Was bedeutet Systemhärtung?

PC-Härtung ist ein entscheidender Bestandteil Ihrer Strategie zur Reduzierung von Sicherheitslücken.1 2

Grundlagen der Systemhärtung:

  • Die Systemhärtung beinhaltet die Behebung von Sicherheitsschwachstellen – sowohl bei der Software als auch bei der Hardware.

  • Das Härten von Computern sollte Maßnahmen zum Schutz vor Angriffen mit Schadcode, vor Angriffen durch unberechtigten physischen Zugang und vor Seitenkanal-Angriffen umfassen.

  • Alle Windows-PCs, die auf Intel vPro® basieren, enthalten Intel® Hardware Shield, das Schutz unterhalb des Betriebssystems, Schutz für Anwendungen und Daten sowie erweiterte Bedrohungen bietet.

author-image

By

Für jeden Angriff auf Ihre IT-Infrastruktur muss ein potenzieller Hacker einen Weg finden, sich Zugang zu verschaffen. Hacker können versuchen, Schadcode in das Betriebssystem einzuschleusen, indem sie einen Benutzer dazu verleiten, ihnen Zugang zu gewähren. Oder sie können auf die Hardware, Firmware oder Software abzielen. Wenn sie erfolgreich sind, können Angreifer schädliche Elemente einschleusen, um ein System zu kapern. In Fällen, in denen das Einschleusen von Schadprogrammen schwierig ist, können ausgefuchste Angreifer im Speicher verbliebene Daten vertrauenswürdiger Anwendungen nutzen, um damit Gadgets zu erstellen, die moderne Sicherheitstechniken untergraben. Wenn andere Versuche scheitern, können Angreifer auch einfach einen Laptop oder ein anderes Gerät stehlen und sich in aller Ruhe Zugang verschaffen. Sie können versuchen, Schwachstellen in den Gerätetreibern auf physische Weise zu nutzen, um traditionelle Sicherheitsvorkehrungen des Betriebssystems zu umgehen, beispielsweise durch eine Kernel-DMA-Attacke. Wie auch immer sie Ihr System schädigen – wenn Hacker einmal Zugang erlangt haben, können sie Benutzer ausspionieren, Daten stehlen, berechtigten Zugriff verhindern oder Rechner unbrauchbar machen.

Systemhärtung bedeutet, alles Mögliche zu unternehmen, um Sicherheitslücken aufzuspüren und zu schließen, sei es in der Hardware, der Firmware, der Software, in Anwendungen, bei Passwörtern oder in Prozessen.

Vorteile der Systemhärtung

Das Hauptziel der Systemhärtung ist die Verbesserung der gesamten IT-Sicherheit. Damit sinkt das Risiko von Datenpannen, unberechtigtem Zugriff und der Einschleusung von Malware. Dadurch, dass Sie erfolgreiche Angriffe vermeiden, können Sie auch die mit einer Behebung entsprechender Schäden verbundenen Ausfallzeiten vermeiden. Eine Systemhärtung kann auch dazu beitragen, die Einhaltung von internen oder externen Vorschriften zu vereinfachen.

Arten der Systemhärtung

Die Systemhärtung sollte auf jeder Ebene Ihrer IT-Infrastruktur erfolgen. Dies schließt alles von den Servern über die Netzwerke bis zu den Endpunkten ein. Die IT-Systemadministratoren konzentrieren sich üblicherweise auf die Härtung von Serversystemen im Rechenzentrum, doch der Schutz von Clientsystemen ist ebenso wichtig. Mögliche Schwachstellen in der Endpunktsicherheit zu verringern, untermauert eine vorhandene Zero-Trust-Strategie für die Unternehmenssicherheit.

Sie wissen bereits, dass PCs allgemein eine große Angriffsfläche bieten. Vielen IT-Administratoren ist jedoch nicht bewusst, dass Antimalware nicht mehr ausreicht, um die Computer zu schützen. Angriffe auf Hardware und Firmware waren schon immer möglich, sind jedoch recht schwierig durchzuführen. Mit den betreffenden Kits und Tools im Internet stehen Hackern nunmehr hochentwickelte Mittel zur Verfügung, um auch tiefergehende Angriffe auf Computer unterhalb des Betriebssystems auszuführen.

