Was bedeutet Systemhärtung?

Die Systemhärtung von Computern ist ein entscheidender Bestandteil der Strategie zur Verringerung von Sicherheitsschwachstellen.1 2

Grundlagen der Systemhärtung:

  • Die Systemhärtung beinhaltet die Behebung von Sicherheitsschwachstellen – sowohl bei der Software als auch bei der Hardware.

  • Das Härten von Computern sollte Maßnahmen zum Schutz vor Angriffen mit Schadcode, vor Angriffen durch unberechtigten physischen Zugang und vor Seitenkanal-Angriffen umfassen.

  • Alle Windows-PCs, die auf Intel vPro® basieren, enthalten Intel vPro® Security, das für Sicherheit unterhalb des Betriebssystems sorgt, Schutz für Anwendungen und Daten bietet sowie erweiterte Bedrohungen abwehrt.

author-image

Von

Mit der Systemhärtung ergreifen IT-Administratoren Maßnahmen zur Identifizierung und Beseitigung von Sicherheitsschwachstellen in ihrer gesamten IT-Umgebung. Durch die Verringerung der möglichen Angriffsfläche bleiben Hackern weniger Möglichkeiten für den Zugriff auf die Systeme. Ein wichtiger Bestandteil dieser Strategie ist die Systemhärtung von Computern.

Bei jedem Angriff auf Ihre IT-Infrastruktur müssen potenzielle Hacker einen Weg finden, um einzudringen. Dazu können sie versuchen, schädlichen Code in das Betriebssystem zu injizieren, indem sie Benutzer dazu verleiten, ihnen Zugriff zu gewähren. Oder sie können auf die Hardware, Firmware oder Software abzielen. Wenn sie erfolgreich sind, können Angreifer schädliche Elemente einschleusen, um ein System zu kapern. In Fällen, in denen das Einschleusen von Schadprogrammen schwierig ist, können ausgefuchste Angreifer im Speicher verbliebene Daten vertrauenswürdiger Anwendungen nutzen, um damit Gadgets zu erstellen, die moderne Sicherheitstechniken untergraben. Wenn andere Versuche scheitern, können Angreifer auch einfach einen Laptop oder ein anderes Gerät stehlen und sich in aller Ruhe Zugang verschaffen. Sie können versuchen, Schwachstellen in den Gerätetreibern auf physische Weise zu nutzen, um traditionelle Sicherheitsvorkehrungen des Betriebssystems zu umgehen, beispielsweise durch eine Kernel-DMA-Attacke. Wie auch immer sie Ihr System schädigen – wenn Hacker einmal Zugang erlangt haben, können sie Benutzer ausspionieren, Daten stehlen, berechtigten Zugriff verhindern oder Rechner unbrauchbar machen.

Systemhärtung bedeutet, alles Mögliche zu unternehmen, um Sicherheitslücken aufzuspüren und zu schließen, sei es in der Hardware, der Firmware, der Software, in Anwendungen, bei Passwörtern oder in Prozessen.

Vorteile der Systemhärtung

Das Hauptziel der Systemhärtung ist die Verbesserung der gesamten IT-Sicherheit. Damit sinkt das Risiko von Datenpannen, unberechtigtem Zugriff und der Einschleusung von Malware. Dadurch, dass Sie erfolgreiche Angriffe vermeiden, können Sie auch die mit einer Behebung entsprechender Schäden verbundenen Ausfallzeiten vermeiden. Eine Systemhärtung kann auch dazu beitragen, die Einhaltung von internen oder externen Vorschriften zu vereinfachen.

Arten der Systemhärtung

Die Systemhärtung sollte auf jeder Ebene Ihrer IT-Infrastruktur erfolgen. Dies schließt alles von den Servern über die Netzwerke bis zu den Endpunkten ein. Die IT-Systemadministratoren konzentrieren sich üblicherweise auf die Härtung von Serversystemen im Rechenzentrum, doch der Schutz von Clientsystemen ist ebenso wichtig. Mögliche Schwachstellen in der Endpunktsicherheit zu verringern, untermauert eine vorhandene Zero-Trust-Strategie für die Unternehmenssicherheit.

Sie wissen bereits, dass PCs allgemein eine große Angriffsfläche bieten. Vielen IT-Administratoren ist jedoch nicht bewusst, dass Antimalware nicht mehr ausreicht, um die Computer zu schützen. Angriffe auf Hardware und Firmware waren schon immer möglich, doch waren sie stets schwierig durchzuführen. Dank der Verfügbarkeit von Kits und Tools im Internet sind Hacker allerdings viel raffinierter geworden und können PCs unterhalb der Betriebssystemebene angreifen.

