Hybrides UEM: Zentrale Schaltstelle für Sicherheit & Compliance

Cyberattacken werden immer häufiger und raffinierter. Deswegen müssen Unternehmen permanent ihre Sicherheitsstrategie konsolidieren und nachhaltig stärken. Ideale Basis dafür sind Unified Endpoint Management (UEM)-Systeme in hybrider Ausführung.

Wie eine solche Verbindung aus klassischem Client-Management- und moderner Cloud-Integration aussieht, zeigt UEM-Spezialist Aagon auf der it-sa 2025 mit seinem neuen ACMP Intune Management. Messemotto: Ein System. Alle Endpunkte. Maximale Sicherheit. = Hybrides UEM

Sicherheitsrichtlinien kohärent über alle Endpunkte hinweg umsetzen, ohne Medienbrüche oder redundante Verwaltungsprozesse – das schafft insbesondere in heterogenen IT-Landschaften mehr Effizienz und Sicherheit. Genau dort ist es aber zugleich extrem anspruchsvoll. Denn die Verwaltung von Endgeräten in Unternehmen hat sich in den letzten Jahren stark weiterentwickelt; klassische Desktops stehen neben Notebooks und Smartphones, mobile Betriebssysteme sind zu verwalten.

Cloud und On-Premises kombiniert

Derart verteilte Infrastrukturen aus Homeoffice- und Inhouse-Arbeitsplätzen benötigen neue Formen der Administration. Hergebrachte On-Premises Client-Management-Systeme decken keine iOS- und Android-Geräte ab und genügen daher nicht mehr. Diese Geräte werden bislang oft mit cloud-basierten UEM-Systemen verwaltet, von denen Microsoft Intune das bekannteste und gebräuchlichste ist.

Die Cloud bietet Skalierbarkeit und Mobilität, während Inhouse-Systeme ihre Stärken bei der Sicherheit und Kontrolle ausspielen. Beides kombiniert Aagon in seiner ACMP Suite mit einem neuen Intune Management, also einer Integration von Intune in das eigene UEM. Ergebnis ist eine zentrale Plattform, über die sich einheitlich sowohl klassische Windows-Clients im lokalen Netzwerk administrieren lassen als auch moderne, cloud-verwaltete Endgeräte. Hybrid bedeutet hier: volle Kontrolle, unabhängig vom Standort oder Verwaltungsmodell des Endpunkts.

Speziell hinsichtlich der Sicherheit haben rein cloud-basierte Lösungen erhebliche Nachteile gegenüber einem lokal installierten UEM-System. Es geht damit los, dass Admins insgesamt nur eine Teilansicht ihrer IT-Infrastruktur erhalten und Risiken daher leichter übersehen. Für die Verwaltung von Servern braucht es wiederum Zusatzlösungen. Funktionale Einschränkungen finden sich außerdem bei der Administration von SNMP-Geräten sowie einer detaillierten Inventarisierung.

Defender und BitLocker über das UEM steuern

Ein vollwertiges UEM demgegenüber verfügt über eigene Agenten und bietet größere Vielfalt durch manuelle Clients, Agents oder ein zusätzliches Gateway. Es beinhaltet Funktionen wie Remote Control, Lizenzmanagement, Asset Management oder Windows Update Management für Clients und Server und Microsoft 365, an die bei Intune gar nicht zu denken ist. Sogar Microsoft-Lösungen wie Defender und BitLocker lassen sich direkt darüber steuern – auch ohne Cloud-Anbindung.

Weil sich die Daten in der eigenen Umgebung befinden, sind sie sehr gut geschützt; das Unternehmen ist außerdem unabhängig vom Internet und Status des Servers in der Cloud. Weitere Vorteile eines lokalen Systems: Sicherheitsbereiche lassen sich gut voneinander abgrenzen und individuelle Lösungen mit No-Code/Low-Code einrichten.

