Zero Trust and Beyond the Perimeter: Die Bedeutung der Endpunkt Security bei kritischen Infrastrukturen

Die Energiewende in Deutschland steht im Mittelpunkt einer umfassenden Transformation des Energieverbrauchs und der Energieerzeugung. Ziel ist es, den Ausstoß von Treibhausgasen zu reduzieren, erneuerbare Energiequellen zu fördern und die Abhängigkeit von fossilen Brennstoffen zu verringern. Dieser Wandel stellt nicht nur eine technologische Herausforderung dar, sondern auch eine komplexe Sicherheitsfrage.

In einer digitalisierten Welt, in der vernetzte Systeme und IoT-Geräte (Internet of Things) die Energieinfrastruktur steuern, ist die Sicherheit der Daten und Systeme von entscheidender Bedeutung. Eine Schlüsselkomponente, die dabei ins Rampenlicht rückt, ist die Zero Trust Technologie und damit verbunden das Konzept der Endpoint Security.

Zero Trust und Endpoint Security spielen in der Energiewirtschaft Deutschlands eine entscheidende Rolle, da sie helfen, die zunehmenden Herausforderungen im Bereich der Cybersicherheit zu bewältigen. Beide Konzepte sind für eine sichere Energiewende in der deutschen Energiewirtschaft relevant:

Zero-Trust-Sicherheitsmodell:

Das Zero-Trust-Sicherheitsmodell geht davon aus, dass keine Person oder Entität im Netzwerk automatisch als vertrauenswürdig angesehen wird, selbst wenn sie sich innerhalb des Unternehmensnetzwerks befindet. Stattdessen wird jeder Benutzer, jedes Gerät und jede Anwendung kontinuierlich überprüft und muss sich bei jedem Zugriffsversuch neu authentifizieren.

• Schutz kritischer Infrastrukturen:
  Energiewirtschaftliche Einrichtungen, wie Stromnetze und Energieerzeugungsanlagen, sind kritische Infrastrukturen. Zero-Trust stellt sicher, dass selbst interne Benutzer und Geräte ständig überwacht werden, um unbefugten Zugriff zu verhindern und die Integrität dieser Systeme zu gewährleisten.
• Sicherung von IoT-Geräten:
  Mit der zunehmenden Verbreitung von IoT-Geräten in der Energiewirtschaft (z. B. intelligente Zähler, Sensoren) ist es wichtig, diese Geräte streng und kontinuierlich zu überwachen. Zero-Trust ermöglicht eine granulare Kontrolle über diese Geräte, um sicherzustellen, dass nur berechtigte Personen auf die erforderlichen Ressourcen zugreifen können.
• Schutz vor Insider-Bedrohungen:
  Zero Trust hilft, Insider-Bedrohungen zu minimieren, indem es sicherstellt, dass selbst berechtigte Benutzer nur auf diejenigen Ressourcen zugreifen können, die für ihre spezifischen Aufgaben erforderlich sind. Dies minimiert das Risiko von Missbrauch durch interne Mitarbeiter.

Endpoint Security:

Endpoint Security konzentriert sich auf den Schutz von Endgeräten wie Computern, Servern, Smartphones und IoT-Geräten vor Cyberbedrohungen. Für die deutsche Energiewirtschaft, welche kritische Infrastrukturen betreibt und auch ein hohes Maß an Vernetzung dieser Strukturen hat, ist ein umfassendes Schutzkonzept unerlässlich.

Der „New Way of Working” Post-Corona hat neue Möglichkeiten, aber auch neue Bedrohungen eröffnet.

Immer mehr Mitarbeitende haben sich die Vorzüge einer hybriden Arbeitsumgebung und der damit verbundenen Flexibilität gewöhnt, sodass das Arbeiten von zu Hause nicht mehr nur als ein netter Bonus angesehen wird. Stattdessen gibt es von vielen Mitarbeitenden eine klare Erwartungshaltung an die Unternehmen, dass ihnen diese flexiblen Möglichkeiten weiterhin geboten werden.