Computersysteme zu härten, zielt darauf ab, alle möglichen Angriffsvektoren zu blockieren und die Systeme regelmäßig upzudaten, um die missbräuchliche Nutzung zu verhindern. Angriffe können auf folgende Weise erfolgen:

  • Angriffe durch Einschleusen schädlicher Hardware, die Lücken im Versorgungsnetz ausnutzen (Angriffe auf Lieferketten, Supply-Chain-Attacken)
  • Social-Engineering-Angriffe, bei denen Benutzer mit dem Ziel manipuliert werden, vertrauliche Zugangsdaten preiszugeben.
  • Angriffe mit Schadcode, die Schwachstellen in der Software und der Firmware ausnutzen.
  • Angriffe auf Basis von rechtmäßigem Code, wobei im Arbeitsspeicher verbliebene Daten genutzt werden, um das System zu beeinträchtigen.
  • Angriffe mit physischen Zugriffsmethoden, die Schwachstellen in der Hardware ausnutzen.
  • Seitenkanal-Angriffe.

Sicherheit an erster Stelle

Bei Intel bedeutet Sicherheit nicht nur die Produktsicherheit. Es geht in ständigem Bemühen vielmehr darum, dafür zu sorgen, dass die Benutzer mit Plattformen, die auf Intel® Technik basieren, am besten und sichersten arbeiten können.

Intels Versprechen, Sicherheit in den Mittelpunkt zu stellen, steht für das Engagement des Unternehmens, die Entwicklung auf die Produktsicherheit auszurichten. Das beginnt damit, vordringlich die Belange der Kunden zu berücksichtigen. Wir arbeiten konsequent mit unseren Kunden in der Wirtschaft, unserem Technologieumfeld, Forschern und führenden Wissenschaftlern zusammen, um deren Probleme besser zu verstehen, damit wir nutzbringende Lösungen entwickeln und bereitstellen können, bei denen die Sicherheit tief verwurzelt ist.

Unsere transparente, zeitnahe Kommunikation und kontinuierliche Weiterentwicklung der Sicherheit sind Zeichen unserer Bemühungen für die IT-Sicherheit über das eigentliche Produkt hinaus. Dank unserem Bug-Bounty-Programm, unseren Sicherheitsstufe-Rot-Teams (Security Red) und unserer Beteiligung bei Common Vulnerability and Exposures (CVE) können wir proaktiv Bedrohungen für Intel® Plattformen erkennen und eindämmen und unseren Kunden rechtzeitige Hilfestellung bieten.

Intel® Sicherheitsmechanismen sind in unsere Halbleitertechnik eingebettet, um Geräte schon auf grundlegender Ebene besser schützen zu können. Doch die Systemhärtung ist ohne gemeinsames Engagement des Technologieumfelds nicht umfassend möglich. Deshalb ist Intel® Technik so konzipiert, dass sie sich in andere Lösungen für Endanwender integrieren lässt und Software-basierte Sicherheitsfunktionen führender Anbieter verstärkt.

Darüber hinaus bietet Intel eine für den Unternehmenseinsatz vorgesehene PC-Plattform an, mit der die Systemhärtung vereinfacht wird. Intel vPro® ist mit hardwarebasierten Sicherheitsfunktionen ausgestattet, um die Risiken durch Sicherheitsbedrohungen zu minimieren. Alle Windows-PCs basierend auf Intel vPro® verfügen über Intel® Hardware Shield und bietet damit ab Lieferung Schutz vor Angriffen unterhalb der Betriebssystemebene. Bei den neuesten Intel® Core™ Prozessoren werden diese Funktionen um Anwendungs- und Datenschutzfunktionen sowie fortschrittlichen Bedrohungsschutz erweitert, sodass ganzheitliche Endpunktsicherheitsfunktionen über Hardware, Firmware und Software hinweg bereitgestellt werden. Außerdem bieten die Prozessoren die für virtualisierte Workloads erforderlichen Hardware-Ressourcen und unterstützen die virtualisierungsbasierte Sicherheit (VBS) mit Funktionen, die zum Schutz des Computers während der Laufzeit und der Daten im Ruhezustand beitragen.

