-Laptop – je nach Anwendungsfall.

Benutzer haben heutzutage verschiedene Arbeitsgeräte und idealerweise ist die IT in der Lage, alle Geräte komplett und vollständig zu verwalten – ob im Unternehmensnetzwerk betrieben, im Home-Office oder beim mobilen Arbeiten. IT-Administratoren sind daher gut beraten, wenn sie sich intensiv mit den verschiedenen Aspekten dieser veränderten Berufswelt auseinandersetzen. „Überall“ wird auf lange Sicht das Zauberwort für eine erfolgreiche IT-Umgebung sein und das muss auch die Management Lösung abbilden.

(ID:47029470)

Über den Autor