Was ist hardwarebasierte Sicherheit?
Sicherheitsfunktionen, die physisch im Halbleiterchip integriert sind, werden als hardwarebasiert bezeichnet. Das unterscheidet sie von herkömmlichen softwarebasierten Schutzvorkehrungen, bei denen Sicherheitsmaßnahmen außerhalb der Hardware installiert werden und die Schichten des Systems unterhalb des Betriebssystems für eine größer werdende Klasse von Angriffen anfällig bleiben.
Hardwarebasierter Schutz der Sicherheit soll die Möglichkeiten der softwarebasierten Sicherheit nicht ersetzen, sondern vielmehr ergänzen. So entsteht ein mehrdimensionales und umfassendes Sicherheitskonzept, das ein breiteres Spektrum von Cyberbedrohungen in den heutigen zunehmend komplexen und verstreuten Arbeitsumgebungen erkennen und abwehren kann.
Warum softwarebasierte Sicherheit nicht mehr ausreicht
Unternehmen haben sich in der Vergangenheit auf Sicherheitssoftware verlassen, um ihre Vermögenswerte zu schützen. Moderne Cyberangriffe ändern sich jedoch und zielen nun unterhalb des Betriebssystems auf Anwendungen und Geräte. Das bedeutet, dass softwarebasierte Sicherheitsvorkehrungen von einem Angreifer umgangen werden können, der raffiniert oder fähig genug ist, um eine Schwachstelle in der Firmware oder Hardware zu finden und auszunutzen.
Eine neu sich abzeichnende Schwachstelle ist zum Beispiel der Programmcode in der Geräte-Firmware, der beim Systemstart ausgeführt wird, um den Start des Betriebssystems vorzubereiten. Hacker suchen nach Möglichkeiten, Malware in diesen Programmcode unterhalb des Betriebssystems einzuschleusen, in dessen Codesequenz standardmäßig keine Sicherheits- und Integritätsprüfungen vorgesehen sein mussten. Das Resultat ist, dass das Betriebssystem diesem Code vertraut, selbst wenn er bösartige Malware enthält.
Hardwarebasierte Sicherheitsfunktionen, die bereits im Halbleiterchip integriert sind, können dazu beitragen, eine vertrauenswürdige Grundlage zu schaffen, um Daten besser zu schützen, die Geräteintegrität zu wahren und sicherzustellen, dass Systeme wie vorgesehen starten und funktionieren.
Manipulation von Geräten
Die Manipulation von Geräten ist eine weitere Form des Eindringens von Malware unterhalb des Betriebssystems und kann mittels hardwarebasierter Sicherheitsfunktionen abgewehrt werden. Manipulationen sind überall im Prozess von der Herstellung bis zur Lieferung möglich. Um Manipulationen entgegenzuwirken, ist es unerlässlich, moderne Geräte anzuschaffen, die durch den Prozessor schon am Fließband Hardware-Sicherheitsfunktionen und Sicherheitsfunktionen für das Betriebssystem bereitstellen, die sofort aktiv sind.
Die IT-Abteilung kann auch feststellen, ob ein neu eingegangenes Gerät manipuliert wurde, indem sie untersucht, ob der Hersteller die Echtheit der zertifizierten Gerätekomponenten sicherstellt und Beurteilungen der Korrektheit des Firmware-Codes anhand einer Ausgangsbasis vornimmt, die man auch als Goldstandard bezeichnen kann, bevor die Firmware vor dem Transport und der Auslieferung versiegelt wird.
Nach der Auslieferung helfen hardwarebasierte Sicherheitsmechanismen dabei, das Risiko von Manipulationen des Systems zu mindern, die jederzeit im Lebenszyklus des Geräts auftreten können. So werden zum Beispiel beim Start eines Systems mit Intel® Prozessor jedes Mal die Ladevorgänge verifiziert, die den Programmcode booten und die Bootsequenz der Firmware und des Betriebssystems ausführen. Diese zusätzliche Sicherheitsebene trägt dazu bei, das Risiko von Manipulationen zu verringern, um schädlichen Code unter dem Betriebssystem einzuführen.
