Die Arbeitswelt nach Corona ist hybrid. Und sie birgt auch neue Herausforderungen für die IT-Sicherheit: Fast täglich lesen wir Meldungen über neue Bedrohungen durch Phishing, Ransomware und Schwachstellen in IT-Infrastrukturen. Windows 11 rückt IT-Sicherheit in den Mittelpunkt – über die gesamte Wertschöpfungskette mit Geräten bis zur Cloud. Dafür haben wir hardwarebasierte Schutzmechanismen eingebaut, setzen auf bewährte Verfahren zur Datenverschlüsselung und implementieren den besten Schutz vor Malware.
Was wir unter „Security by Design” verstehen
„Security by design“ hat bei Microsoft schon lange Priorität: Wir investieren jedes Jahr mehr als eine Milliarde US-Dollar in diesen Bereich und haben mehr als 3.500 engagierte Sicherheitsexpert*innen am Start. In 2019 haben wir Secure-Core-PCs angekündigt. Diese Geräte kombinieren Schutzmechanismen auf Hardware-, Software- und Betriebssystemebene, um einen Ende-zu-Ende-Schutz gegen aktuelle und künftige Bedrohungen zu bieten.
Nötig ist das: So hat unser Bericht „Security Signals“ aus dem März 2021 ergeben, dass bereits 83 Prozent der Unternehmen von einem Firmware-Angriff betroffen waren, aber nur 29 Prozent Ressourcen für den Schutz dieses kritischen Bereichs bereitstellen können.
Mit Windows 11 machen wir es unseren Kund*innen noch einfacher, sich vor solchen Angriffen zu schützen. Alle zertifizierten Windows-11-Devices werden mit einem TPM-2.0-Chip ausgeliefert, damit Kund*innen von der Sicherheit profitieren, die durch ein Hardware-Root-of-Trust unterstützt wird.
Windows 11 und das Trusted Platform Module (TPM)
Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine des PCs integriert ist oder separat in der CPU verbaut wird. Sein Zweck ist es, Verschlüsselungsschlüssel („Encryption Keys“), Anmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, so dass Angreifer und Malware nicht auf diese Daten zugreifen oder sie manipulieren können. Oder einfacher ausgedrückt: TPM 2.0 prüft beim Hochfahren des Rechners, ob ein berechtigter Zugriff vorliegt.
Die PCs der Zukunft brauchen diese Hardware-Unterstützung, um sich sowohl vor kriminellen Attacken durch Ransomware als auch vor Angriffen durch Nationalstaaten zu schützen. Mit der Version 2.0 des TPM und dem eingebauten Root-of-Trust heben wir den Standard für Hardwaresicherheit deutlich an. TPM 2.0 ist ein erfolgskritischer Baustein für den Schutz der Identitäten und Daten unserer Kund*innen über Windows Hello und BitLocker. Darüber hinaus helfen TPMs vielen Unternehmenskunden dabei, eine Zero-Trust-Strategie zu verwirklichen und damit ihre Geräte wirksam zu schützen.
Windows 11 bietet auch eine Out-of-the-Box-Unterstützung für die Azure-basierte Microsoft Azure Attestation (MAA). Sie ermöglicht es unseren Kund*innen, Zero-Trust-Richtlinien beim Zugriff auf sensible Ressourcen in der Cloud und On-Premises umzusetzen.
- Höheres Sicherheitsniveau gegen verschärfte Bedrohungen: Die verbesserte Sicherheit der nächsten Generation benötigt moderne CPUs mit integrierten und aktivierten Schutzmechanismen wie virtualisierungsbasierte Sicherheit (VBS), hypervisor-geschützte Code-Integrität (HVCI) und Secure Boot. All das unterstützt Windows 11 und bietet außerdem einen hardware-unterstützten Stack-Schutz für lizensierte Intel- und AMD-Hardware. Damit schützen wir unsere Kund*innen vor sogenannten Zero-Day-Exploits, also vor Angriffen, die erfolgen, bevor es überhaupt Patches dagegen gibt. Innovationen wie der Sicherheitsprozessor Microsoft Pluton in den Geräten unserer Hardware-Partner bilden das Herzstück einer robusten Zero-Trust-Strategie.
- Passwörter sind out, Windows Hello ist in. Windows Hello for Business unterstützt passwortlose Bereitstellungsmodelle, damit Geräte und Systeme innerhalb eines Unternehmensnetzwerks in wenigen Minuten einsatzbereit sind. Dies umfasst die Kontrolle der Authentifizierungsmethoden durch IT-Administrator*innen und sichert gleichzeitig die Kommunikation zwischen Cloud-Tools, um Unternehmensdaten und -identitäten besser zu schützen. Private Windows 11-Nutzer*innen werden ihre Geräte vom ersten Tag an passwortlos einsetzen können.
- Sicherheit und Produktivität gehören zusammen. All diese Komponenten laufen im Hintergrund, ohne Qualität und Leistung zu schmälern. Mit Windows 11 haben wir neue Anforderungen an die Hardwaresicherheit formuliert, um die Geräte unserer Kund*innen noch stärker und widerstandsfähiger gegen Angriffe zu machen. Wir wissen, dass dieser Ansatz funktioniert – PCs mit gesichertem Core sind doppelt so widerstandsfähig gegen Malware-Infektionen wie andere Geräte.
- Umfassende Sicherheit und Compliance. Über die standardmäßige Unterstützung von Microsoft Azure Attestation (MAA) erbringt Windows 11 einen Nachweis über Attestationen, der als Grundlage für Compliance-Richtlinien verwendet werden kann. Die MAA-gestützten Compliance-Richtlinien validieren sowohl die Identität als auch die Plattform und bilden so das Rückgrat für die Zero-Trust- und Conditional-Access-Workflows zur Absicherung von Unternehmensressourcen.
