Die Geräte vor Cyberbedrohungen zu schützen, erfordert ein Verständnis dafür, wo die tatsächlichen Risiken liegen. Die Angriffsvektoren haben sich verändert: Phishing bleibt dominant, aber Techniken für dateilose Angriffe und die Ausnutzung bereits vorhandener Tools auf den Maschinen erschweren die Erkennung. Der Vergleich der Schutzmaßnahmen hinsichtlich ihrer Wirksamkeit gegen jede Art von Bedrohung ermöglicht es, die Anstrengungen zu priorisieren, anstatt ohne Kohärenz mehrere Tools zu verwenden.
Vergleich der Wirksamkeit von Schutzmaßnahmen gegen gängige Bedrohungen
Nicht alle Sicherheitsmaßnahmen sind gleich wirksam gegen jede Angriffsart. Die folgende Tabelle verknüpft die wichtigsten Cyberbedrohungen, die 2024 identifiziert wurden, mit den Schutzmaßnahmen, die sie am direktesten neutralisieren.
Auch lesenswert : Wie Sie Ihre Verbindung zum ENT erleichtern: praktische Lösungen und technische Tipps
| Bedrohung | Wirksamste Maßnahme | Ergänzende Maßnahme | Hauptbeschränkung |
|---|---|---|---|
| Phishing / Social Engineering | Passkeys oder Mehrfaktor-Authentifizierung (MFA) | E-Mail-Filterung | Schützt nicht, wenn der Benutzer physischen Zugang gewährt |
| Ransomware | Regelmäßige Offline-Backups | Antivirus mit Verhaltensüberwachung | Backup ist nutzlos, wenn es zum Zeitpunkt des Angriffs mit dem Netzwerk verbunden ist |
| Dateilose Angriffe | Einschränkung von Systemtools (PowerShell, WMI) | Erweiterte Prozessprotokollierung | Ein klassisches signaturbasiertes Antivirus erkennt nichts |
| Ausnutzung bekannter Schwachstellen | Automatische Updates innerhalb von 48 Stunden | Netzwerksegmentierung | Verspätete Patches lassen ein Fenster der Exposition offen |
| Datenverlust auf Mobilgeräten | Unified Endpoint Management (MDM/UEM) | Native Verschlüsselung des Speichers | Ohne Trennung von beruflichen und persönlichen Daten bleiben die Daten exponiert |
Diese Tabelle hebt einen oft unterschätzten Punkt hervor: Ein Antivirus allein deckt nur einen Bruchteil der aktuellen Bedrohungen ab. Der Schutz basiert auf einem Stapel gezielter Maßnahmen, die jeweils auf einen bestimmten Angriffsvektor abgestimmt sind.
Um die verfügbaren Antiviruslösungen zu vergleichen und diejenige zu identifizieren, die zu Ihrer Konfiguration passt, Viruslab bietet detaillierte Analysen nach Bedrohungstyp und Betriebssystem an.
Ebenfalls empfehlenswert : Wie und wo Sie den NAN Cesu-Code für Ihre administrativen Verfahren finden können?
Dateilose Angriffe: Warum klassische Antivirenprogramme nicht mehr ausreichen
Dateilose Angriffe nutzen bereits auf der Maschine installierte Komponenten (PowerShell, WMI-Skripte, Office-Makros) anstelle von schädlichen ausführbaren Dateien. Keine verdächtigen Dateien erscheinen auf der Festplatte, was die signaturbasierte Erkennung nahezu unmöglich macht.
Diese Art der Eindringung stellt eine direkte Herausforderung für traditionelle Cybersicherheits-Suiten dar. Ein Antivirus, der nur heruntergeladene oder kopierte Dateien analysiert, übersieht den Angriff.
Einschränkung von Systemtools zur Reduzierung der Angriffsfläche
Die effektivste Maßnahme besteht darin, die Ausführung von PowerShell und Systemskripten auf die Konten von Administratoren zu beschränken, die sie benötigen. Unter Windows ermöglichen Gruppenrichtlinien (GPO), PowerShell für Standardbenutzer zu blockieren, ohne den normalen Betrieb der Maschine zu beeinträchtigen.
Die Aktivierung der erweiterten Prozessprotokollierung (Sysmon oder die nativen Windows-Protokolle) bietet Sichtbarkeit über die ausgeführten Befehle. Ein anormales Verhalten, wie ein von einem Word-Dokument gestarteter PowerShell-Prozess, löst dann einen verwertbaren Alarm aus.