Hardware-Sicherheitsstrategien für das Geschäftsumfeld
Hardwarebasierte Sicherheit sollte eine wichtige Rolle in der umfassenden Sicherheitsplanung Ihres Unternehmens spielen. Ziehen Sie die folgenden Strategien in Betracht, um sicherzustellen, dass alle Facetten Ihres geschäftlichen Umfelds geschützt sind.
Endpunkte auf allen Ebenen schützen
Sicherheitsbedrohungen beginnen bei den Endpunkten, und die Endpunkte in Form Ihres PC-Bestands sind das Hauptziel von Hackern. Die Zunahme der Mitarbeiter, die von überall aus arbeiten, hat die Absicherung der Endpunkte nur noch weiter erschwert. Um alle Ebenen Ihrer Endgeräte besser zu schützen und die Risiken eines verstreuten PC-Bestands zu verringern, sollten Sie Computer mit Intel vPro® einsetzen, bei denen ab Werk einzigartige hardwarebasierte Sicherheitsfunktionen aktiviert sind, einschließlich aktiver Erkennung möglicher Angriffe. Informieren Sie sich über den Nutzen, den Ihnen hardwarebasierte Endpunktsicherheit bieten kann.
Verbesserte Sicherheit der Virtualisierung mit Defense-in-Depth-Schutz
Ein weiteres von Unternehmen implementiertes Sicherheitskonzept ist die Virtualisierungssicherheit, wobei virtualisierte Container verwendet werden können, um Anwendungen, Webbrowser und Daten, die in diesen containerisierten Umgebungen verarbeitet werden, zu isolieren und deren Integrität zu überprüfen. Virtualisierung bietet einen Schutz durch Isolierung. Außerdem werden dadurch die möglichen Auswirkungen von Malware auf das System minimiert, da der virtualisierte Arbeitsbereich nur begrenzten Zugriff auf Systemressourcen hat und die Fähigkeit, im System zu verharren, fehlt.
Wie softwarebasierte Sicherheitsvorkehrungen kann auch die Virtualisierungssicherheit von zusätzlichen Schutzebenen profitieren, die durch hardwarebasierte Sicherheitsfunktionen bereitgestellt werden. Intel bietet eine umfassende Palette an Methoden und Funktionsmerkmalen, die für eine mehrschichtige („Defense-in-Depth“) Virtualisierungssicherheit sorgen. Hypervisor-basierte Sicherheitsfunktionen, die mit Intel vPro® Security exklusiv bei Windows-PCs mit der Intel vPro® Plattform verfügbar sind, tragen beispielsweise dazu bei, die Wahrscheinlichkeit von Angriffen mit Arbeitsspeicherumleitung zu reduzieren, die virtualisierte Container gefährden könnten, und bieten mit verbesserter Multikey-Verschlüsselung größeren DRAM-Schutz.
Verbesserte Transparenz der Vorgänge unterhalb des Betriebssystems für besseren Schutz vor Malware
Hardwarebasierte Sicherheitsfunktionen unterhalb des Betriebssystems können außerdem dazu beitragen, die Transparenz bei Vorgängen auf fundamentalen Systemebenen wie Firmware und BIOS zu verbessern, sodass Ihr Team verifizieren kann, ob Workloads auf vertrauenswürdigen Plattformen verarbeitet werden.
Als Beispiel kann Ihr Team mit Intel® Boot Guard, einer weiteren Funktion von Intel vPro® Security, eine hardwarebasierte statische Vertrauensbasis für die Beurteilung und Verifizierung der Boot-Integrität vor dem Hochfahren des Betriebssystems aktivieren. Und mit Intel® Firmware Restart/Recovery, einer für Firmware- und BIOS-Updates sowie Firmware-Wiederherstellung bei Fehlfunktionen konzipierten Funktion, können Sie die Sicherheit von Geräten durch resiliente Updates vom ersten Tag an verbessern.
