Schutzsoftware für den Endpunkt

Es dürfte wohl kein Unternehmensnetzwerk geben, das nicht mindestens durch eine Firewall oder noch besser durch einen Unified-Threat-Management-Gateway an der Schnittstelle zwischen «innen» und «aussen» abgesichert ist. Damit ist es aber nicht getan: Auch die einzelnen Arbeitsstationen – egal ob Desktop, Laptop oder PDA beziehungsweise Smartphone – sollten über Schutzmechanismen gegen Viren- und Wurmbefall sowie versehentliche oder absichtliche Manipulationen durch die Benutzer verfügen. Denn Schädlinge können auch rein firmen­intern ihr Unwesen treiben, und der Mitarbeiter erweist sich in Studien immer wieder als eines der wesentlichsten Risiken für die Informationssicherheit.

Virenschutz, zentral verwaltet

Was der Privatanwender als «Virenschutzprogramm» bezeichnet, nennt sich im Geschäftsumfeld «Endpoint Protection». Unsere Markt­übersicht zeigt die softwarebasierten Endpoint-Protection-Lösungen der wichtigsten Anbieter. Mit wenigen Ausnahmen handelt es sich dabei um funktional erweiterte Varianten der gängigen Antivirensoftware mit den Hauptfunktionen Desktop-Firewall, Virenschutz, Spyware-Abwehr und allenfalls Spam-, Web-Content- und Instant-Messaging-Filter.

Die wichtige Ergänzung zu diesen Grundfunktionen ist bei allen vorgestellten Lösungen gegeben: Die auf den Endgeräten installierte Schutzsoftware lässt sich über eine Administrationskonsole zentral verwalten, über­wachen und mit Patches oder neuen Versionen auf den neusten Stand bringen. Die meisten Lösungen bieten dazu ein Webinterface, einige Hersteller ergänzen die browserbasierte Administration durch einen Windows-Client oder ein Snap-in für die in Windows integrierte Management-Konsole (MMC).

Die meisten Lösungen schützen ausschliesslich Desktops und Laptops. Dabei wird die Microsoft-Plattform ab Windows 200 durchgängig unterstützt, frühere Windows-Ver­sionen dagegen eher stiefmütterlich behandelt. Auch Linux, Solaris und andere Unix-Varianten sowie das Mac-Betriebssystem OS X werden nur von wenigen Produkten abgedeckt.

Einige Hersteller integrieren zudem Agenten für Fileserver oder Mailserver in ihre Endpoint-Protection-Suite, andere Anbieter führen Schutz­software für Server in separaten Produkten. Nur einzelne Lösungen berücksichtigen auch Mobilgeräte kleineren Kalibers: Checkpoint schützt PDAs unter Windows Mobile, Symbian und Palm OS; F-Secure kümmert sich um Geräte mit Windows Mobile und Symbian UIQ.

Weitergehende Funktionen

Nur ein Teil der mit dem Etikett Endpoint Protection vermarkteten Lösungen geht über den Funktionsumfang der klassischen Antivirensoftware hinaus. Check Point und McAfee ermöglichen zum Beispiel die Verschlüsselung der auf der Harddisk gesicherten Daten. Einige Anbieter sehen den Fernzugriff via VPN als Teil der Schutzmassnahmen am Endgerät und bieten in ihrer Suite entsprechende Funktionen. VPN ist jedoch in den meisten Umgebungen bereits in der Firewall an der Schnittstelle zum Internet enthalten und dürfte auf der Endpoint-Ebene eher überflüssig sein. Zwei andere Funktionen scheinen uns wichtiger:

Anwendungskontrolle: Bei rund zwei Drittel der präsentierten Lösungen lässt sich festlegen, welche Anwendungen der Benutzer auf seinem Endgerät überhaupt betreiben darf und welche nicht. Besonders in kleineren Umgebungen lässt sich damit eine stringente Kontrolle der IT-Nutzung umsetzen, für die sonst wesentlich umfassendere Netzwerk­sicherheits-Suiten nötig wären.

Port Management: Über USB-Sticks und andere Wechselmedien gerät erfahrungs­gemäss immer wieder und immer öfter Schadcode ins Unternehmensnetzwerk. In umgekehrter Richtung verlassen sensitive Informa­tionen auf diesem Weg nur allzu rasch die sichere Firmenumgebung. Manche Endpoint-Security-Lösungen ermöglichen deshalb, USB-Ports für die Verwendung mit Speichermedien zu sperren oder den Datentransfer von und zu Wechselmedien nur selektiv und gezielt zu erlauben.