Microsoft Defender. Wer kennt sie nicht, die Antivirensoftware, die Microsoft von Haus aus mitbringt. Früher war sie unter dem Namen Windows Defender bekannt und eher schlecht, als recht. Mittlerweile gehört diese Antivirensoftware zu den Besten unter den kostenlosen Tools – und ist ab sofort auch in einer Preview für Android erhältlich.
Die Preview richtet sich aber nicht in erster Linie an Consumer, sondern an Unternehmenskunden von Microsoft. Zur Ankündigung äussert sich Microsoft in einem eigenen Blogpost wie folgt:
Wir freuen uns, die öffentliche Preview zur Abwehr mobiler Bedrohungen mit Microsoft Defender ATP für Android anzukündigen. Wie Rob Lefferts, Corporate Vice President, Microsoft 365 Security and Compliance, in seinem Blog erwähnte, sind die Bedrohungen im mobilen Bereich einzigartig, und da immer mehr Menschen mobile Geräte für die Arbeit nutzen, wird es für Unternehmen immer wichtiger, Daten zu schützen, auf die über die Geräte ihrer Benutzer zugegriffen wird.
Nachdem wir auf der RSA-Konferenz 2020 einen Ausblick auf diese Möglichkeiten gegeben hatten, waren wir von der Reaktion unserer Kunden und der Industrie begeistert. In den letzten Monaten haben wir eng mit Kunden, die unsere Designpartner sind, zusammengearbeitet, auf ihr Feedback gehört und das Produkt verbessert.
Funktionen
Die öffentliche Vorschau von Microsoft Defender ATP für Android bietet Schutz vor Phishing und unsicheren Netzwerkverbindungen von Apps, Websites und bösartigen Anwendungen. Darüber hinaus wird die Möglichkeit, den Zugriff auf Unternehmensdaten von als „riskant“ eingestuften Geräten aus einzuschränken, es den Unternehmen ermöglichen, Benutzer und Daten auf ihren Android-Geräten zu sichern. Alle Ereignisse und Warnungen werden in einer zentralen Sammelstelle im Microsoft Defender Security Center verfügbar sein, so dass Sicherheitsteams eine zentrale Sicht auf Bedrohungen auf Android-Geräten zusammen mit anderen Plattformen erhalten. Diese Funktionen ermöglichen es Unternehmen, starke Sicherheit zu gewährleisten und gleichzeitig sicherzustellen, dass ihre Mitarbeiter auf ihren Android-Geräten produktiv arbeiten können.
Web-Schutz
Phishing ist einer der grössten Bedrohungsvektoren für Mobiltelefone, wobei die meisten Angriffe ausserhalb von E-Mails stattfinden, z. B. über Phishing-Sites, Messaging-Anwendungen, Spiele und andere Anwendungen. Andere potenzielle Bedrohungen gehen von Anwendungen aus, die Verbindungen zu unsicheren Domänen herstellen können, ohne dass der Benutzer und die Sicherheitsteams davon wissen. Die Web-Schutzfunktionen in Microsoft Defender ATP für Android helfen bei der Bewältigung dieser Herausforderungen:
- Anti-Phishing: Der Zugriff auf unsichere Websites von SMS/Text, WhatsApp, E-Mail, Browsern und anderen Anwendungen wird sofort blockiert. Zu diesem Zweck nutzt Microsoft den Microsoft Defender SmartScreen-Dienst, um festzustellen, ob eine URL potenziell schädlich ist. Dieser arbeitet mit Android zusammen und ermöglicht es der Anwendung, die URL zu überprüfen, um einen Anti-Phishing-Schutz zu bieten. Wenn der Zugriff auf eine bösartige Website blockiert wird, erhält der Gerätebenutzer eine entsprechende Benachrichtigung mit den Optionen, die Verbindung zuzulassen, die sichere Meldung zu erstatten oder die Benachrichtigung abzulehnen. Sicherheitsteams werden über Versuche, auf bösartige Websites zuzugreifen, über eine Warnung im Microsoft Defender Security Center benachrichtigt.
- Blockieren unsicherer Verbindungen: Dieselbe SmartScreen-Technologie von Microsoft Defender wird auch verwendet, um unsichere Netzwerkverbindungen zu blockieren, die Apps im Namen des Benutzers automatisch und ohne dessen Wissen herstellen könnten. Genau wie im Phishing-Beispiel wird der Benutzer sofort darüber informiert, dass diese Aktivität blockiert wird, und hat die gleichen Möglichkeiten, sie zuzulassen, als unsicher zu melden oder die Benachrichtigung abzulehnen, wie der Produkt-Screenshot zeigt. Warnmeldungen für dieses Szenario werden auch im Microsoft Defender Security Center angezeigt. Wenn diese Verbindungen auf dem Gerät eines Benutzers versucht werden, werden die Sicherheitsteams über eine Warnung im Microsoft Defender Security Center darüber informiert.