- Die Ausführung von Makros in heruntergeladenen Office-Dateien standardmäßig deaktivieren, es sei denn, der Benutzer genehmigt dies ausdrücklich
- PowerShell im “Constrained Language”-Modus auf den Arbeitsplätzen konfigurieren, die keine erweiterten Skripte benötigen
- Die Protokollierung von PowerShell-Skriptblöcken aktivieren, um verdächtige Befehle nachträglich nachzuvollziehen
Diese Maßnahmen reduzieren die Angriffsfläche ohne zusätzliche Softwarekosten. Sie erfordern eine anfängliche Konfiguration und funktionieren dann nahtlos.
Passkeys und Mehrfaktor-Authentifizierung: Was sich für Phishing ändert
Phishing bleibt der wichtigste Eindringungsvektor, da es das menschliche Glied anspricht. Passwörter, selbst komplexe, bleiben anfällig, sobald ein Benutzer sie auf einer betrügerischen Seite eingibt.
Die Passkeys beseitigen dieses Risiko, indem sie das wiederverwendbare Geheimnis eliminieren. Anstatt ein Passwort zu übermitteln, generiert das Gerät ein Schlüsselpaar, das mit der legitimen Website verknüpft ist. Eine Phishing-Seite kann die Authentifizierung nicht abfangen, da der private Schlüssel das Terminal niemals verlässt.
Schrittweise Einführung von Passkeys im Jahr 2024
Die großen Ökosysteme (Apple, Google, Microsoft) haben die native Unterstützung von Passkeys in ihren Betriebssystemen integriert. Die am weitesten verbreiteten Passwortmanager unterstützen sie ebenfalls.
Im Gegensatz dazu bieten viele Online-Dienste diese Option noch nicht an. Die realistische Strategie besteht darin, die Passkeys überall dort zu aktivieren, wo es möglich ist, und die klassische Mehrfaktor-Authentifizierung (MFA) idealerweise über eine TOTP-Anwendung anstelle von SMS auf den anderen Konten aufrechtzuerhalten.
Die MFA über SMS bleibt anfällig für SIM-Swapping, eine Technik, bei der ein Angreifer ein Duplikat der SIM-Karte des Opfers erhält, um die Bestätigungscodes zu empfangen. Authentifizierungsanwendungen (TOTP) oder physische FIDO2-Schlüssel beseitigen dieses Risiko.
Schutz mobiler Geräte: MDM-Management und Trennung der Nutzung
Smartphones und Tablets enthalten sowohl berufliche als auch persönliche Daten, oft ohne Trennung. Die native Verschlüsselung des Speichers, die standardmäßig auf iOS und Android aktiviert ist, schützt die Daten im Falle eines physischen Diebstahls. Sie schützt jedoch nicht vor einer absichtlich installierten schädlichen Anwendung.
Das Unified Endpoint Management (MDM/UEM) ermöglicht es, Sicherheitsrichtlinien aus der Ferne durchzusetzen: erzwungene Updates, Whitelist von Anwendungen, Fernlöschung im Falle eines Verlusts. Für Fachleute verhindert die Trennung der Profile (beruflicher Container, der vom Rest des Telefons isoliert ist), dass eine kompromittierte persönliche Anwendung auf die Arbeitsdaten zugreift.
- Die vollständige Verschlüsselung des Speichers aktivieren (standardmäßig bei neueren Geräten überprüft, bei älteren Modellen zu überprüfen)
- Die Updates des Betriebssystems innerhalb von Tagen nach ihrer Veröffentlichung installieren, nicht innerhalb von Wochen
- Ein separates Arbeitsprofil (Android Enterprise oder Apple Business Manager) verwenden, um die beruflichen Daten zu isolieren
- Die Fernlöschung über die MDM-Lösung der Organisation oder über die nativen Funktionen (Mein iPhone suchen, Gerät finden) konfigurieren
Die Wirksamkeit dieser Maßnahmen hängt von ihrer systematischen Anwendung ab. Ein einziges nicht verwaltetes Gerät in einem Unternehmensnetzwerk reicht aus, um einen ausnutzbaren Einstiegspunkt zu schaffen.
Der Schutz von Geräten im Jahr 2024 basiert nicht mehr auf einem einzigen Tool, sondern auf der Kombination von Maßnahmen, die auf jeden Angriffsvektor abgestimmt sind. Passkeys reduzieren die Exposition gegenüber Phishing, die Einschränkung von Systemtools blockiert dateilose Angriffe, und das zentralisierte Management von Mobilgeräten schließt eine Lücke, die Antivirenprogramme nicht abdecken. Jede Schutzschicht kompensiert eine Einschränkung der vorherigen.