ITespresso.de: Endpoint Security klingt nach angeschlossenen Geräten, die überwacht werden, wie dies einige andere Anbieter tun. Finden Sie alle Systeme, die Nutzer von zuhause in die Firma mitnehmen? Und wie forcieren Sie, dass die Sicherheitsregeln des Kunden darauf angewendet werden?

Peter Häufel: Unsere Endpoint Security erkennt 10-30 Prozent mehr Devices, die vom Kunden bisher nicht entdeckt wurden – nicht nur die physikalischen. In virtuellen Umgebungen richten viele Schädlinge oft selbst virtuelle Geräte ein – da ist klar, dass der Kunde nicht weiß, dass diese Geräte überhaupt existieren.

Die Zentrale erkennt die Systeme, klassifiziert sie und überträgt ihre Security-Regeln, egal ob virtuell, mobil oder anderweitig. Das System auf Basis der BigFix-Technik arbeitet mit Agenten, die dann selbständig auf den Systemen nach Problemen suchen, sie melden und die nötigen Regeln und Patches abholen. Letztendlich ist der Tivoli Endpoint Manager eine umfassende Lösung, die alle Client-Anforderungen angefangen von Inventory-, Patch- & Security-Management bis hin zu Antivirus erfüllen kann.

Itespresso.de: Das klingt nach einem Alles-Inklusive-System. Was tut es noch so alles?

Peter Häufel: Im Grunde wird nun das Gesamtpaket inklusive vieler Bestandteile wie auch Lizenz-Überprüfung über die eine Lösung gemanagt. Die für das Endpoint Management von BigFix übernommene Software arbeitet mit einem zentralen Admin-Tool, doch der Administrator muss sich nur noch um Weniges kümmern: Clients auf den angeschlossenen Systemen prüfen selbständig alles und führen die notwendigen Aktionen durch – dabei werden nur die Änderungen an die ZentaleZentrale kommuniziert.

ITespresso.de: Der Agent kümmert sich also wirklich um alles? Wie er das tut, muss doch jemand vorgeben!

Peter Häufel: Genau. So ist etwa das Patch-Management integriert. Egal, welches Endgerät, der Agent im System erkennt selbständig, was gepatcht werden muss. Der Administrator muss eine zentrale Policy definieren, entsprechend verhalten sich die Clients und holen dann automatisch alles, was nötig ist. Der Client kann gleichzeitig noch viel mehr überwachen und kümmert sich auch um das Powermanagement und andere Aufgaben.

Für Patches, Lizenzen und andere Aufgaben kann der Admin Regeln in einer einfachen Sprache definieren, so dass Patches für bestimmte Produkte nicht erzwungen werden, wenn das Programm auf diesem Gerät gar nicht existiert. So gibt es Befehlsabfragen wie »if adobe exists«.

ITespresso.de: Können solche Policy-Regeln nicht auch von extern eingeschmuggelt werden, um das Netzwerk zu kompromittieren?

Peter Häufel: Damit niemand falsche Security-Policies in Abteilungen oder ganze Unternehmen einführt, müssen diese jeweils signiert werden. Das kann nicht jeder und diese Signaturen müssten ebenfalls gehackt werden. Das unterbindet die Software natürlich.