- Benutzerdefinierte Indikatoren: Sicherheitsteams können benutzerdefinierte Indikatoren erstellen, die ihnen eine genauere Kontrolle über das Zulassen und Sperren von URLs und Domänen ermöglichen, zu denen Benutzer von ihren Android-Geräten aus Verbindungen herstellen. Dies kann im Microsoft Defender Security Center erfolgen und ist eine Erweiterung unserer bereits für Windows verfügbaren Funktion für benutzerdefinierte Indikatoren.
Malware-Überprüfung
Unternehmen, die Android einsetzen, können die in die Android-Plattform integrierten Schutzfunktionen nutzen, um die Installation von Anwendungen auf vertrauenswürdige Quellen zu beschränken, sowie Tools wie Google Play Protect, um die Bedrohungsoberfläche potenziell schädlicher Anwendungen, die auf Geräten installiert werden, deutlich zu reduzieren. Microsoft Defender ATP verstärkt dies, indem es zusätzliche Sichtbarkeit und Kontrollen einführt, um weitere Garantien dafür zu geben, dass Geräte frei von Bedrohungen für die Gerätesicherheit bleiben.
Microsoft Defender ATP für Android verwendet einen Cloud-Schutz, der auf tiefem Lernen und Heuristik basiert, um neben der signaturbasierten Malware-Erkennung auch Low-Fidelity-Signale abzudecken, die nicht eindeutig durch Signaturen behandelt werden. Dieser Schutz erstreckt sich sowohl auf bösartige Anwendungen als auch auf Dateien auf dem Gerät. Scans werden sofort durchgeführt, um Malware und potenziell unerwünschte Anwendungen zu erkennen. Wenn eine sichere Anwendung heruntergeladen wird, erhält der Endbenutzer eine einfache Benachrichtigung, die ihn darüber informiert, dass die Anwendung sauber ist.
Sperrung des Zugriffs auf sensible Daten
Zusätzliche Schutzebenen gegen böswilligen Zugriff auf sensible Unternehmensdaten bietet die Integration mit Microsoft Endpoint Manager, der sowohl Microsoft Intune als auch Configuration Manager umfasst. So würde beispielsweise ein kompromittiertes Gerät für den Zugriff auf Outlook-E-Mails gesperrt. Wenn Microsoft Defender ATP für Android feststellt, dass auf einem Gerät bösartige Anwendungen installiert sind, wird das Gerät als „hohes Risiko“ eingestuft und im Microsoft Defender Security Center markiert. Microsoft Intune verwendet den Risikograd des Geräts in Verbindung mit vordefinierten Compliance-Richtlinien, um Regeln für den bedingten Zugriff zu aktivieren, die den Zugriff auf Unternehmensressourcen von dem risikoreichen Gerät aus blockieren. Der Screenshot zeigt ein Beispiel dafür, wie der Endbenutzer eine Benachrichtigung erhält, dass sein Gerät nicht mit den Richtlinien seines Unternehmens übereinstimmt, und wie er Abhilfe schaffen kann. Sobald die bösartige Anwendung deinstalliert ist, wird der Zugriff auf Unternehmensressourcen für das mobile Gerät automatisch wiederhergestellt.
Einheitliche, zentrale Anlaufstelle
Das Microsoft Defender Security Center fungiert für die Sicherheitsteams als zentrale Anlaufstelle, um einen zentralen Überblick über Bedrohungen und Aktivitäten zu erhalten. Hier werden alle Warnmeldungen für Phishing und Malware auf Android-Geräten angezeigt. Als Teil der Warnung sehen Analysten den Namen der Bedrohung, ihren Schweregrad, den Warnungs-Prozessbaum für den Vorfall und anderen zusätzlichen Kontext, einschließlich Dateidetails und zugehörige SHA-Informationen. Android-Geräte-bezogene Warnmeldungen werden ebenfalls in den Vorfall eingeblendet, so dass Analysten einen ganzheitlicheren Überblick über die mit einem Gerät verbundenen Angriffe erhalten.
In der Geräteliste sind auch Android-Geräte mit ihren zugehörigen Risikostufen sichtbar. Auf der Seite mit den Geräteinformationen können Sicherheitsanalysten die Anzahl der Vorfälle, der aktiven Warnmeldungen und der angemeldeten Benutzer sehen, die mit dem Gerät in Verbindung stehen. Dies ist die gleiche vertraute Erfahrung, die Microsoft Sicherheitsteams für Windows, Mac und Linux zur Verfügung stellen.
Kunden, bei denen die Vorschaufunktionen aktiviert sind, können noch heute damit beginnen, Microsoft Defender ATP für Android auszuprobieren. Ob und wann es ggf. eine Consumer-Variante davon geben wird, ist derzeit noch unklar. Weitere Informationen und eine kostenlose Preview können hier bestellt werden.