Frühwarnsystem für IT-Schwachstellen

Bei Aagon arbeitet das Modul „Security Detective“ mit einem weiteren Modul „Schwachstellenmanagement“ zusammen und sammelt alle wichtigen Informationen über die lokale Konfiguration jedes Windows-Client-Rechners im Netzwerk – unter anderem den Zustand von Virenschutz, Spyware- Schutz, Firewall sowie den Status aller privaten und öffentlichen Netzwerke. So erkennt es sicherheitsrelevante Konfigurationsabweichungen auf Endgeräten rechtzeitig und meldet potenzielle Risiken automatisiert. Die Administrationsabteilung hat jederzeit den Überblick über alle Einstellungen und Parameter des Windows Security Centers – ein Frühwarnsystem für IT-Schwachstellen. Relevante Sicherheitsinformationen stehen in einer zentralen Datenbank zur Verfügung.

Kernelement jeder UEM-Plattform ist das Patch Management. Es sorgt für eine zeitnahe und automatisierte Verteilung von Updates für Windows und Drittanbieter-Software. Updates sind sicherheitskritisch, weswegen Patch Management von zentraler Wichtigkeit für die IT-Security ist. Quasi täglich erscheinen heute neue Updates, Patches und Aktualisierungen, die Sicherheitslücken schließen und Funktionen verbessern.

Doch wer kennt schon den Patch-Status jedes einzelnen Rechners im Netzwerk? Wer das Thema Updates den Usern überlässt, müsste ihnen zum einen lokale Admin-Rechte vergeben und zusätzlich darauf vertrauen, dass diese alle Updates selbstständig bemerken und auch immer zeitnah installieren – das ist illusorisch. Kritische Sicherheitslücken, Kompatibilitätsprobleme zwischen Programmversionen und hoher Arbeitsaufwand für den Support wären die Folge.

Unternehmen brauchen heute umfassende Lösungen, um die stetig steigenden Anforderungen aus NIS2, BSI IT-Grundschutz oder KRITIS-Dachgesetzt weiterhin gut zu bewältigen.

Sebastian Weber, Aagon GmbH

Inventarisierung als Basis

Ein umfängliches Inventory & Asset Management schließlich liefert vollständige Transparenz über Hard- und Software. Es stellt daher eine weitere essenzielle Grundlage für jede Sicherheitsstrategie dar. Auch zu diesem Bereich zeigt UEM-Hersteller Aagon auf der itsa 2025, wie er dieses Thema angeht. Zur netzwerkweiten Inventarisierung pusht oder verteilt das UEM einen kleinen Software-Agenten auf jeden Client.

Die Client Software hält die Kommunikation zwischen dem lokalen Computer und dem UEM-Server aufrecht, liefert in frei definierbaren Intervallen Inventardaten an ihn und nimmt in der anderen Richtung Aufträge entgegen. Bereits nach wenigen Augenblicken stehen über 150 Hardware-Daten und sämtliche Details der Windows-Installation auf dem Server zur Verfügung. Bei installiertem Client oder Ausführen des OneScan-Clients werden mehrere tausend Daten, zum Beispiel mithilfe eines Hyper-V Scanners, ausgelesen.

Die Inventarisierung gehört bei Aagon zum Basismodul ACMP Core, das die Grundlage ist für Nutzung und Ineinandergreifen der weiteren Module wie Desktop Automation (Client Management), Lizenzmanagement, Security Detective oder Helpdesk (Ticket Management). Alle Funktionsmodule müssen auf die Inventarisierung zugreifen, die damit den Grundstein für ein erfolgreiches Endpoint Management darstellt.

Intune-Portale zusammenfassen

Durch eine enge Verzahnung einzelner Funktionsbausteine untereinander sowie zusätzlich mit Microsoft Intune wird das UEM zur zentralen Schaltstelle für IT-Sicherheit und Compliance. Denn gegenüber der alleinigen Geräteverwaltung mit Intune ermöglicht es eine umfassendere IT-Automatisierung. Skripte zur Fehlerbehebung oder Software-Rollouts lassen sich zentral steuern, ohne dass jemand manuell eingreifen muss. Auch mehrere Intune-Portale können in der ACMP Suite zusammengefasst werden. Unternehmen brauchen heute solche umfassenden Lösungen, um die stetig steigenden Anforderungen aus NIS2, BSI ITGrundschutz oder KRITIS-Dachgesetz weiterhin gut zu bewältigen.