Dieser Umschwung von der klassischen Arbeit im Büro hin zu einer hybriden Arbeitssituation bringt jedoch eine Reihe von veränderten Herausforderungen an die IT-Sicherheit für die nun eingesetzten mobilen Endgeräte wie Laptops und Smartphones mit sich. Durch den fließenden Übergang zwischen Büro und Home-Office und der geschäftlichen sowie privaten Nutzung der Endgeräte entstehen neue Bedrohungen für die Cybersecurity und die Sicherheit von unternehmenskritischen Daten.

Die neue Offenheit hybrider Arbeitsumgebungen und die Verschmelzung persönlicher Endgeräte und Umgebungen mit dem Arbeitsumfeld erhöhen das Risiko von Datenschutzverletzungen, unbefugtem Zugriff auf Unternehmensdaten sowie Cyberangriffen auf die diversen verwendeten Endpunkte erheblich. Unternehmen haben, sowohl technisch als auch physisch, nur noch selten eine umfassende Kontrolle über alle Endgeräte in einem Netzwerk.

Zentralisierte Sicherheitsmaßnahmen sind aufgrund der hybriden Arbeitsweise daher nicht immer ausreichend und führen darüber hinaus meist zu negativen Einflüssen auf die User-Experience am Arbeitsplatz, wenn das mobile Arbeiten hierdurch eingeschränkt wird.

Um den Schutz von Unternehmensdaten und -ressourcen zu gewährleisten, ist es daher für Organisationen unerlässlich, eine robuste Endpoint-Sicherheitsstrategie zu implementieren, die ortsunabhängig greift, gleichzeitig aber nicht die Mitarbeiter in ihrer geschätzten und neugewonnen Flexibilität einschränkt.

Warum müssen Endpunkte mit modernen Maßnahmen geschützt werden?

In der Vergangenheit lag der Fokus der Cybersecurity hauptsächlich auf der Absicherung des Netzwerkperimeters. Unternehmen setzten Firewalls, Intrusion Detection Systems (IDS) und andere Sicherheitslösungen ein, um den Datenverkehr in das Netzwerk zu überwachen und unerwünschte Aktivitäten zu blockieren. Dieser Ansatz funktionierte gut, solange die meisten Geräte innerhalb des Perimeters des Unternehmensnetzwerks blieben, doch diese Sicherheitsmaßnahmen sind in der neuen mobilen Arbeitswelt längst nicht mehr ausreichend und umsetzbar. Befinden sich Mitarbeiter im Homeoffice oder auf Reisen, kann die Sicherheit von Seiten des Unternehmens nicht mehr allumfassend gewährleistet werden.

Stehen die Cybersecurity Anforderungen einem mobilen Arbeitsplatz im Weg? Nein.

Mittels moderner Endpunkt-Security-Maßnahmen können am ersten Kontaktpunkt für Angriffe, dem jeweiligen Endgerät wie z.B. dem Laptop oder Smartphone, entsprechende Kontrollen durchgeführt werden, egal wo sich dieses Gerät befindet. Damit stellt es einen sicheren Baustein in der Sicherheitslandschaft dar, der Flexibilität und Sicherheit in Einklang bringt. Angriffe können erkannt, abgewehrt und isoliert werden, bevor sie das Unternehmensnetzwerk erreichen und so den Endpunkt schützen.

Der Mangel an vollständiger Kontrolle über die Arbeitsumgebung, wie beispielsweise das für den Arbeitgeber unbekannte, private Heim-Netzwerk des Mitarbeiters oder der Zugriff auf Unternehmensdaten von einem unbekannten Endpunkt, stellen eine neue unbekannte Bedrohung dar.

Wie können Endpunkte effektiv geschützt werden?

Endpoint-Security sollte immer ein Teil einer gesamtheitlichen Cybersecurity Strategy sein, die alle Komponenten der IT abdeckt. Für einen effektiven Schutz von Endpunkten ist es wichtig, systematisch vorzugehen und unterschiedliche Aspekte abzudecken.
Als Vorgehen können beispielsweise die 5 Funktionen (Identify, Protect, Detect, Respond, Recover) aus dem Cybersecurity-Framework vom National Institute for Standardization (NIST) genutzt werden (Cybersecurity Framework | NIST). Innerhalb dieser Funktionen können Maßnahmen beschrieben werden, um Endpunkte effektiv zu schützen und so die IT-Sicherheit innerhalb des Unternehmens zu erhöhen.

