Endpoint Protection

[ˈɛndpɔɪnt prəˈtɛkʃn] · auch: Endpunktschutz, EDR, Endpoint Security

Endpoint Protection bezeichnet die Sicherheitsmassnahmen fuer Endgeräte (Workstations, Laptops, Server, mobile Geräte) – einschliesslich Antivirus, Endpoint Detection and Response (EDR), Festplattenverschlüsselung, Patch-Management und Gerätekontrolle als mehrstufiges Schutzprogramm.

Warum Endpoint Protection ein Kern-Technikbegriff der IT-Compliance ist

Endpoint Protection ist eine technische Sicherheitsmassnahme, die in allen wesentlichen Compliance-Frameworks als Anforderung oder Best Practice gelistet ist. ISO 27001, NIS-2 und DORA setzen Endpoint Protection voraus – nicht als optionales Extra, sondern als Grundbestandteil eines wirksamen Sicherheitsprogramms. Im Audit wird geprüft, ob die Massnahme implementiert ist, ob sie wirksam konfiguriert ist und ob die Wirksamkeit nachgewiesen werden kann.

Wo Endpoint Protection gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.7	Schutz gegen Schadsoftware: Endpoint-Schutz als explizite Kontrollanforderung.
NIS-2 / BSIG	§ 30 Abs. 2b	Endpunktschutz als technische Mindestmassnahme fuer wesentliche Einrichtungen.
CIS Controls v8	Control 10	Malware Defenses: EDR und Endpoint-Schutz als CIS-Top-10-Kontrolle.
BSI IT-Grundschutz	SYS.1.1 / SYS.2.1	Server und Clients: Virenscanner und Schutzprogramme als Grundschutz-Anforderung.
DORA	Art. 9	IKT-Sicherheitsmassnahmen: Endpunktschutz als Teil des IKT-Sicherheitsrahmens.

BAM-Objektreferenz

BAM-Objekt TECH-EP-01

BeschreibungEndpoint-Protection-Programm mit EDR, Patch-Management und Konfigurationsstandards fuer alle Endpunkte

GitHubBAM Core →

Häufige Audit-Fehler

Massnahme implementiert, aber Konfiguration nicht dokumentiert
Wirksamkeit nicht regelmässig geprueft – Drift von der Baseline unbemerkt
Abdeckung unvollständig – nicht alle relevanten Systeme einbezogen
Kein Nachweis der Massnahmenwirksamkeit für den Auditor

Policy as Code: Technische Massnahmen als pruefbare Artefakte

Der Leitgedanke dieser Kategorie ist Policy as Code: Sicherheitsanforderungen werden nicht nur als Richtlinien dokumentiert, sondern als technische Konfigurationen implementiert, die automatisch pruefbar sind. Für Endpoint Protection bedeutet das: Die Konfiguration ist versioniert, die Wirksamkeit wird kontinuierlich gemessen und die Ergebnisse werden als Evidence archiviert. Das macht den Abstand zwischen Richtlinie und Wirklichkeit sichtbar – und schliesst ihn systematisch.

Abdeckung und Ausnahmen

Vollständige Abdeckung aller relevanten Systeme ist der kritische Punkt: Eine Massnahme, die 95 Prozent der Systeme schutzt, hinterlasst fünf Prozent als Einstiegspunkte. Ausnahmen (Legacy-Systeme, OT, Testsysteme) muessen explizit dokumentiert und mit Kompensationsmassnahmen oder risikoakzeptierten Restrisiken versehen sein. Undokumentierte Ausnahmen sind im Audit stets ein Befund.

Nächste Ebene

Endpoint Protection in der Praxis: Konfiguration, Abdeckung und Evidence

Was Auditoren bei Endpoint Protection konkret pruefen und welche Evidence benoetigt wird.

Ebene 2 lesen → Stresstest starten →