Verstärkung der Sicherheit von verwalteten IT-Umgebungen
Dank verbesserten Verwaltungsfunktionen können IT-Administratoren Systeme ferngesteuert aktivieren, um Sicherheitspatches oder Abhilfe bei Bedrohungen zu installieren, und sie danach wieder herunterfahren, wenn sie nicht gebraucht werden, um Energie zu sparen. Sie können eine Out-of-Band-KVM-Funktion (Keyboard Video Mouse) verwenden, um die Tastatur, den Monitor und die Maus von externen Endpunkten – sogar unbeaufsichtigten Systemen – zur Bereitstellung von Sicherheitspatches zu übernehmen. Darüber hinaus bietet eine fernverwaltete IT-Umgebung bessere Möglichkeiten zur Wiederherstellung nach Fehlern oder Angriffen sowie zur Abwehr von Denial-of-Service-Angriffen.
Vorteile der hardwarebasierten Sicherheit durch eine Hardware-Erneuerung nutzen
Eine Aufrüstung Ihrer Firmen-PCs kann eine aufreibende und frustrierende Aufgabe sein. Sie aufzuschieben, kann andererseits kostspielig sein – von erhöhten Sicherheitsrisiken über Produktivitätsverluste bis hin zu unzufriedenen Mitarbeitern.
Angesichts der großen Fortschritte im Bereich Sicherheit in den letzten Jahren und neuer Anforderungen an hardwarebasierte Sicherheit für Windows 11-Benutzer ist jetzt der optimale Zeitpunkt für eine Auffrischung Ihrer Firmen-PCs.
Trusted-Platform-Modul für die Windows 11-Sicherheit
Um die Sicherheit von PCs zu wahren und es Hackern zu erschweren, Cyberkriminalität zu verüben, erfordert Windows 11 jetzt, dass alle PCs das Trusted-Platform-Modul (TPM) 2.0 verwenden, damit das Betriebssystem funktioniert. Das TPM ist ein Sicherheits-Chip auf dem Mainboard des Computers und unterstützt die Sicherheit des Systems durch hardwarebasierten Schutz vor Malware und ausgeklügelten Cyberangriffen. Mithilfe von Kryptografie speichert das TPM wichtige und kritische Informationen auf PCs, um die Authentifizierung der Plattform zu ermöglichen. Dafür zu sorgen, dass Ihre Geräte mit TPM 2.0 ausgerüstet sind, ist für die Langlebigkeit Ihres PC-Bestands zwingend, da dies zum Standard für zukünftige Upgrades wird, und Geräte ohne TPM 2.0 dem Risiko überholter Sicherheitsmaßnahmen ausgesetzt sein werden.
Unterstützung von Intel® Prozessoren für TPM 2.0
Computer, die mit Intel® Core™ Prozessoren der 8. oder einer neueren Generation bestückt sind, unterstützen TPM 2.0 durch die Intel® Platform-Trust-Technik (Intel® PTT), ein integriertes TPM, das die 2.0-Spezifikationen erfüllt. Die Intel® PTT stellt dieselbe Funktionalität wie ein separates TPM bereit, nur dass sie sich in der Firmware des Systems befindet und so keine speziellen Verarbeitungs- oder Speicherressourcen benötigt.
Aber auch wenn Ihr Computer TPM 2.0 unterstützt, kann es an der Zeit sein, den PC zu erneuern, weil ältere PCs anfälliger für Cyberangriffe sein können. Erfahren Sie mehr darüber, wie eine PC-Erneuerung dazu beitragen kann, Sicherheitsrisiken zu mindern.
