Sichere Hardware ist der beste Schutz

by Ewald Wendl | Feb 19, 2019

Ransomware, Drive-By-Hacks und Zero-Day-Attacken sind die größten Bedrohungen für jeden PC- und Notebook-Nutzer. Anti-Malware-Software und Firewalls können jedoch nur einen Teil dieser Angriffe verhindern. Deutlich mehr Sicherheit bietet eine Endpoint Protection, die bereits vom Hersteller in der Hardware verankert wird.

Während die Netzwerk- und Server-Infrastrukturen von Unternehmen immer besser geschützt werden, bilden die Endpunkte oft noch lukrative Angriffsziele. Insbesondere wenn Notebooks in Umgebungen eingesetzt werden, die nicht von der IT-Administration kontrolliert werden können, sind sie besonders gefährdet. Und nicht selten sind sie der Einstiegspunkt für tiefergehende Angriffe auf die Infrastruktur, oder sie liefern die benötigten Informationen für Social-Engineering-Attacken, die dann wiederum das Netzwerk infiltrieren, wie die aktuelle Emotet-Welle.

Produktivitätsverluste nicht vergessen

Die Schäden, die Unternehmen aus Cyberrisiken entstehen, sind vielfältig. Datenklau, wie beispielsweise bei Quest, Marriott, T-Mobile USA oder British Airways, um nur einige Beispiele aus den vergangenen Monaten zu nennen, führen zu Imageverlust und verschrecken potenzielle Kunden. Noch schlimmer ist es oft, wenn Unternehmensdaten zerstört oder „entführt“ werden, wie bei den Ransomware-Wellen der vergangenen Jahre mit den unterschiedlichsten Erpressungstrojanern.

Was jedoch meist weniger im Fokus der Betrachtung liegt, sind neben diesen großen Schäden die vielen Arbeitsstunden, die verloren gehen, weil Mitarbeiter ihre PCs und Notebooks nicht nutzen können. Petya, WannaCry & Co. haben hunderttausende Rechner lahmgelegt. Die IT-Abteilungen der betroffenen Firmen waren teils Wochen damit beschäftigt, die Geräte wiederherzustellen. 2017 meldeten beispielsweise FedEx-Tochter TNT Express und die Reederei Maersk jeweils Schäden von rund 300 Millionen US-Dollar aufgrund von Betriebsunterbrechungen. Bei Reckitt Benckiser, einem britischen Hersteller von Reinigungsprodukten und Haushaltswaren, wurde ein Umsatzrückgang von 100 Millionen Pfund prognostiziert. 

Security-Mechanismus vom untersten Level an

Es ist eine Binsenweisheit, dass es keine 100-prozentige Sicherheit geben kann. Die Frage ist daher, wie man dem Ziel möglichst nahe kommt – und den möglichen Schaden eines Angriffes so eingrenzt, dass die Folgekosten nicht ins Unermessliche steigen.

Eine ungewöhnliche Antwort darauf kommt von HP. Der Hersteller verbaut seit 2014 in seinen Business-Notebooks der Elite-Serie eine Hardware-Lösung, den HP Endpoint Security Controller (ESC). Ungewöhnlich deshalb, weil bislang kein anderer Hersteller etwas vergleichbares umgesetzt hat. Lediglich Apple bietet seit 2016 in den Macbooks Pro mit dem Zusatzchip T1 bzw. T2 (seit 2018) ein ähnliches Konzept, das zuvor bereits unter dem Namen Secure Enclave auf iPhones und iPads entwickelt wurde. Bei HP steht jedoch neben dem ESC als Root of Trust noch eine umfangreiche Sammlung von darauf aufbauenden Sicherheitsfunktionen, die der Hersteller als Chain of Trust bezeichnet. Das Ziel von HP ist es, mit dem ESC und dem zugehörigen Sicherheits-Framework ein System zu schaffen, das Angriffe aktiv abwehrt oder dem Nutzer eine schnelle Wiederherstellung eines infizierten Systems ermöglicht. So werden nicht nur Cyberrisiken sondern auch Produktivitätsausfälle durch Stillstand wirksam reduziert.