Computersysteme zu härten, zielt darauf ab, alle möglichen Angriffsvektoren zu blockieren und die Systeme regelmäßig upzudaten, um die missbräuchliche Nutzung zu verhindern. Angriffe können auf folgende Weise erfolgen:

  • Angriffe durch Einschleusen schädlicher Hardware, die Lücken im Versorgungsnetz ausnutzen (Angriffe auf Lieferketten, Supply-Chain-Attacken).
  • Social-Engineering-Angriffe, bei denen Benutzer mit dem Ziel manipuliert werden, vertrauliche Zugangsdaten preiszugeben.
  • Angriffe mit Schadcode, die Schwachstellen in der Software und der Firmware ausnutzen.
  • Angriffe auf Basis von rechtmäßigem Code, wobei im Arbeitsspeicher verbliebene Daten genutzt werden, um das System zu beeinträchtigen.
  • Angriffe mit physischen Zugriffsmethoden, die Schwachstellen in der Hardware ausnutzen.
  • Seitenkanal-Angriffe.

Sicherheit an erster Stelle

Bei Intel bedeutet Sicherheit nicht nur die Produktsicherheit. Es geht in ständigem Bemühen vielmehr darum, dafür zu sorgen, dass die Benutzer mit Plattformen, die auf Intel® Technik basieren, am besten und sichersten arbeiten können.

Intels Versprechen, Sicherheit in den Mittelpunkt zu stellen, steht für das Engagement des Unternehmens, die Entwicklung auf die Produktsicherheit auszurichten. Das beginnt damit, vordringlich die Belange der Kunden zu berücksichtigen. Wir arbeiten konsequent mit unseren Kunden in der Wirtschaft, unserem Technologieumfeld, Forschern und führenden Wissenschaftlern zusammen, um deren Probleme besser zu verstehen, damit wir nutzbringende Lösungen entwickeln und bereitstellen können, bei denen die Sicherheit tief verwurzelt ist.

Unsere transparente, zeitnahe Kommunikation und kontinuierliche Weiterentwicklung der Sicherheit sind Zeichen unserer Bemühungen für die IT-Sicherheit über das eigentliche Produkt hinaus. Dank unserem Bug-Bounty-Programm, unseren Sicherheitsstufe-Rot-Teams (Security Red) und unserer Beteiligung bei Common Vulnerability and Exposures (CVE) können wir proaktiv Bedrohungen für Intel® Plattformen erkennen und eindämmen und unseren Kunden rechtzeitige Hilfestellung bieten.

Intel® Sicherheitsmechanismen sind in unsere Halbleitertechnik eingebettet, um Geräte schon auf grundlegender Ebene besser schützen zu können. Doch die Systemhärtung ist ohne gemeinsames Engagement des Technologieumfelds nicht umfassend möglich. Deshalb ist Intel® Technik so konzipiert, dass sie sich in andere Lösungen für Endanwender integrieren lässt und Software-basierte Sicherheitsfunktionen führender Anbieter verstärkt.

Darüber hinaus bietet Intel eine für den Unternehmenseinsatz vorgesehene PC-Plattform an, mit der die Systemhärtung vereinfacht wird. Intel vPro® ist mit hardwarebasierten Sicherheitsfunktionen ausgestattet, um die Risiken durch Sicherheitsbedrohungen zu minimieren. Alle Windows-PCs basierend auf Intel vPro® verfügen über Intel vPro® Security und bietet damit ab Lieferung Schutz vor Angriffen unterhalb der Betriebssystemebene. Bei den neuesten Intel® Core™ Prozessoren werden diese Funktionen um Anwendungs- und Datenschutzfunktionen sowie fortschrittlichen Bedrohungsschutz erweitert, sodass ganzheitliche Endpunktsicherheitsfunktionen über Hardware, Firmware und Software hinweg bereitgestellt werden. Außerdem bieten die Prozessoren die für virtualisierte Workloads erforderlichen Hardware-Ressourcen und unterstützen die virtualisierungsbasierte Sicherheit (VBS) mit Funktionen, die zum Schutz des Computers während der Laufzeit und der Daten im Ruhezustand beitragen.

Aspekte der PC-Systemhärtung

Wenn Sie Ihre Strategie zur Härtung der IT-Sicherheit planen, sollten Sie einige wichtige Ziele der PC-Systemhärtung im Auge behalten.