Intel vPro® Enterprise für Windows
Intel vPro® Enterprise für Windows kann dazu beitragen, Ihre Mitarbeiter, Ressourcen und Daten vor den Cyberbedrohungen von morgen zu schützen, indem es sofort einsatzbereit die umfassendsten Sicherheitsfunktionen für Ihr Unternehmen bereitstellt.1 Mit fortschrittlichen Sicherheitsfunktionen, die tief in den Halbleiterchip integriert sind, bietet Intel vPro® für Windows folgende Vorteile:
- Reduzierung der Angriffsfläche im Vergleich zu vier Jahre alten PCs um schätzungsweise 70 %.2
- Verringerung schwerer Sicherheitsverletzungen um 26 %3
- Reduzierung von schädlichen Sicherheitsereignissen um 21 %
Intel vPro® Enterprise für Windows bietet außerdem eine Reihe von Sicherheitslösungen, die zur Abwehr moderner Bedrohungen auf jeder Systemebene beitragen – Hardware, BIOS/Firmware, Hypervisor, VMs, Betriebssystem und Anwendungen.
Intel vPro® Security
Intel vPro® Security ist exklusiv bei Windows-PCs verfügbar, die auf der Intel vPro® Plattform basieren, und trägt mit erweitertem Schutz vor Bedrohungen, Sicherheitsfunktionen für Anwendungen und Daten und Schutz unterhalb der Betriebssystemebene zur Verbesserung der allgemeinen Sicherheit bei. Diese Technik hilft, das Risiko einer Malware-Infizierung dadurch zu minimieren, dass sie den Speicher im BIOS sperrt, wenn Software ausgeführt wird, und verhindert, dass eingeschleuste Malware das Betriebssystem beschädigen kann. Darüber hinaus erhöht Intel vPro® Security die Sicherheit in virtualisierten Umgebungen durch die Möglichkeit, virtuelle Maschinen zur sicherheitsrelevanten Isolierung mit Anwendungskompatibilität über verschiedene Betriebssysteme hinweg auf demselben PC zu betreiben. Informieren Sie sich eingehender über die Sicherheitsmerkmale von Intel vPro® Security.
Intel® Threat Detection Technology
Eine weitere Schlüsselkomponente der Intel vPro® Plattform ist Intel® Threat Detection Technology (Intel® TDT). Intel® TDT ermöglicht eine Überwachung auf Cyberangriffe sowie eine höhere Sicherheitsleistung auf Hardwareebene, indem die Lösung eine bis zu 7-fache Verbesserung der Scanleistung bietet.
Die Intel® TDT kann auch dazu beitragen, Ihre softwarebasierten Sicherheitslösungen mit folgenden Funktionen zu ergänzen:
- Aufdeckung von bösartigem Code, der in einer VM oder in verschleierten Binärdateien versteckt ist
- Verbesserte Erkennung von dateiloser Malware, die verborgen im Arbeitsspeicher läuft
- Unterstützung der Echtzeiterkennung von Zero-Day-Angriffen, neuen Varianten oder intermittierenden Verschlüsselungen
Hardwaresicherheit für zukünftige Angriffe und Bedrohungen
Leider werden bösartige Akteure nicht so schnell verschwinden, und sie werden weiterhin versuchen, Ihr Unternehmen zu hacken, Ihre Daten zu verschlüsseln und Sie zu bestehlen. Zum Glück können wir Sie bei der Entwicklung einer umfassenden Strategie unterstützen, die hardwarebasierte Sicherheitsfunktionen mit softwarebasierter Sicherheit kombiniert, um Ihr Unternehmen besser vor den drängendsten Bedrohungen von heute und morgen zu schützen.
Erfahren Sie mehr darüber, wie Sie Ihre PCs sowohl oberhalb als auch unterhalb des Betriebssystems mit Intel vPro® schützen können, und finden Sie heraus, welchen ROI die Intel vPro® Plattform in der Realität bietet.