Endpunktsicherheit ist die erste wichtige Verteidigungslinie eines Netzes. Sie schützt Endbenutzer und Endpunktgeräte - Desktops, Laptops, mobile Geräte und Server  - vor Cyberangriffen. Endpunktsicherheit schützt das Netz auch vor Angreifern, die versuchen, Endpunktgeräte zu nutzen, um Cyberangriffe auf sensible Daten und andere Ressourcen im Netz vorzunehmen.

Endpunkte sind nach wie vor der primäre Einstiegspunkt für Cyberangriffe auf das Unternehmensnetz. Laut verschiedenen Studien werden bis zu 90 % der erfolgreichen Cyberangriffe und bis zu 70 % der erfolgreichen Datenschutzverletzungen von Endpunktgeräten aus verursacht. Gemäß dem IBM Security® Cost of a Data Breach Report 2021 kostet eine durchschnittliche Datenschutzverletzung den betroffenen Unternehmen 4,24 Millionen US-Dollar.

Unternehmen müssen heute mehr Endpunkte und mehr Arten von Endpunkten schützen als je zuvor. Bring-your-own-device (BYOD)-Richtlinien, vermehrte Remote-Arbeit und die steigende Anzahl von IoT-Geräten, Geräten mit Kundenkontakt sowie von mit dem Netz verbundenen Produkten vervielfachen die Endpunkte, die Hacker ausnutzen können, und die Schwachstellen, die Sicherheitsteams sichern müssen.

Die ursprüngliche Sicherheitssoftware für Endpunktgeräte ist die Antivirensoftware. Sie schützt Endpunktgeräte vor bekannten Formen von Malware - Trojaner, Würmer, Adware und mehr.

Traditionelle Antivirensoftware scannte Dateien auf einem Endpunktgerät auf Malware-Signaturen, also Bytes-Zeichenfolgen, die für bekannte Viren oder Malware charakteristisch sind.  Diese Software warnte den Benutzer oder den Administrator, wenn ein Virus gefunden wurde. Zusätzlich stellte sie Tools zur Verfügung, mit denen der Virus isoliert sowie entfernt und infizierte Dateien repariert werden konnten.

Die heutige Antivirensoftware, die oft als Antivirus der nächsten Generation (NGAV) bezeichnet wird, kann neuere Arten von Malware erkennen und bekämpfen. Dazu gehört auch Malware, die keine Signatur hinterlässt. So kann NGAV beispielsweise dateilose Malware erkennen. Dabei handelt es sich um Malware, die sich im Speicher befindet und bösartige Skripte in den Code legitimer Anwendungen einschleust. NGAV kann verdächtige Aktivitäten auch mit Hilfe von Heuristiken aufdecken, die verdächtige Verhaltensmuster mit denen bekannter Viren vergleichen. Zudem werden durch Integritätsscans Dateien auf Anzeichen einer Viren- oder Malwareinfektion untersucht.

Antivirensoftware allein kann für den Schutz einer Handvoll Endpunktgeräte ausreichen. Alles, was darüber hinausgeht, erfordert in der Regel eine Entpunktschutzplattform (EPP). Eine EPP kombiniert NGAV mit anderen Lösungen zur Endpunktsicherheit, darunter:

• Web-Kontrolle: Diese Software, die auch als Webfilter bezeichnet wird, schützt Benutzer und Ihr Unternehmen vor bösartigem Code, der auf Websites oder in Dateien versteckt sein kann, die Benutzer herunterladen. Die Web-Kontrollsoftware umfasst auch Whitelisting- und Blacklisting-Funktionen, mit denen ein Sicherheitsteam kontrollieren kann, welche Websites Benutzer besuchen können.
• Datenklassifizierung und Schutz vor Datenverlust: Diese Technologien dokumentieren, wo sensible Daten gespeichert sind, ob in der Cloud oder am Standort des Unternehmens. Sie verhindern den unbefugten Zugriff auf diese Daten oder deren Offenlegung.
• Integrierte Firewalls: Bei diesen Firewalls handelt es sich um Hardware oder Software, die die Sicherheit des Netzes erhöhen, indem sie den nicht autorisierten Datenverkehr in und aus dem Netz verhindern.
• E-Mail-Gateways: Bei diesen Gateways handelt es sich um Software, die eingehende E-Mails überprüft, um Phishing- und Social-Engineering-Angriffe abzuwehren.
• Anwendungssteuerung: Mit dieser Technologie können Sicherheitsteams die Installation und Verwendung von Anwendungen auf Geräten überwachen und kontrollieren. Außerdem können sie mit ihr die Verwendung und Ausführung von unsicheren oder nicht autorisierten Anwendungen blockieren.