  • Stellen Sie die Transparenz der Lieferkette von der Montage bis zur IT-Bereitstellung sicher. Intel vPro® Security hilft IT-Teams dabei, unberechtigte, vor der Bereitstellung von Systemen vorgenommene Änderungen der Hardware zu erkennen.
  • Ziel ist es, PCs zur Laufzeit zu schützen. Mit den unterhalb des Betriebssystems agierenden Funktionen von Intel vPro® Security kann ein sicheres Booten unterstützt werden, damit Systeme beim Start in einen gesicherten Zustand gelangen.
  • Schützen Sie Ihr BIOS. Intel vPro® Security sperrt Speicherbereiche im BIOS, wenn Software ausgeführt wird. Dies trägt dazu bei, zu verhindern, dass eingeschleuste Malware das Betriebssystem beeinträchtigt.
  • Stellen Sie Sicherheitstransparenz von der Hardware bis zur Software sicher. Intel vPro® Security beinhaltet einen „Dynamic Root of Trust for Measurement“ (DRTM), der den wiederholten Start des Betriebssystems und virtualisierter Umgebungen in einer durch Intel Technik geschützten Umgebung für die Ausführung von Programmcode unterstützt, um Betriebssystemdaten bei Firmware-Attacken zu schützen. Dies ermöglicht die Erkennung der Firmware-Sicherheit seitens des Betriebssystems und die Aktivierung zusätzlicher Sicherheitsfunktionen des Betriebssystems.
  • Schützen Sie sich vor Angriffen durch Zugriff auf den physischen Speicher. Intel vPro® Security hilft ohne zusätzlich erforderliche Einrichtung, unberechtigte Zugriffe auf Daten, die im jeweiligen Gerät gespeichert sind, zu verhindern.
  • Verhindern Sie das Einschleusen von Malware in das Betriebssystem mithilfe branchenführender Hardware-Virtualisierung und fortgeschrittener Bedrohungserkennung. Intel vPro® Security bietet wesentliche Hardwareressourcen für Sicherheits-Workloads von modernen und virtualisierten Clients, um das Betriebssystem vor neuesten Cyberbedrohungen zu schützen.
  • Stellen Sie Möglichkeiten zur Fernverwaltung von Computern bereit. Dies ermöglicht es Ihnen, nach Bedarf Sicherheitspatches zu installieren und das Konfigurationsmanagement durchzuführen. Intel® Active-Management-Technologie, die es nur bei Intel vPro® Enterprise for Windows OS gibt, bietet eine Out-of-Band-Verbindung für die Fernverwaltung von PCs. Damit können Sie Geräte auch in einer sichereren Umgebung booten, um Fehlerbehebung und Reparatur durchzuführen. Intel® Endpoint Management Assistant (Intel® EMA) ermöglicht es der IT-Abteilung jetzt auch, Geräte dezentral und sicher über die Cloud zu verwalten, auch wenn sie jenseits der Unternehmens-Firewall liegen.

Erste Schritte: Checkliste für die Systemhärtung

Die folgende kurze Liste führt grundlegende Schritte auf, mit denen Sie die Systemhärtung beginnen können. Um eine umfassendere Checkliste aufzustellen, sollten Sie sich die Standards für die Systemhärtung von vertrauenswürdigen Stellen wie dem National Institute of Standards and Technology (NIST) ansehen.

  • Nehmen Sie ein Bestandsverzeichnis aller Ihrer IT-Systeme auf, einschließlich einzelner Computer, Server und Netzwerke. Dokumentieren Sie Ihre Hardware- und Softwareprodukte, einschließlich Betriebssystem- und Datenbankversionen.
  • Führen Sie ein Audit Ihrer Nutzer und ihres Zugangs zu allen Systemen und Anwendungen durch. Löschen Sie alle Konten und Zugriffsrechte, die nicht mehr erforderlich sind.
  • Überlegen Sie sich ein Konzept für die Härtung des Betriebssystems. Aktualisieren Sie Ihr PC-Betriebssystem auf Windows 11, um sicherzustellen, dass Sie die neuesten Sicherheitsupdates erhalten.
  • Automatisieren Sie Software-Updates, damit sie an alle Geräte übertragen werden, ohne dass sich dies während Stoßzeiten auf Benutzer oder die IT auswirkt.
  • Schulen Sie die Benutzer bezüglich der Verwendung starker Passwörter und der Erkennung von Phishing-Methoden. Viele Angriffe sind auf gestohlene Zugangsdaten und Social Engineering zurückzuführen. Die entsprechende Unterrichtung der Benutzer ist die Grundlage jeder Strategie für die Systemhärtung.