Funktion 1: Identify

Im ersten Schritt legen Daten und Informationen die Basis für eine effektive Absicherung der Endpunkte, denn alle Endpunkte zu kennen und aktuelle Statusinformationen über diese zu haben ist unerlässlich. Eine umfassende Inventarisierung der Endpunkte inklusive verschiedener Telemetriedaten wie z.B. dem aktuellen Patchlevel oder Informationen über aktivierte Sicherheitseinstellungen wie z.B. eine Festplattenverschlüsselung kann diese Gewissheit geben. Hierbei sollten sämtliche Geräte im Netzwerk identifiziert werden, um sicherzustellen, dass Sie die volle Kontrolle gewährleistet ist. Dabei sollten nicht nur Unternehmensgeräte, sondern auch BYOD (Bring Your Own Device)-Geräte erfasst werden. Eine klare Richtlinie zur Akzeptanz und Verwaltung der Geräte ist entscheidend, um potenzielle Sicherheitslücken zu minimieren.

Funktion 2: Protect

Nachdem die Endpunkte identifiziert wurden und entsprechende Daten über die jeweiligen Endpunkte gesammelt wurden, müssen diese geschützt werden. 98 % der Cyberangriffe können bereits mit wenigen Sicherheitsmaßnahmen verhindert werden (Microsoft Digital Defence Report 2022 | Microsoft Security). Diese grundlegenden Sicherheitsmaßnahmen sollten von jedem Unternehmen umgesetzt werden:

• Multi-Faktor Authentifizierung
• Anwenden von Zero Trust Prinzipien
• Antimaleware
• Updatekontrolle
• Schutz von Unternehmensdaten

Die Umsetzung der oberen Sicherheitsmaßnahmen lässt sich mit Hilfe von Conditional Access durchsetzen, indem beispielweise der Zugriff auf Unternehmensdaten an die Bedingung einer Multi-Faktor Authentifizierung oder eines aktuellen Betriebssystems geknüpft wird. Unternehmen können so den Zugriff auf sensible Daten und Ressourcen kontrollieren und Mechanismen implementieren, die den Zugriff auf vertrauenswürdige Geräte und autorisierte Benutzer beschränken. Durch die Festlegung von Bedingungen wie Gerätetyp, Standort und Sicherheitsstufe können Unternehmen sicherstellen, dass nur autorisierte Benutzer von sicheren Geräten auf ihre Daten zugreifen können.

Funktion 3 und 4: Detect & Respond

Die Funktionen Detect und Response können für Endpunkte zusammengefasst werden und durch sogenannte Endpoint Detection and Response (EDR) Tools abgedeckt werden. EDR-Tools stellen eine wichtige Sicherheitskomponente dar, die entwickelt wurde, um Unternehmen dabei zu unterstützen, ihre Endgeräte wie Computer, Laptops und Server vor Cyberangriffen zu schützen. Diese Tools bieten eine proaktive Überwachung und Reaktion auf verdächtige Aktivitäten und Angriffe auf Endpunkte in einem Netzwerk.

EDR-Tools bieten üblicherweise 5 Hauptfunktionen, um Endpunkte zu schützen:

1. EDR-Tools sammeln Informationen über das Verhalten von Endpunkten, einschließlich Dateizugriffe, Netzwerkverbindungen, Prozessaktivitäten und Benutzerinteraktionen. Da diese Art der Überwachung auch für andere Zwecke als Cybersecurity genutzt werden könnten, gilt es für den administrativen Zugriff auf diese Daten organisatorische Vorkehrungen zu treffen. Außerdem bieten viele EDR-Tools eine Anonymisierung dieser Daten an, welche erst im Ernstfall entanonymisiert werden dürfen.
2. Erkennung von Bedrohungen: EDR-Tools nutzen fortschrittliche Analysetechniken und Algorithmen, um verdächtige Aktivitäten zu erkennen. Sie vergleichen das Verhalten von Endpunkten mit bekannten Angriffsmustern und verwenden Machine Learning, um unbekannte Bedrohungen zu identifizieren. Dadurch können potenzielle Angriffe, Malware oder andere schädliche Aktivitäten frühzeitig erkannt werden.
3. Incident Response: Sobald eine Bedrohung erkannt wurde, unterstützen EDR-Tools bei der effektiven Reaktion und Eindämmung des Angriffs. Sie bieten detaillierte Informationen über den betroffenen Endpunkt und ermöglichen es Sicherheitsteams, auf die Bedrohung zuzugreifen, sie zu analysieren und geeignete Gegenmaßnahmen zu ergreifen. Dies kann beispielsweise das Blockieren des schädlichen Prozesses, das Quarantänisieren des Endpunkts oder das Verschieben in eine sichere Umgebung umfassen.
4. Forensische Analyse: EDR-Tools zeichnen umfangreiche Informationen über Endpunktaktivitäten auf, die zur forensischen Analyse von Sicherheitsvorfällen verwendet werden können. Diese Aufzeichnungen ermöglichen es Sicherheitsexperten, den Ursprung eines Angriffs zu ermitteln, die Auswirkungen zu bewerten und geeignete Maßnahmen zur Prävention zukünftiger Vorfälle zu ergreifen.
5. Threat Hunting: EDR-Tools ermöglichen es Sicherheitsteams auch, proaktiv nach Bedrohungen zu suchen, anstatt nur auf automatische Warnungen zu reagieren. Sie können mithilfe von benutzerdefinierten Regeln und Suchabfragen nach verdächtigen Mustern oder Indikatoren von Kompromittierung suchen und potenziell schädliche Aktivitäten aufspüren, die von anderen Sicherheitslösungen möglicherweise übersehen wurden.

Hinzu kommen modernere Sicherheitsmaßnahmen wie beispielsweise die Verwendung einer Endpoint Detection & Response (EDR) Lösung, auch Endpoint Detection & Threat Response (EDTR) genannt.

Die Kombination aus EDR und einer Zugriffskontrolle, die verschiedene Bedingungen für einen Zugriff validiert, ergibt einen automatisierten Schutz.

Funktion 5: Recover

Sollte es trotz vorheriger Sicherheitsmaßnahmen zu einem Vorfall gekommen sein, ist es wichtig entsprechende Prozesse und Vorgehensweisen definiert zu haben, damit der normale Betriebsablauf schnellstmöglich hergestellt werden kann. Neben den Prozessen spielen aber auch die eingesetzten Technologien eine entscheidende Rolle bei der Geschwindigkeit und Qualität der Wiederherstellung.

Modernes Endpoint Management für mehr Cyber Resilienz

Da die Endpunkte im Unternehmen die zentralen Arbeitsgeräte der Mitarbeitenden sind und die Sicherheit dieser Endpunkte eine immer größere Herausforderung wird, gilt es trotz aller Sicherheitsmaßnahmen auf den Fall der Fälle vorbereitet zu sein. Zu einem umfassenden Sicherheitskonzept gehören eben auch erprobte und eingespielte Emergency und Recovery Prozesse, da es nach einem Angriff ebenso wichtig ist, dass die Arbeitsgeräte der Mitarbeitenden möglichst schnell wieder sicher und verfügbar sind.

Eine moderne Verwaltung von Endpunkten und Daten ermöglicht im Zielszenario eine sehr schnelle Wiederherstellung der Endpunkte.
Die Speicherung von Daten in einem Cloudservice verhindert, dass die Daten lokal auf der Festplatte des Laptops liegen und somit, dass diese bei einer Löschung der Festplatte verloren gehen.

Moderne Endpointverwaltungssysteme bieten die Möglichkeit, einen Laptop – in diesem Beispiel ein windowsbasierter Laptop – im Self-Service vom Anwender eigenständig zurückzusetzen und neu zu installieren.
Dieses Verfahren wird mithilfe der Cloud stark vereinfacht, sodass der Laptop nach wenig Zeit wieder einsatzbereit ist.

Die Verwaltung der Endpunkte spielt daher eine zentrale Rolle im Bereich der Cyber Resilienz.