Eine EPP integriert diese Endpunktlösungen in eine zentrale Verwaltungskonsole, über die Sicherheitsteams oder Systemadministratoren die Sicherheit aller Endpunkte überwachen und verwalten können. So kann eine EPP beispielsweise jedem Endpunkt die entsprechenden Sicherheitstools zuweisen, diese Tools bei Bedarf aktualisieren oder einfügen und die Sicherheitsrichtlinien des Unternehmens verwalten.

EPPs können sich lokal im Unternehmen befinden oder cloudbasiert sein. Das Branchenanalyst-Unternehmen Gartner (Link befindet sich außerhalb von ibm.com), das die EPP-Kategorie zuerst definierte, stellt fest, dass „wünschenswerte EPP-Lösungen in erster Linie in der Cloud verwaltet werden. Dies ermöglicht kontinuierliches Monitoring und die Erfassung von Aktivitätsdaten und bietet die Möglichkeit, über Fernzugriff Abhilfemaßnahmen zu ergreifen, unabhängig davon, ob sich der Endpunkt sich im Unternehmensnetz oder außerhalb des Unternehmens befindet".

EPPs konzentrieren sich auf die Abwehr bekannter Bedrohungen oder Bedrohungen, die sich auf bekannte Weise verhalten. Eine andere Klasse von Endpunktsicherheitslösungen, die so genannte Endpunkterkennung und -antwort (EDR), ermöglicht es Sicherheitsteams, auf Bedrohungen zu reagieren, die sich an präventiven Endpunktsicherheits-Tools vorbeischleichen. 

EDR-Lösungen überwachen kontinuierlich die Dateien und Anwendungen, die auf die einzelnen Geräte übertragen werden. Sie suchen nach verdächtigen oder bösartigen Aktivitäten, die auf Malware, Ransomware oder hochentwickelte Bedrohungen hinweisen. EDR sammelt außerdem kontinuierlich detaillierte Sicherheits- und Telemetriedaten und speichert sie in einem Data-Lake, wo sie für Echtzeitanalysen, Fehlerursachenforschung, Bedrohungssuche und mehr verwendet werden können.

EDR umfasst typischerweise erweiterte Analysen, Verhaltensanalysen, künstliche Intelligenz (KI) und maschinelles Lernen, Automatisierungsfunktionen, intelligente Alertausgaben sowie Untersuchungs- und Behebungsfunktionen, die es Sicherheitsteams ermöglichen:

• Beeinträchtigungsindikatoren (Indicators of Compromise, IOCs) und andere Endpunktsicherheitsdaten mit Bedrohungsdatenzuführungen zu korrelieren, um fortschrittliche Bedrohungen in Echtzeit zu erkennen
• Benachrichtigungen über verdächtige Aktivitäten oder tatsächliche Bedrohungen in Echtzeit zu erhalten, einschließlich kontextbezogener Daten, die helfen können, die Ursachen zu isolieren und die Untersuchung von Bedrohungen zu beschleunigen 
• Statische Analysen (Analyse von mutmaßlich bösartigem oder infiziertem Code) oder dynamischer Analysen (Ausführung von verdächtigem Code in Isolation) durchzuführen
• Schwellenwerte für das Verhalten von Endpunkten und Warnmeldungen bei Überschreitung dieser Schwellenwerte festzulegen
• Reaktionen wie z. B. das Trennen und Isolieren einzelner Geräte oder das Blockieren von Prozessen zu automatisieren, um den Schaden zu begrenzen, bis die Bedrohung beseitigt werden kann
• Festzustellen, ob andere Endpunktgeräte von demselben Cyberangriff betroffen sind.

Viele neuere oder fortschrittlichere EPPs enthalten einige EDR-Funktionen. Für einen vollständigen Endpunktschutz, der Prävention und Reaktion umfasst, sollten die meisten Unternehmen jedoch beide Technologien einsetzen.

Erweiterte Erkennung und Antwort (Extended Detection and Response, XDR) erweitert das EDR-Modell zur Erkennung und Antwort auf Bedrohungen auf alle Bereiche oder Schichten der Infrastruktur und schützt nicht nur Endpunktgeräte, sondern auch Anwendungen, Datenbanken und Speicher, Netzwerke und Cloud-Workloads. XDR ist ein Software-as-a-Service (SaaS)-Angebot und schützt lokale sowie Cloud-Ressourcen. Einige XDR-Plattformen integrieren Sicherheitsprodukte eines einzigen Anbieters oder Cloud-Dienstleisters. Die besten Plattformen ermöglichen es Unternehmen jedoch zusätzlich, die von ihnen bevorzugten Sicherheitslösungen hinzuzufügen und zu integrieren.