Aspekte der PC-Systemhärtung

Wenn Sie Ihre Strategie zur Härtung der IT-Sicherheit planen, sollten Sie einige wichtige Ziele der PC-Systemhärtung im Auge behalten.

  • Stellen Sie die Transparenz der Lieferkette von der Montage bis zur IT-Bereitstellung sicher. Intel® Hardware Shield hilft den IT-Verantwortlichen, unberechtigte, vor der Bereitstellung der Systeme vorgenommene Veränderungen der Hardware zu erkennen.
  • Ziel ist es, PCs zur Laufzeit zu schützen. Mit den unterhalb des Betriebssystems agierenden Funktionen des Intel® Hardware Shield kann ein sicheres Booten unterstützt werden, damit die Systeme beim Start in einen gesicherten Zustand gelangen.
  • Schützen Sie Ihr BIOS. Intel® Hardware Shield sperrt Speicherbereiche im BIOS, wenn Software ausgeführt wird. Dies trägt dazu bei, zu verhindern, dass eingeschleuste Malware das Betriebssystem beeinträchtigt.
  • Stellen Sie Sicherheitstransparenz von der Hardware bis zur Software sicher. Intel® Hardware Shield beinhaltet einen „Dynamic Root of Trust for Measurement“ (DRTM), der den wiederholten Start des Betriebssystems und virtualisierter Umgebungen in einer durch Intel Technik geschützten Umgebung für die Ausführung von Programmcode unterstützt, um Betriebssystemdaten bei Firmware-Attacken zu schützen. Dies ermöglicht die Erkennung der Firmware-Sicherheit seitens des Betriebssystems und die Aktivierung zusätzlicher Sicherheitsfunktionen des Betriebssystems.
  • Schützen Sie sich vor Angriffen durch Zugriff auf den physischen Speicher. Intel® Hardware Shield hilft ohne zusätzlich erforderliche Einrichtung, unberechtigte Zugriffe auf Daten zu verhindern, die im betreffenden Gerät gespeichert sind.
  • Verhindern Sie das Einschleusen von Malware in das Betriebssystem mithilfe branchenführender Hardware-Virtualisierung und fortgeschrittener Bedrohungserkennung. Intel® Hardware Shield bietet wesentliche Hardware-Ressourcen für die Sicherheit moderner Workloads und virtualisierter Clients, um das Betriebssystem vor den neuesten Cyberbedrohungen zu schützen.
  • Stellen Sie Möglichkeiten zur Fernverwaltung von Computern bereit. Dies ermöglicht es Ihnen, nach Bedarf Sicherheitspatches zu installieren und das Konfigurationsmanagement durchzuführen. Intel® Active-Management-Technologie, die es nur bei Intel vPro® Enterprise for Windows OS gibt, bietet eine Out-of-Band-Verbindung für die Fernverwaltung von PCs. Damit können Sie Geräte auch in einer sichereren Umgebung booten, um Fehlerbehebung und Reparatur durchzuführen. Intel® Endpoint Management Assistant (Intel® EMA) ermöglicht es der IT-Abteilung jetzt auch, Geräte dezentral und sicher über die Cloud zu verwalten, auch wenn sie jenseits der Unternehmens-Firewall liegen.

Erste Schritte: Checkliste für die Systemhärtung

Die folgende kurze Liste führt grundlegende Schritte auf, mit denen Sie die Systemhärtung beginnen können. Um eine umfassendere Checkliste aufzustellen, sollten Sie sich die Standards für die Systemhärtung von vertrauenswürdigen Stellen wie dem National Institute of Standards and Technology (NIST) ansehen.