Handlungsempfehlungen

Implementierung von Zero-Trust-Prinzipien:

Unternehmen sollten Zero-Trust-Prinzipien in ihre Sicherheitsstrategie integrieren. Dies bedeutet, dass kein Benutzer, Gerät oder System automatisch als vertrauenswürdig angesehen wird. Jeder Zugriff muss streng authentifiziert und autorisiert werden, unabhängig davon, ob er aus dem internen Netzwerk oder von extern erfolgt.

Investition in Endpoint Security-Lösungen:

Unternehmen müssen in fortschrittliche Endpoint Security-Lösungen investieren, die Echtzeitüberwachung, Bedrohungserkennung und schnelle Reaktionsmechanismen bieten. Dies hilft dabei, Angriffe frühzeitig zu erkennen und zu neutralisieren, bevor sie Schaden anrichten können.

Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter:

Die Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyberangriffe. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen helfen den Mitarbeitern, die neuesten Bedrohungen zu erkennen und sich bewusst zu machen, wie wichtig ihre Rolle im Schutz vor Cyberangriffen ist.

Kontinuierliche Aktualisierung der Sicherheitsrichtlinien:

Die Bedrohungslandschaft ändert sich ständig. Unternehmen sollten ihre Sicherheitsrichtlinien und -maßnahmen regelmäßig überprüfen und aktualisieren, um sich an neue Bedrohungen anzupassen und angemessen reagieren zu können.

Zusammenarbeit und Informationsaustausch:

Unternehmen sollten aktiv mit anderen Unternehmen, Regierungsbehörden und Sicherheitsexperten zusammenarbeiten, um Erfahrungen auszutauschen und bewährte Praktiken zu teilen. Gemeinsame Anstrengungen sind entscheidend, um sich gegen komplexe und fortschrittliche Bedrohungen zu verteidigen.

Fazit

In Anbetracht der ständig wachsenden Bedrohungen im Bereich der Cybersicherheit für die deutsche Energiewirtschaft sind Zero-Trust und Endpoint Security nicht mehr bloß Optionen, sondern absolute Notwendigkeiten. Die fortschreitende Digitalisierung und die zunehmende Vernetzung von Systemen erfordern eine proaktive Herangehensweise an die Sicherheit, um kritische Infrastrukturen zu schützen, den reibungslosen Betrieb sicherzustellen und das Vertrauen der Kunden zu bewahren.

Bei den aktuellen, fortschrittlichen Bedrohungen reicht es daher nicht mehr aus, sich allein auf die Absicherung des Netzwerkperimeters zu verlassen. Insgesamt ist die Endpoint-Security zu einer essenziellen Verteidigungslinie geworden, um sensible Unternehmensdaten und -systeme vor Angreifern zu schützen. Indem Unternehmen ihre Endpunkte sichern, können sie die Sicherheit ihres gesamten Netzwerks gewährleisten und den Anforderungen der Mitarbeitenden gerecht werden.

Die Inventarisierung der Endpunkte, der Einsatz von Antiviren- und Antimalware-Software, Zugriffskontrollen, regelmäßige Aktualisierungen und Patch-Verwaltung, Conditional Access und Schulungen der Benutzer sind wichtige Maßnahmen, um die Sicherheit der Endpunkte zu gewährleisten.

Der Endpoint dient dabei als ortsunabhängiger Schutz, der bei aller Flexibilität immer greift und den ersten Eintrittspunkt ins Unternehmensnetzwerk schützt. Indem man Endpunkte sichert, kann man Angriffe frühzeitig erkennen, blockieren und isolieren, um das gesamte Unternehmensnetzwerk zu schützen.

Die Implementierung einer umfassenden Endpoint Security ermöglicht es, die Angriffsfläche für potenzielle Angreifer zu reduzieren und Ihr Unternehmen besser zu schützen. Dabei muss beachtet werden, dass Endpoint Security ein kontinuierlicher Prozess ist, der regelmäßige Überprüfungen und Aktualisierungen erfordert. Durch die Umsetzung dieser Maßnahmen kann die Sicherheit der Endpunkte erhöht werden und die Unternehmensdaten und -ressourcen effektiv geschützt werden.

Co-Autor: Max Claussen