contrastwerkstatt - stock.adobe.
Remote Access Security: Mehr Sicherheit im Home-Office
Klassische Sicherheitsansätze reichen nicht mehr aus, wenn viele Mitarbeiter aus der Ferne auf das Unternehmensnetz zugreifen. Methoden wie NAC und UEM verbessern die Security.
Mittlerweile ist schon einige Zeit vergangen, seit die COVID-19-Pandemie die Situation für viele Unternehmen verändert hat. In zahlreichen Organisationen hat sie für einen unerwartet schnellen Übergang ins Home-Office gesorgt. Weil in der durch die Krise ausgelösten schwierigen Situation alles sehr schnell gehen musste, wird es aber noch eine Weile dauern, bis derselbe Grad an Sicherheit beim Arbeiten von Zuhause aus erreicht wird, wie Sie es im Büro und innerhalb des Firmennetzes gewohnt sind.
Die meisten Unternehmen haben denjenigen ihrer Mitarbeiter zumindest einen VPN-Zugang (Virtual Private Network) eingerichtet, die auf interne Ressourcen zugreifen müssen. Ein verschlüsselter Tunnel zwischen dem Endnutzer und dem Firmen-LAN alleine reicht jedoch nicht mehr aus, um für eine hohe Sicherheit zu sorgen.
Authentifizierung und Autorisierung
Einer der am häufigsten zu beobachtenden Tricks von Cyberangreifern, um auf fremde Ressourcen zuzugreifen, ist zunächst der Diebstahl der legitimen Zugangsdaten eines Mitarbeiters. Eine Authentifizierung rein nur über den Benutzernamen und das zugehörige Passwort ist aber heutzutage nicht mehr als sicher einzustufen.
Mehr als 80 Prozent aller Datendiebstähle gehen auf geklaute Zugangsdaten zurück, berichtet der amerikanische TK-Konzern Verizon in seinem 2020 Data Breach Investigations Report. Das ist besonders aus Sicht der Mitarbeiter ein Grund zur Besorgnis, die von Zuhause aus arbeiten. Wenn sie sich nicht im Büro befinden, können sie die in einem Unternehmen festgelegten Sicherheitsrichtlinien nur selten komplett befolgen.
Um das Problem zu beheben, empfehlen nahezu alle IT-Sicherheitsexperten heutzutage die Einrichtung einer modernen Multi-Faktor-Authentifizierung (MFA). Beim Einsatz einer MFA-Lösung wird mehr als nur das Passwort angefordert, wenn sich ein Mitarbeiter mit den Ressourcen eines Unternehmens verbinden will.
Weitere Möglichkeiten, um zu überprüfen, ob eine Person wirklich die ist, die sie zu sein vorgibt, sind die Nutzung von Einmal-Passwörtern, speziellen Sicherheitsfragen, biometrischen Verfahren oder ein zusätzlicher Einsatz physischer Smartcards oder Tokens. Laut einer Untersuchung von Microsoft kann die Einführung einer modernen MFA-Plattform in einem Unternehmen die Zahl der Datendiebstähle auf Basis von geklauten Nutzerdaten um rund 99,9 Prozent reduzieren.
Selbst wenn ein Anwender erfolgreich authentifiziert wurde, gibt es aber noch weitere Sicherheitsrisiken, die bedacht werden müssen. So ist etwa ein Begrenzen der Ressourcen, auf die er nach seiner Authentifizierung zugreifen darf, von großer Bedeutung. Es gibt einige manuelle Möglichkeiten, um nach dem Authentifizieren eines Nutzers festzulegen, worauf er zugreifen darf und worauf nicht. In größeren Unternehmen mit zahlreichen Mitarbeitern, die unterschiedliche Verantwortlichkeiten haben, ist das aber auf Dauer nur schwer durchzuhalten. So genannte NAC-Tools (Network Access Control) sind hier eine weit elegantere Lösung.
Ein Einsatz von NAC-Tools in einer SaaS-Umgebung (Software as a Service) vereinfacht nicht nur die Prozesse bei der Zugriffskontrolle, sondern verhindert auch, dass versehentlich vertrauliche Daten nach außen gelangen.
Software as a Service hat sich gerade in Umgebungen, die intensiv auf Home-Office setzen, auf breiter Front durchgesetzt. Viele Mitarbeiter nutzen öffentlich verfügbare Cloud-Dienste heutzutage weit häufiger als Anwendungen, die nur über das interne Data Center bereitgestellt werden. Aus diesem Grund schützt ein Cloud-basiertes NAC-Tool nicht nur die Mitarbeiter, sondern auch die Apps, Daten und Dienste aus der Public Cloud oder in einer hybriden Cloud-Umgebung.
