Geschrieben von Uwe Sievers
Ausgangspunkt großer Datendiebstähle ist häufig der Laptop oder PC, denn hier können Nutzer direkt angegriffen werden. Jeder falsche Klick kann verheerende Folgen haben. Neuen Angriffsvektoren begegnen Hersteller von Endpoint-Protection-Software mit neuen Technologien wie Cloud und künstlicher Intelligenz.
Für Angreifer bildet der klassische PC oder Laptop nach wie vor das Haupteinfallstor ins Unternehmen. Hier sitzen die Nutzer, die Angreifer dazu verleiten wollen, auf einen schädlichen Link zu klicken oder kompromittierte Office-Dokumente zu öffnen. Diese Endgeräte eignen sich bestens als Startpunkt auf dem Weg ins Unternehmensnetz. Daher stehen sie bei der IT-Sicherheit in vorderster Front.
Laut einer IDG-Studie ist die Sicherheit von Endgeräten für 38 Prozent der Befragten aus Geschäftsführung oder Vorstand die größte Aufgabe für die IT-Security. Der Schutz der Endgeräte, sogenannte Endpoint Protection, bildet deswegen einen erheblichen Kostenfaktor: Bis zu einem Drittel des Security-Budgets wird dafür aufgewendet. Das Gesamtvolumen dieser Software-Sparte ist entsprechend umfangreich: Der weltweite Markt belief sich 2020 auf knapp 14 Milliarden US-Dollar und soll bis 2026 auf über 22 Milliarden anwachsen, wie Untersuchungen prognostizieren.
Kostentreiber sind neue Angriffsvektoren, denen Software-Anbieter nur mit angepassten Technologien begegnen können. Durch die extrem gestiegene Anzahl an Malware-Varianten, die noch dazu kurzfristig individuell auf einzelne Angriffsziele angepasst werden, funktioniert die ehemals Signatur-basierte Schädlingserkennung nicht mehr (mehr dazu lesen). Um schneller und flexibler reagieren zu können, setzen die Hersteller von Endpoint-Protection-Produkten auf Cloud-Technologien und künstliche Intelligenz (KI). Mittels maschinellem Lernen passt sich die Software an neue Arten von Bedrohungen an. Statt nach Byte-Sequenzen sucht sie nach verdächtigen Verhaltensmustern, also nach auffälligen Aktionen auf den Computern. Das könnte ein Nutzer sein, der eben noch am inländischen Firmenstandort eingeloggt war, aber plötzlich aus China oder anderen fernen Regionen auf Firmendaten zugreift. Oder auch Nutzer, die auf Daten zugreifen, die sie zuvor noch nie verwendet haben. Um solche Anomalien zu erkennen, arbeiten die Endpoint-Produkte vernetzt und tauschen Informationen mit Cloud-Servern aus. Dadurch kann die dort zentral eingesetzte KI zeitgleich auftretende vergleichbare Auffälligkeiten unterschiedlicher Unternehmen erkennen und Zusammenhänge herstellen.
Außerdem betreiben fast alle großen Anbieter von Schutz-Software eigene Security Operation Center (SOC), um Analysen durchzuführen. Die auf den Firmenendgeräten installierte Software dient zugleich als Sensor. Das weltweite Netz dieser Sensoren kann Korrelationen aus einzelnen Anomalien erkennen und dient damit der Früherkennung von Angriffen. Daraus ergeben sich Warnungen oder Updates für alle Kunden. Diesen Vorteil großer Anbieter können kleinere Konkurrenten in der Regel nicht bieten.
Doch nicht immer sind KI-Lösungen die bessere Wahl. Die Systeme brauchen Zeit zum Lernen und benötigen geeignetes Lernmaterial. Kriminelle haben sich längst darauf eingestellt und versuchen beispielsweise, Lernalgorithmen durch das Fluten mit falschen Information zu irritieren. Gelingt es Angreifern, ins Unternehmen einzudringen, versuchen sie häufig als Erstes, die KI abzuschalten.
Oft wird schon bei der Planung von Schutzmaßnahmen übersehen, dass nicht nur PCs Endgeräte darstellen. Laptops, Tablets, Smartphones und IoT-Geräte gelten ebenso als schutzbedürftige Endgeräte. Bilden sie einen Schwachpunkt im Schutzkonzept, werden sie leicht zum Ausgangspunkt, von dem Angreifer das Netzwerk kapern.
