Fernzugriffe auf das Netzwerk mit einer PKI sichern
Eine PKI ist oft sicherer als der Einsatz von Passwörtern oder der einer MFA-Lösung. Damit kann man auch die Zugriffe von Remote-Mitarbeitern auf das lokale Netz schützen.
Die meisten Unternehmen mussten viele ihre Arbeitsabläufe in den vergangenen Jahren aufgrund der weltweiten Coronapandemie anpassen. Unweigerlich gehörte auch dazu, das Angebot der Fernarbeit im Betrieb auszubauen. Das bedeutete teilweise aber auch, dass komplett neue Systeme ausgerollt werden mussten, um überhaupt Remote Work anbieten zu können. Es ist keine leichte Aufgabe, den Mitarbeitern einen sicheren Fernzugriff auf das lokale Netzwerk zu ermöglichen. Das gilt ganz besonders, da viele Cyberkriminelle mittlerweile in der Lage sind, traditionelle Passwort-basierte und sogar MFA-Tools (Multifaktor-Authentifizierung) auszutricksen.
Eine bessere und weit sicherere Alternative für Remote Work sind Netzwerkzugriffe auf Basis der sogenannten Public-Key-Infrastruktur (PKI). Lassen Sie uns daher Im Folgenden einen ausführlichen Blick darauf werfen, was eine PKI ist, wie die Technik in Ihrem Unternehmen sicher und verlässlich eingeführt und wie sie genutzt werden kann, um Fernzugriffe durch Ihre Mitarbeiter abzusichern.
Die Vorteile einer Public-Key-Infrastruktur (PKI)
PKI ist eine standardisierte Technologie, die für eine sichere Authentifizierung und geschützte Verbindungen auf Basis von Zertifikaten genutzt wird.
Ein nach den Grundsätzen einer PKI erstelltes digitales Zertifikat kann nicht erraten werden. Bei Passwörtern ist genau das eine der größten Schwachstellen. Außerdem kann eine PKI genutzt werden, um auf digitalem Wege die Identität eines Nutzers oder eines Geräts zu überprüfen. Diese Fähigkeiten können beweisen, dass die angegebenen Daten einer Entität wirklich korrekt sind und auch tatsächlich zu ihr gehören.
PKI-Zertifikate sind sogar leichter zu verwalten als Passwörter, da sie ein eingebautes Verfallsdatum haben und jederzeit widerrufen werden können. Damit lässt sich die Fähigkeit eines Geräts oder eines Nutzers, auf Ressourcen im Unternehmen zuzugreifen, augenblicklich und sofort unterbinden.
PKI-Lösungen sind zudem in der Lage, die Kommunikation zwischen Anwendern und anderen Nutzern zu sichern. Eine PKI kann verwendet werden, um Netzwerke, Mobilgeräte, IoT-Devices (Internet of Things), E-Mails und sogar Dokumente vor unerwünschten Zugriffen zu schützen. Darüber hinaus lassen sich damit auch Nutzer-zu-Nutzer-, Nutzer-zu-Maschine- und Maschine-zu-Maschine-Verbindungen (M2M) sichern.
Eine Public-Key-Infrastruktur basiert auf asymmetrischen Schlüsselpaaren. Mit ihnen ist es möglich, Identitäten zu überprüfen wie auch Daten zu verschlüsseln. Diese Fähigkeiten werden für viele kritische, tagtäglich eingesetzte Aktivitäten und Dienste benötigt. Beispiele sind etwa per LDAP gesicherte Verbindungen (Lightweight Directory Access Protocol) zwischen Clients und Servern, VPN-Authentifizierungen (Virtual Private Networks) zum Schutz von Verbindungen über unsichere Netze, das Ver- und Entschlüsseln von E-Mails sowie das Absichern von Remote-Verbindungen via SSH (Secure Shell).
Eine PKI-Plattform richtig implementieren
Das Einrichten und Managen einer PKI geht heutzutage in der Regel relativ leicht vonstatten. Das war nicht immer der Fall. Glücklicherweise erfordern viele aktuelle Produkte keine Expertenkenntnisse mehr. Trotzdem bieten sie auf einer Vielzahl unterschiedlichster Systeme und Geräte alle benötigten Funktionen zur Verwaltung der Verschlüsselung und zur Authentifizierung der ausgegebenen Zertifikate. Außerdem ermöglichen sie nahtlose Zugangskontrollen für Anwender. Damit lässt sich dann auch eine konventionelle MFA (Multifaktor-Authentifizierung) mit einer berührungslosen Authentifizierung ersetzen.
Das hat aber zu einem Problem geführt. So können Unternehmen heute ohne größere Probleme eine eigene PKI aufbauen und digitale Zertifikate ausstellen. Das sollte aber nur dann erfolgen, wenn diese Zertifikate nur für den internen Einsatz bestimmt sind. Es würden sich sonst mehrere Nachteile ergeben. Intern errichtende PKIs sind zum Beispiel nur schwer zu erweitern und benötigen meist auch viel zu viele Ressourcen. Außerdem vertrauen weder die gängigen Browser noch Betriebssysteme diesen selbst ausgestellten Zertifikaten.