Sicherer Systemstart legt Basis für Security-Kette

Das besondere am ESC ist, dass er unterhalb der Betriebssystem-Ebene, ja, sogar unterhalb der eigentlichen Firmware des Notebooks agiert. Nur so ist es möglich, dass er die Integrität des BIOS überwacht und bei Problemen eingreift. Sollte es einer Malware gelingen, das BIOS zu manipulieren, ist dies durch gewöhnliche Anti-Malware nicht zu entdecken. Bei jedem Neustart fährt dann ein infiziertes System hoch – und alle Schutzmechanismen, die erst danach greifen, können ausgehebelt werden.

Auf HP Elitebooks mit integriertem Endpoint Security Controller kann dies nicht passieren. Dafür sorgt ein Mechanismus namens HP Sure Start. Dabei werden der Flash-Speicher wie der Runtime-Speicher (SMM) periodisch auf unerlaubte BIOS-Veränderungen überprüft. Falls eine Manipulation entdeckt wird, gibt das System eine Warnung an den Gerätenutzer aus, erstellt einen Eventlog-Eintrag und stellt das originale BIOS aus einem geschützten Speicherbereich des ESC wieder her. Beim nächsten Neustart arbeitet der Anwender dann wieder mit einem sauberen System. Benutzerdefinierte BIOS-Einstellungen, Richtlinien und Daten müssen dabei nicht neu eingespielt werden, auch diese unterliegen dem Schutz des ESC. Die Sicherheit des Endgerätes beginnt also bereits mit dem Einschalten – so werden Sicherheitslücken vor Ort ebenso eliminiert wie die Ausbreitung von Malware von Workstation zu Workstation.

Dieser BIOS-Selbstheilungsmechanismus greift übrigens nicht nur bei Angriffen. Auch wenn bei einem regulären Firmware-Update etwas schiefgehen sollte, ist das Gerät nicht gebrickt, sondern wird mit der ursprünglichen BIOS-Version restauriert und startet problemlos neu. Damit gibt es keinen Grund mehr, Sicherheits-Updates auf BIOS-Ebene auf die lange Bank zu schieben. 

Kontinuierliche Kontrolle im laufenden Betrieb

Mit HP Sure Run setzt sich die Kette der Sicherheitsfunktionen nahtlos fort. Dabei handelt es sich um eine Agenten-basierte Überwachung wichtiger Sicherheitsprozesse und -funktionen des Windows-Betriebssystems und der installierten Sicherheits-Anwendungen. Wenn Malware versucht, diese zu beenden oder zu manipulieren, wird eine automatische Fehlerbehebung in Gang gesetzt. Der Agent kommuniziert zudem regelmäßig mit dem Endpoint Security Controller, so dass auch ein Deaktivieren des Agenten selbst zu einem Security-Alert führt. Aufgrund des kontinuierlichen Monitorings können die IT-Verantwortlichen sicher sein, dass Virenscanner und andere Schutzmaßnahmen nicht unbemerkt abgeschaltet werden können, sondern der laufende Betrieb jederzeit sicher ist.

