Was bedeutet Systemhärtung?

Die Systemhärtung von Computern ist ein entscheidender Bestandteil der Strategie zur Verringerung von Sicherheitsschwachstellen.

Grundlagen der Systemhärtung:

  • Die Systemhärtung beinhaltet die Behebung von Sicherheitsschwachstellen – sowohl bei der Software als auch bei der Hardware.

  • Das Härten von Computern sollte Maßnahmen zum Schutz vor Angriffen mit Schadcode, vor Angriffen durch unberechtigten physischen Zugang und vor Seitenkanal-Angriffen umfassen.

  • Mit dem Intel® Hardware Shield stellt die Intel vPro® Plattform sofort wirksame Schutzmechanismen unterhalb der Betriebssystemebene sowie Schutzfunktionen für Anwendungen und Daten und fortgeschrittene Funktionen für die Erkennung von Bedrohungen bereit. Die Intel vPro® Plattform ist dafür ausgelegt, mit minimalem Aufwand für die Einrichtung einen Computer-Rundumschutz zu ermöglichen.

BUILT IN - ARTICLE INTRO SECOND COMPONENT

Mit der Systemhärtung ergreifen IT-Administratoren Maßnahmen zur Identifizierung und Beseitigung von Sicherheitsschwachstellen in ihrer gesamten IT-Umgebung. Durch die Verringerung der möglichen Angriffsfläche bleiben Hackern weniger Möglichkeiten für den Zugriff auf die Systeme. Ein wichtiger Bestandteil dieser Strategie ist die Systemhärtung von Computern.

Für jeden Angriff auf Ihre IT-Infrastruktur muss ein potenzieller Hacker einen Weg finden, sich Zugang zu verschaffen. Hacker können versuchen, Schadcode in das Betriebssystem einzuschleusen, indem sie einen Benutzer dazu verleiten, ihnen Zugang zu gewähren. Oder sie können auf die Hardware, Firmware oder Software abzielen. Wenn sie erfolgreich sind, können Angreifer schädliche Elemente einschleusen, um ein System zu kapern. In Fällen, in denen das Einschleusen von Schadprogrammen schwierig ist, können ausgefuchste Angreifer im Speicher verbliebene Daten vertrauenswürdiger Anwendungen nutzen, um damit Gadgets zu erstellen, die moderne Sicherheitstechniken untergraben. Wenn andere Versuche scheitern, können Angreifer auch einfach einen Laptop oder ein anderes Gerät stehlen und sich in aller Ruhe Zugang verschaffen. Sie können versuchen, Schwachstellen in den Gerätetreibern auf physische Weise zu nutzen, um traditionelle Sicherheitsvorkehrungen des Betriebssystems zu umgehen, beispielsweise durch eine Kernel-DMA-Attacke. Wie auch immer sie Ihr System schädigen – wenn Hacker einmal Zugang erlangt haben, können sie Benutzer ausspionieren, Daten stehlen, berechtigten Zugriff verhindern oder Rechner unbrauchbar machen.

Systemhärtung bedeutet, alles Mögliche zu unternehmen, um Sicherheitslücken aufzuspüren und zu schließen, sei es in der Hardware, der Firmware, der Software, in Anwendungen, bei Passwörtern oder in Prozessen.

Vorteile der Systemhärtung

Das Hauptziel der Systemhärtung ist die Verbesserung der gesamten IT-Sicherheit. Damit sinkt das Risiko von Datenpannen, unberechtigtem Zugriff und der Einschleusung von Malware. Dadurch, dass Sie erfolgreiche Angriffe vermeiden, können Sie auch die mit einer Behebung entsprechender Schäden verbundenen Ausfallzeiten vermeiden. Eine Systemhärtung kann auch dazu beitragen, die Einhaltung von internen oder externen Vorschriften zu vereinfachen.