Eine weit bessere Option ist der Einsatz einer gemanagten und zentralisierten PKI-Plattform. Hier gibt es bereits mehrere verlässliche und gut skalierbare Produkte auf dem Markt. Das Angebot reicht von Cloud-basierten, lokalen, hybriden bis zu PKI-as-a-Service-Diensten. Sie ermöglichen es, den Sicherheitsteams oder Netzwerk-Admins im Unternehmen, Zertifikate schnell, einfach und zuverlässig von einer zentralen Stelle aus auszugeben, zurückzurufen oder zu ersetzen. Außerdem automatisieren sie viele Aufgaben bei der Ausstellung und beim Lifecycle-Management der Zertifikate.
Das sorgt dann mitunter auch dafür, dass die Security-Spezialisten im Unternehmen mehr Zeit haben, um die Identitäten von Nutzern und Geräten besser zu überwachen, die sich mit dem Netzwerk verbinden. Ein weiterer Vorteil ist, dass das Schlüsselmanagement dadurch vereinfacht wird.
Bevor sich ein Unternehmen aber für eine bestimmte PKI-Lösung entscheidet, sollte sichergestellt werden, dass sie zu definierende spezifische Anforderungen erfüllt. Außerdem muss gewährleistet sein, dass sie sowohl die Bedürfnisse der Nutzer berücksichtigt als auch für die benötigte Sicherheit sorgt. Nicht zuletzt müssen in der Regel auch lokale, branchenspezifische und staatliche Compliance-Vorgaben eingehalten werden.
Die Verwaltung der Schlüssel ist entscheidend
Das Management der Schlüssel kann aus Sicherheitssicht schnell ein Grund für heftige Kopfschmerzen werden. Das Risiko nicht autorisierter Zugriffe wird durch schwache Schlüssel, für Entwickler ausgegebene Schlüssel, nicht autorisierte Schlüssel oder nicht ausreichend überwachte Vertrauensbeziehungen zwischen Systemen und Accounts vergrößert. Jede PKI muss daher gründlich vorbereitet und laufend kontrolliert werden. Das Verwalten der Schlüssel mit Hilfe von Excel-Sheets funktioniert auf Dauer einfach nicht.
Viele Anbieter haben Lösungen für das Lebenszyklus-Management von Schlüsseln im Portfolio. Diese ermöglichen einen Überblick über die PKI-Keys. Außerdem lassen sich damit die Beziehungen zwischen verschiedenen Schlüsseln überwachen. Darüber hinaus sollten regelmäßig Audits durchgeführt werden, um abgelaufene oder nicht mehr genutzte Schlüssel sowie durch Angreifer manipulierte Zertifikate zu identifizieren. Das Führen eines aktuellen Verzeichnisses ermöglicht den Admins zudem, die im Unternehmen genutzten Schlüssel kontinuierlich durch zu wechseln. Auf diese Weise lassen sich Probleme wie ein Einsatz veralteter Schlüssel vermeiden, die den aktuellen Sicherheitsstandards nicht mehr entsprechen. Auch das ehemalige Angestellte oder Dienstleister noch Zugriff auf Schlüssel haben, lässt sich mit diesen Methoden verhindern.
Alle Schlüssel sollten an einer zentralen und zugleich sicheren Stelle wie einem Hardware Security Module gespeichert werden. Zugriff darauf dürfen nur Anwender mit erweiterten Berechtigungen erhalten, die starke Passwörter und rollenbasierte Zugriffskontrollen nutzen.
So kann meine eine PKI für die Remote-Belegschaft nutzen
Bevor eine PKI auch für die entfernt tätigen Mitarbeiter ausgerollt wird, sollte sichergestellt werden, dass diese an einem Security Awareness Training teilgenommen haben. So lernen sie für sie relevante Sicherheitsrichtlinien kennen und erfahren, wie sie grundlegende Sicherheitsmaßnahmen befolgen. Arbeitgeber sollten zudem dafür sorgen, dass alle Geräte, die sich mit dem Netzwerk verbinden, mit einem TPM (Trusted Platform Module) ausgestattet sind. Auf modernen Geräten sind diese in der Regel bereits vorhanden.
Ein Trusted Platform Module ermöglicht Hardware-basierte Sicherheitsfunktionen wie Zugriffskontrollen und Authentifizierung. Der private Schlüssel des Anwenders wird dann im TPM seines Endgeräts gespeichert. Das hat den großen Vorteil, dass der Nutzer sich sicher authentifizieren und geschützt auf Anwendungen und andere Ressourcen zugreifen kann, ohne dass er selbst weitere Aktionen ergreifen muss. Das ist nicht nur effizienter, sondern auch eine sicherere Form der MFA als die Nutzung herkömmlicher Passwörter in Verbindung mit einer Telefon-gestützten Multifaktor-Authentifizierung.
Der Einsatz einer PKI ist die stärkste Möglichkeit zum Authentifizieren von Identitäten. Wenn die Public Key Infrastructure aber mangelhaft umgesetzt wird, dann wird sie selbst schnell zu einem Sicherheitsproblem. Investieren Sie daher ausreichend Zeit und Mühe, um für einen Einsatz umfassender Verwaltungs-Tools und Schulungen bei der Einführung oder Aktualisierung Ihrer PKI-Dienste zu sorgen.