Es ist wichtig zu beachten, dass die Systemhärtung keine einmalige Angelegenheit, sondern ein fortwährender Prozess ist. Wenn die Angriffe raffinierter werden, müssen Sie Ihre Strategie für die Hardware-Sicherheit ebenso weiterentwickeln. Durch die Entscheidung für Business-Laptops und Business-PCs unter Intel vPro® können Sie die PC-Härtung mit unseren neuesten hardwarebasierten Sicherheitstechnologien vereinfachen, die in Ihre Geräte integriert sind. Dies hilft Ihnen, einen starken Schutz für Ihre PCs sicherzustellen.

Mit den integrierten Sicherheitsfunktionen von Intel vPro® Security können Sie über alle Ebenen des PC-Computing-Stacks hinweg für ganzheitliche Endgerätesicherheit sorgen.

Sicherheitsvorteile von Intel vPro®

Intel vPro® Enterprise for Windows OS bietet hardwaregestützte Sicherheitsfunktionen, die alle Computing-Stack-Ebenen schützen. Unternehmen profitieren von der Transparenz der Logistikkette und der Nachverfolgbarkeit von PC-Komponenten, fortgeschrittenen Speicherscans und hardwarebasiertem Support von Windows Sicherheitsdiensten. Darüber hinaus kann die IT-Abteilung schnell Software-Fehlerbehebungen für kritische Schwachstellen bei verwalteten PCs implementieren.

Entdecken Sie die Intel vPro® Plattform

Endpunktsicherheit

Endpunkte sind die Portale, die Hacker für den Zugriff auf Ihre kritischen Daten oder die Einbettung von schädlichem Code in Ihre Systeme verwenden. Und heute gibt es eine Vielzahl von Geräten, die die Sicherheit von Endgeräten gefährden können. Mit der bei allen auf Intel vPro® Technik basierenden Windows-PCs integrierten Intel vPro® Security können IT-Teams Richtlinien auf der Hardware-Ebene implementieren, um zu verhindern, dass eventuell injizierter bösartiger Programmcode auf Daten zugreifen kann.

Systemhärtung

Die IT-Abteilung nutzt oft Systemhärtung, um ihre Endpunktsicherheitsstrategie zu optimieren. Mit Intel vPro® Security wird dieser Prozess noch umfassender. Der Vorteil für Ihr Unternehmen ist ein konfigurierbarer Firmware-Schutz, eine BIOS-Sicherheit zur Reduzierung der Angriffsfläche und eine erweiterte Bedrohungserkennung.

Sicherheits-Patching und Bedrohungsbeseitigung

Intel® Active-Management-Technik (Intel® AMT) ermöglicht Fernzugriff und -verwaltung im gesamten Unternehmen. Ihr IT-Team kann diese Technik einsetzen, um rechtzeitiges Sicherheits-Patching und Bedrohungsabwehr durchzuführen. Sicherheits-Patching kann eine große Anzahl von Geräten unabhängig von ihrem Standort aktualisieren. Die Beseitigung von Bedrohungen wird durch die Implementierung von Gegenmaßnahmen angegangen, um die Anfälligkeit eines Endpunkts für einen bestimmten Angriff zu reduzieren.

Mehr anzeigen Weniger anzeigen

Produkt- und Leistungsangaben

1

Alle Versionen der Intel vPro® Plattform erfordern einen qualifizierten Intel® Core™ Prozessor, ein unterstütztes Betriebssystem, Intel LAN- und/oder WLAN-Chips, Firmware-Erweiterungen und andere Hardware und Software, die erforderlich sind, um die Verwaltbarkeit, die Sicherheitsfunktionen, die Systemleistung und die Stabilität bereitzustellen, die die Plattform definieren. Einzelheiten siehe intel.com/performance-vpro.

2

Die Leistung variiert je nach Verwendung, Konfiguration und anderen Faktoren. Ausführliche Informationen erhalten Sie unter www.Intel.com/PerformanceIndex. Kein Produkt und keine Komponente bieten absolute Sicherheit. Ihre Kosten und Ergebnisse können variieren. Für die Funktion bestimmter Technik von Intel kann entsprechend konfigurierte Hardware, Software oder die Aktivierung von Diensten erforderlich sein. Intel hat keinen Einfluss auf und keine Aufsicht über die Daten Dritter. Sie sollten andere Quellen heranziehen, um die Genauigkeit zu beurteilen. © Intel Corporation. Intel, das Intel Logo und andere Intel Markenbezeichnungen sind Marken der Intel Corporation oder ihrer Tochtergesellschaften. Andere Marken oder Produktnamen sind Eigentum der jeweiligen Inhaber.