Arten der Systemhärtung

Die Systemhärtung sollte auf jeder Ebene Ihrer IT-Infrastruktur erfolgen. Dies schließt alles von den Servern über die Netzwerke bis zu den Endpunkten ein. Die IT-Systemadministratoren konzentrieren sich üblicherweise auf die Härtung von Serversystemen im Rechenzentrum, doch der Schutz von Clientsystemen ist ebenso wichtig. Mögliche Schwachstellen in der Endpunktsicherheit zu verringern, untermauert eine vorhandene Zero-Trust-Strategie für die Unternehmenssicherheit.

Sie wissen bereits, dass PCs allgemein eine große Angriffsfläche bieten. Vielen IT-Administratoren ist jedoch nicht bewusst, dass Antimalware nicht mehr ausreicht, um die Computer zu schützen. Angriffe auf Hardware und Firmware waren schon immer möglich, sind jedoch recht schwierig durchzuführen. Mit den betreffenden Kits und Tools im Internet stehen Hackern nunmehr hochentwickelte Mittel zur Verfügung, um auch tiefergehende Angriffe auf Computer unterhalb des Betriebssystems auszuführen.

Computersysteme zu härten, zielt darauf ab, alle möglichen Angriffsvektoren zu blockieren und die Systeme regelmäßig upzudaten, um die missbräuchliche Nutzung zu verhindern. Angriffe können auf folgende Weise erfolgen:

  • Angriffe durch Einschleusen schädlicher Hardware, die Lücken im Versorgungsnetz ausnutzen (Angriffe auf Lieferketten, Supply-Chain-Attacken)
  • Social-Engineering-Angriffe, bei denen Benutzer mit dem Ziel manipuliert werden, vertrauliche Zugangsdaten preiszugeben.
  • Angriffe mit Schadcode, die Schwachstellen in der Software und der Firmware ausnutzen.
  • Angriffe auf Basis von rechtmäßigem Code, wobei im Arbeitsspeicher verbliebene Daten genutzt werden, um das System zu beeinträchtigen.
  • Angriffe mit physischen Zugriffsmethoden, die Schwachstellen in der Hardware ausnutzen.
  • Seitenkanal-Angriffe.

Sicherheit an erster Stelle

Bei Intel bedeutet Sicherheit nicht nur die Produktsicherheit. Es geht in ständigem Bemühen vielmehr darum, dafür zu sorgen, dass die Benutzer mit Plattformen, die auf Intel® Technik basieren, am besten und sichersten arbeiten können.

Intels Versprechen, Sicherheit in den Mittelpunkt zu stellen, steht für das Engagement des Unternehmens, die Entwicklung auf die Produktsicherheit auszurichten. Das beginnt damit, vordringlich die Belange der Kunden zu berücksichtigen. Wir arbeiten konsequent mit unseren Kunden in der Wirtschaft, unserem Technologieumfeld, Forschern und führenden Wissenschaftlern zusammen, um deren Probleme besser zu verstehen, damit wir nutzbringende Lösungen entwickeln und bereitstellen können, bei denen die Sicherheit tief verwurzelt ist.

Unsere transparente, zeitnahe Kommunikation und kontinuierliche Weiterentwicklung der Sicherheit sind Zeichen unserer Bemühungen für die IT-Sicherheit über das eigentliche Produkt hinaus. Dank unserem Bug-Bounty-Programm, unseren Sicherheitsstufe-Rot-Teams (Security Red) und unserer Beteiligung bei Common Vulnerability and Exposures (CVE) können wir proaktiv Bedrohungen für Intel® Plattformen erkennen und eindämmen und unseren Kunden rechtzeitige Hilfestellung bieten.

Intel® Sicherheitsmechanismen sind in unsere Halbleitertechnik eingebettet, um Geräte schon auf grundlegender Ebene besser schützen zu können. Doch die Systemhärtung ist ohne gemeinsames Engagement des Technologieumfelds nicht umfassend möglich. Deshalb ist Intel® Technik so konzipiert, dass sie sich in andere Lösungen für Endanwender integrieren lässt und Software-basierte Sicherheitsfunktionen führender Anbieter verstärkt.

