Die hybride Arbeitswelt birgt neue Herausforderungen für die IT-Sicherheit: Fast täglich lesen wir Meldungen über neue Bedrohungen durch Phishing, Ransomware und Schwachstellen in IT-Infrastrukturen. Windows 11 rückt IT-Sicherheit in den Mittelpunkt – über die gesamte Wertschöpfungskette mit Geräten bis zur Cloud. Dafür haben wir hardwarebasierte Schutzmechanismen eingebaut, setzen auf bewährte Verfahren zur Datenverschlüsselung und implementieren den besten Schutz vor Malware.
Was wir unter „Security by Design” verstehen
„Security by Design“ hat bei Microsoft schon lange Priorität: Wir investieren jedes Jahr mehr als eine Milliarde US-Dollar in diesen Bereich und haben mehr als 3.500 engagierte Sicherheitsexpert*innen am Start. In 2019 haben wir Secured-Core-PCs angekündigt. Diese Geräte kombinieren Schutzmechanismen auf Hardware-, Software- und Betriebssystemebene, um einen Ende-zu-Ende-Schutz gegen aktuelle und künftige Bedrohungen zu bieten. Bei Secured-Core-PCs sind hardwaregestützte Sicherheitsfunktionen standardmäßig („by default“) aktiviert.
Windows 11 und das Trusted Platform Module (TPM)
Alle zertifizierten Windows-11-Devices werden mit einem TPM-2.0-Chip ausgeliefert. Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine des PCs integriert ist oder separat in der CPU verbaut wird. Sein Zweck ist es, Verschlüsselungsschlüssel („Encryption Keys“), Anmeldeinformationen und andere sensible Daten zu schützen, so dass Angreifer und Malware nicht auf diese Daten zugreifen oder sie manipulieren können. Oder einfacher ausgedrückt: TPM 2.0 prüft beim Hochfahren des Rechners, ob ein berechtigter Zugriff vorliegt. Mit der Version 2.0 des TPM heben wir den Standard für Hardwaresicherheit deutlich an.
Höheres Sicherheitsniveau gegen verschärfte Bedrohungen
Die verbesserte Sicherheit der nächsten Generation von Windows benötigt moderne CPUs mit integrierten und aktivierten Schutzmechanismen wie virtualisierungsbasierte Sicherheit (VBS), hypervisor-geschützte Code-Integrität (HVCI) und Secure Boot. All das unterstützt Windows 11 und bietet außerdem einen hardware-unterstützten Stack-Schutz für lizensierte Intel- und AMD-Hardware. Damit schützen wir unsere Kund*innen vor sogenannten Zero-Day-Exploits, also vor Angriffen, die erfolgen, bevor es überhaupt Patches dagegen gibt. Innovationen wie der Sicherheitsprozessor Microsoft Pluton in den Geräten unserer Hardware-Partner bilden das Herzstück einer robusten Zero-Trust-Strategie.
Anwendungssicherheit und Datenschutzkontrollen
Damit persönliche und geschäftliche Informationen vertraulich bleiben, schützt Windows 11 sie über mehrere Ebenen von Anwendungssicherheit. Anwendungsisolierung und -kontrollen, Codeintegrität, Datenschutzkontrollen und das Prinzip der geringsten Privilegien („Principle of Least Privilege“) ermöglichen es Entwickler*innen, Sicherheit und Datenschutz von Anfang an zu integrieren. Das schützt vor Sicherheitsverletzungen und Malware, sichert vertrauliche Daten und bietet IT-Administrator*innen die erforderlichen Kontrollmöglichkeiten.
Passwörter sind out, Windows Hello ist in
Windows Hello for Business unterstützt passwortlose Bereitstellungsmodelle, damit Geräte und Systeme innerhalb eines Unternehmensnetzwerks in wenigen Minuten einsatzbereit sind. Dies umfasst die Kontrolle der Authentifizierungsmethoden durch IT-Administrator*innen und sichert gleichzeitig die Kommunikation zwischen Cloud-Tools, um Unternehmensdaten und -identitäten besser zu schützen. Auch private Windows 11-Nutzer*innen können sich mit Windows Hello vom ersten Tag an passwortlos an ihren Geräten anmelden. Mehr Infos zur passwortlosen Anmeldung gibt es hier.
Umfassende Sicherheit und Compliance über die Cloud
Mit umfassenden Cloud-Diensten und Tools für die Identitäts-, Speicher- sowie Zugriffsverwaltung können Nutzer*innen sicherstellen, dass jedes Windows Gerät, das sich mit ihrem Netzwerk verbindet, vertrauenswürdig ist. Auch im Bereich Compliance und bedingter Zugriff hält Microsoft Möglichkeiten bereit: So können Anwender*innen mit einem „Modern Device Management“ (MDM) wie Microsoft Intune, das mit Azure Active Directory verbunden ist, den Zugriff auf Anwendungen und Daten über die Cloud steuern.
Windows 11 bietet zudem eine standardmäßige Unterstützung für Microsoft Azure Attestation (MAA). Über die Funktion erbringt Windows 11 einen Nachweis über Attestationen, der als Grundlage für Compliance-Richtlinien verwendet werden kann. Die MAA-gestützten Compliance-Richtlinien validieren sowohl die Identität als auch die Plattform und bilden so das Rückgrat für die Absicherung von Unternehmensressourcen.
All diese Komponenten laufen im Hintergrund, ohne Qualität und Leistung zu schmälern. Mit Windows 11 haben wir neue Anforderungen an die Hardwaresicherheit formuliert, um die Geräte unserer Kund*innen noch stärker und widerstandsfähiger gegen Angriffe zu machen.
Weitere Informationen zum Thema Sicherheit in Windows 11 bietet dieser englischsprachige Blogpost.
Ein Beitrag von Christoph Bös
Product Marketing Manager Modern Work Security bei Microsoft Deutschland