Zu den überwachten Security-Features gehört auch HP Sure Click für sicheres Browsen. Dabei werden die Tabs des Internet-Explorers in jeweils eigenen virtuellen Maschinen ausgeführt. Diese Mikro-Virtualisierung findet auf Hardware-Ebene in der Intel-CPU statt. Webseiten und PDF-Dateien, die mit Malware, Ransomware oder Viren infiziert sind, können auf diese Weise keinen Schaden anrichten – der Nutzer kann unbeschwert surfen ohne Infektionen des Systems befürchten zu müssen, Ausfälle wegen Shut-Down- und Wiederherstellungszeiten gehören damit der Vergangenheit an. Denn wird der Tab geschlossen und die zugehörige virtuelle Maschine beendet, verschwindet auch der Schadcode. Downloads, wie etwa PDF-Dateien, bleiben unter Quarantäne und sind erst nach einer zusätzlichen Sicherheitsüberprüfung bzw. -freigabe zugänglich. In der kommenden Version von HP Sure Click wird neben dem Internet Explorer zudem Chromium unterstützt – und damit auch die künftige Version des Microsoft-Edge-Browsers, die im kommenden Jahr auf die Web-Engine von Google umgestellt wird. 

Einfaches Management – lokal oder zentral

Die umfangreichen Sicherheitsfunktionen, die HP auf den Business-Modellen der Elite-Books zur Verfügung stellt, kann der Anwender zentral im Microsoft System Center Configuration Manager (SCCM) verwalten. Das HP Management Integration KIT (MIK) verankert dort ein zertifiziertes Plug-in, das alle gerätespezifischen Features, Treiber-, BIOS- und Security-Einstellungen vereint. Wichtig für den Unternehmenseinsatz: Die Einstellungen können auch über zentrale Policies gesteuert werden. Es müssen also nicht alle Optionen einzeln aufgerufen und ausgewählt werden, sondern es werden nur die relevanten, von der IT-Administration angelegten Policies ausgewählt, die dann wiederum die zahlreichen Einzelpunkte steuern.

Sollte trotz der umfangreichen Absicherung der Geräte doch einmal eine schwerwiegende Infektion stattfinden, beispielsweise mittels Ransom-Ware, die Teile der Festplatte verschlüsselt und die Malware tief im System verankert, dann greift das Sure-Recover-Konzept. Völlig selbstständig können Mitarbeiter über diesen Mechanismus ihr Elitebook wieder komplett neu aufsetzen – ohne die IT-Administration zu belasten. Einzige Voraussetzung: Ein funktionierender Internet-Zugang. Sure Recover lädt ein vollständiges Systemimage aus dem Netz und sorgt für eine automatische Wiederherstellung. Im einfachsten Fall bezieht der Mechanismus ein aktuelles System des Herstellers, so dass auch die aktuellsten Patches stets enthalten sind. Alternativ kann ein Pfad für unternehmenseigene Images hinterlegt werden, die bereits zentrale Anwendungen enthalten. Dann obliegt es der IT-Administration, regelmäßige Image-Erneuerungen für die jeweiligen Abteilungen bereitzustellen.

Da die Images nicht auf dem Gerät, sondern geschützt im Netz liegen, kann die Malware diese nicht beeinflussen. So wird das Neuaufsetzen größerer Notebook-Flotten stark vereinfacht. Vor allem aber wird die Downtime für den einzelnen Nutzer radikal reduziert. 

Fazit

Der wachsende Trend von Cyber-Angriffen auf kritische Infrastrukturen und strategische Industrieziele ist unverkennbar. Besonders im Fokus stehen dabei Endgeräte im Unternehmenseinsatz. Mit dem integrierten Endpoint Security Controller und der darauf aufbauenden Sicherheitsarchitektur, die bislang einmalig im PC- und Notebookmarkt ist, setzt HP ein deutliches Zeichen in Sachen Endpoint-Security. Alle anderen Maßnahmen – Anti-Malware-Anwendungen, Firewalls und Netzwerk-Security– folgen erst an zweiter Stelle. Die erste Sicherheitsentscheidung, die ein Unternehmen trifft, ist nun bereits die Auswahl des PCs.

 

 Whitepaper: Cybersicherheit Wenn es um IT-Sicherheit geht, sprechen viele  Gründe dafür, am Endpunkt anzusetzen. Welche das sind, lesen Sie hier. jetzt herunterladen

Autor: Ewald Wendl

Business Development Manager