Darüber hinaus bietet Intel eine für den Unternehmenseinsatz vorgesehene PC-Plattform an, mit der die Systemhärtung vereinfacht wird. Die Intel vPro® Plattform baut auf hardwarebasierte Sicherheitsmechanismen auf, die Risiken bezüglich Sicherheitsbedrohungen minimieren helfen. Als Teil davon steht mit dem Intel® Hardware Shield ein unmittelbar wirksamer Schutz vor Angriffen unterhalb des Betriebssystems zur Verfügung. Bei den neuesten Intel® Core™ vPro® Prozessoren werden diese Funktionsmerkmale ergänzt durch Schutzfunktionen für Anwendungen und Daten sowie fortgeschrittene Funktionen für die Abwehr von Bedrohungen, um ganzheitliche Endpunktsicherheit für die Hardware, Firmware und Software zu ermöglichen. Außerdem bieten die Prozessoren die für virtualisierte Workloads erforderlichen Hardware-Ressourcen und unterstützen die virtualisierungsbasierte Sicherheit (VBS) mit Funktionen, die zum Schutz des Computers während der Laufzeit und der Daten im Ruhezustand beitragen.

Aspekte der PC-Systemhärtung

Wenn Sie Ihre Strategie zur Härtung der IT-Sicherheit planen, sollten Sie einige wichtige Ziele der PC-Systemhärtung im Auge behalten.

  • Stellen Sie die Transparenz der Lieferkette von der Montage bis zur IT-Bereitstellung sicher. Intel® Hardware Shield hilft den IT-Verantwortlichen, unberechtigte, vor der Bereitstellung der Systeme vorgenommene Veränderungen der Hardware zu erkennen.
  • Sorgen Sie dafür, dass die Computer während der Laufzeit geschützt werden. Mit den unterhalb des Betriebssystems agierenden Funktionen des Intel® Hardware Shield kann ein sicheres Booten unterstützt werden, damit die Systeme beim Start in einen gesicherten Zustand gelangen.
  • Schützen Sie das BIOS. Intel® Hardware Shield sperrt Speicherbereiche im BIOS, wenn Software ausgeführt wird. Dies trägt dazu bei, zu verhindern, dass eingeschleuste Malware das Betriebssystem beeinträchtigt.
  • Sorgen Sie für transparente Sicherheitsvorkehrungen von Hardware zu Software. Intel® Hardware Shield beinhaltet einen „Dynamic Root of Trust for Measurement“ (DRTM), der den wiederholten Start des Betriebssystems und virtualisierter Umgebungen in einer durch Intel Technik geschützten Umgebung für die Ausführung von Programmcode unterstützt, um Betriebssystemdaten bei Firmware-Attacken zu schützen. Dies ermöglicht die Erkennung der Firmware-Sicherheit seitens des Betriebssystems und die Aktivierung zusätzlicher Sicherheitsfunktionen des Betriebssystems.
  • Schützen Sie das System vor Angriffen auf den physischen Speicher. Intel® Hardware Shield hilft ohne zusätzlich erforderliche Einrichtung, unberechtigte Zugriffe auf Daten zu verhindern, die im betreffenden Gerät gespeichert sind.
  • Verhindern Sie das Einschleusen von Malware in das Betriebssystem mit branchenführenden Funktionen für die Hardwarevirtualisierung und fortgeschrittene Erkennung von Bedrohungen. Intel® Hardware Shield bietet wesentliche Hardware-Ressourcen für die Sicherheit moderner Workloads und virtualisierter Clients, um das Betriebssystem vor den neuesten Cyberbedrohungen zu schützen.
  • Stellen Sie Möglichkeiten zur Fernverwaltung von Computern bereit. Dies ermöglicht es Ihnen, nach Bedarf Sicherheitspatches zu installieren und das Konfigurationsmanagement durchzuführen. Als Teil der Intel vPro® Plattform bietet die Intel® Active-Management-Technik einen Out-of-Band-Zugang (Netzwerkzugang außerhalb des Betriebssystems) für die Fernverwaltung des Computers. Diese Technik kann auch genutzt werden, um Geräte für die Problemuntersuchung und -behebung in eine sichere Umgebung zu booten. Und jetzt können IT-Verantwortliche Geräte innerhalb und außerhalb der Firewall mit dem Intel® Endpoint-Management-Assistenten (Intel® EMA) über die Cloud sicher fernverwalten.