  • Nehmen Sie ein Bestandsverzeichnis aller Ihrer IT-Systeme auf, einschließlich einzelner Computer, Server und Netzwerke. Dokumentieren Sie Ihre Hardware- und Softwareprodukte, einschließlich Betriebssystem- und Datenbankversionen.
  • Führen Sie ein Audit Ihrer Nutzer und ihres Zugangs zu allen Systemen und Anwendungen durch. Löschen Sie alle Konten und Zugriffsrechte, die nicht mehr erforderlich sind.
  • Überlegen Sie sich ein Konzept für die Härtung des Betriebssystems. Aktualisieren Sie Ihr PC-Betriebssystem auf Windows 11, um sicherzustellen, dass Sie die neuesten Sicherheitsupdates erhalten.
  • Automatisieren Sie Software-Updates, damit sie auf alle Geräte übertragen werden, ohne dass sich dies während Stoßzeiten auf Benutzer oder die IT-Abteilung auswirkt.
  • Schulen Sie die Benutzer bezüglich der Verwendung starker Passwörter und der Erkennung von Phishing-Methoden. Viele Angriffe sind auf gestohlene Zugangsdaten und Social Engineering zurückzuführen. Die entsprechende Unterrichtung der Benutzer ist die Grundlage jeder Strategie für die Systemhärtung.

Es ist wichtig zu beachten, dass die Systemhärtung keine einmalige Angelegenheit, sondern ein fortwährender Prozess ist. Wenn die Angriffe raffinierter werden, müssen Sie Ihre Strategie für die Hardware-Sicherheit ebenso weiterentwickeln. Durch die Entscheidung für Business-Laptops und Business-PCs unter Intel vPro® können Sie die PC-Härtung mit unseren neuesten hardwarebasierten Sicherheitstechnologien vereinfachen, die in Ihre Geräte integriert sind. Dies hilft Ihnen, einen starken Schutz für Ihre PCs sicherzustellen.

Mit den integrierten Sicherheitsfunktionen von Intel® Hardware Shield können Sie ganzheitliche Endpunktsicherheit über alle Ebenen des PC-Computing-Stacks hinweg ermöglichen.

Sicherheitsvorteile von Intel vPro®

Intel vPro® Enterprise for Windows OS bietet hardwaregestützte Sicherheitsfunktionen, die alle Computing-Stack-Ebenen schützen. Unternehmen profitieren von der Transparenz der Logistikkette und der Nachverfolgbarkeit von PC-Komponenten, fortgeschrittenen Speicherscans und hardwarebasiertem Support von Windows Sicherheitsdiensten. Darüber hinaus kann die IT-Abteilung schnell Software-Fehlerbehebungen für kritische Schwachstellen bei verwalteten PCs implementieren.

Produkt- und Leistungsinformationen

1

Alle Versionen der Intel vPro® Plattform erfordern einen qualifizierten Intel® Core™ Prozessor, ein unterstütztes Betriebssystem, Intel LAN- und/oder WLAN-Silizium, Firmware-Erweiterungen und andere Hardware und Software, die erforderlich sind, um die Verwaltbarkeit, die Sicherheitsfunktionen, die Systemleistung und die Stabilität bereitzustellen, die die Plattform definieren. Einzelheiten siehe intel.com/performance-vpro.

2

Die Leistung variiert je nach Verwendung, Konfiguration und anderen Faktoren. Ausführliche Informationen erhalten Sie unter www.Intel.com/PerformanceIndex. Kein Produkt und keine Komponente bieten absolute Sicherheit. Ihre Kosten und Ergebnisse können variieren. Für die Funktion bestimmter Technik von Intel kann entsprechend konfigurierte Hardware, Software oder die Aktivierung von Diensten erforderlich sein. Intel hat keinen Einfluss auf und keine Aufsicht über die Daten Dritter. Sie sollten andere Quellen heranziehen, um die Genauigkeit zu beurteilen. © Intel Corporation. Intel, das Intel Logo und andere Intel Markenbezeichnungen sind Marken der Intel Corporation oder ihrer Tochtergesellschaften. Andere Marken oder Produktnamen sind Eigentum der jeweiligen Inhaber.