Erste Schritte: Checkliste für die Systemhärtung

Die folgende kurze Liste führt grundlegende Schritte auf, mit denen Sie die Systemhärtung beginnen können. Um eine umfassendere Checkliste aufzustellen, sollten Sie sich die Standards für die Systemhärtung von vertrauenswürdigen Stellen wie dem National Institute of Standards and Technology (NIST) ansehen.

  • Nehmen Sie ein Bestandsverzeichnis aller Ihrer IT-Systeme auf, einschließlich einzelner Computer, Server und Netzwerke. Dokumentieren Sie Ihre Hardware- und Softwareprodukte, einschließlich Betriebssystem- und Datenbankversionen.
  • Führen Sie ein Audit Ihrer Nutzer und ihres Zugangs zu allen Systemen und Anwendungen durch. Löschen Sie alle Konten und Zugriffsrechte, die nicht mehr erforderlich sind.
  • Überlegen Sie sich ein Konzept für die Härtung des Betriebssystems. Führen Sie bei den PCs ein Upgrade auf das Betriebssystem Windows* 10 durch, um sicherzustellen, dass Sie die neuesten Sicherheitsupdates erhalten.
  • Automatisieren Sie Software-Updates, damit weder die Benutzer noch der IT-Administrator daran denken müssen.
  • Schulen Sie die Benutzer bezüglich der Verwendung starker Passwörter und der Erkennung von Phishing-Methoden. Viele Angriffe sind auf gestohlene Zugangsdaten und Social Engineering zurückzuführen. Die entsprechende Unterrichtung der Benutzer ist die Grundlage jeder Strategie für die Systemhärtung.

Es ist wichtig zu beachten, dass die Systemhärtung keine einmalige Angelegenheit, sondern ein fortwährender Prozess ist. Wenn die Angriffe raffinierter werden, müssen Sie Ihre Strategie für die Hardware-Sicherheit ebenso weiterentwickeln. Durch die Auswahl von Firmen-Laptops und Firmen-PCs, die auf der Intel vPro® Plattform basieren, können Sie die Systemhärtung dank unseren neuesten, in die Geräte integrierten hardwarebasierten Sicherheitstechniken vereinfachen. Dies hilft Ihnen, einen starken Schutz für Ihre PCs sicherzustellen.

Mit den integrierten Sicherheitsfunktionen als Teil des Intel® Hardware Shield können Sie eine ganzheitliche Endpunktsicherheit für alle Ebenen der PC-Datenverarbeitungskonfiguration ermöglichen.

Sicherheitsvorteile der Intel vPro® Plattform

Die für Unternehmen entwickelte Intel vPro® Plattform bietet hardwareverstärkte Sicherheitsfunktionen, die alle Computing-Stack-Ebenen schützen. Unternehmen profitieren von der Transparenz der Logistikkette und der Nachverfolgbarkeit von PC-Komponenten, erweiterten Speicherscans und hardwarebasiertem Support von Windows* 10 Sicherheitsdiensten. Darüber hinaus kann die IT-Abteilung schnell Software-Fehlerbehebungen für kritische Schwachstellen bei verwalteten PCs implementieren.