Management der Endpunkte
Auf den Clients installierte Software zum Schutz vor Infektionen mit Malware ist ein einfach zu verfolgender Weg, um die Nutzer und ihre Geräte vor einem versehentlichen Ausführen von Schadcode zu schützen, der sich anschließend durch das gesamte Firmennetz verbreiten kann. Moderne Antimalware-Software lässt sich auf einer Vielzahl von Betriebssystemen installieren und kann zudem in der Regel problemlos von einem zentralen Admin-Interface aus verwaltet werden.
Für Unternehmen, die darüber hinaus eine stärkere Kontrolle über die Endpoint-Geräte selbst haben wollen, die sich mit dem Firmennetz verbinden und die seine Ressourcen nutzen, bieten sich zusätzlich Werkzeuge zum Unified Endpoint Management (UEM) an. Sie eignen sich vor allem für größere IT-Umgebungen, in denen die Mitarbeiter von ihrem Arbeitgeber vorkonfigurierte Geräte zur Nutzung erhalten.
Zu den vielen sicherheitsrelevanten Funktionen, die eine UEM-Plattform bietet, gehört auch die Fähigkeit, Geräte zu identifizieren, die sich mit dem Netzwerk verbinden dürfen oder eben nicht. Außerdem lassen sich damit alle durch das Unternehmen bereitgestellten Endpoints aus der Ferne patchen, so dass sowohl das Betriebssystem als auch die installierten Anwendungen auf dem aktuellen Stand gehalten werden können.
UEM-Tools sind eine elegante Möglichkeit, um alle Endgeräte zu überprüfen, die auf vertrauliche Ressourcen zugreifen dürfen. So kann etwa sichergestellt werden, dass sie alle damit verbundenen Prozesse und Vorgänge mit den Sicherheitsrichtlinien des Unternehmens übereinstimmen.
Netzwerk-zentrischer Ansatz für sichere Fernverbindungen
Wie bereits erwähnt, setzen die meisten Unternehmen derzeit auf VPN-Lösungen, um einen sicheren Tunnel zwischen den Geräten der Mitarbeiter und dem Firmennetz einzurichten. Aus Sicht der Verschlüsselung wichtiger Daten lassen sich VPNs auch immer noch als sicher einstufen.
Sie schützen die Anwender aber nicht vor weiteren Gefahren und Bedrohungen, wenn sie im Home-Office arbeiten. Um eine wirklich sichere Arbeitsumgebung zu erhalten, benötigen die Mitarbeiter zusätzliche Funktionen wie eine Enterprise-Firewall, wie sie normalerweise nur am Rand des gesicherten Firmennetzes zu finden ist. Auch fehlen meist IPS-Lösungen (Intrusion Prevention Systeme), ein Netzwerk-basierter Schutz vor Malware, Secure Web Gateways (SWGs) und Enterprise-taugliche Systeme zur Absicherung von WLAN-Verbindungen.
Viele IT-Abteilungen haben bereits darüber nachgedacht, wie sie die in der Ferne arbeitenden Mitarbeiter mit netzwerkbasierten Sicherheitslösungen ausstatten können. Eine Möglichkeit sind sogenannte Virtual Branch Network Appliances, die gelegentlich auch als Teleworker Gateways bezeichnet werden.
Es handelt sich dabei um kleine Appliances, die direkt Zuhause bei dem jeweiligen Mitarbeiter untergebracht und eingerichtet werden. Aus Sicherheitssicht bieten sie viele Vorteile wie zum Beispiel permanent verfügbare VPN-Verbindungen, Firewall- und IPS-Filter, SWGs und dieselben WLAN-Sicherheitsprotokolle wie sie üblicherweise auch in Firmennetzen eingesetzt werden. Am besten an ihrem Einsatz ist aber, dass alle diese Bestandteile zentral aus der Ferne durch die IT-Abteilung gesteuert und verwaltet werden können.
Eine Alternative zu den hardwaregestützten Sicherheitslösungen nennt sich Virtual Desktop Infrastructure (VDI). Auch darüber können die in der Ferne arbeitenden Angestellten auf die von ihnen benötigten Ressourcen sicher zugreifen. In einer VDI-Umgebung nutzen die Mitarbeiter ihre meist nicht ausreichend sicher konfigurierten persönlichen Endgeräte, um sich mit einem virtuellen Desktop zu verbinden. Dieser wird komplett durch die IT-Abteilung kontrolliert, so dass viele Risiken eliminiert werden können, wenn die Mitarbeiter die bei ihnen Zuhause vorhandene Hardware nutzen, um auf vertrauliche Daten zuzugreifen.
Einbindung moderner Threat-Intelligence-Dienste
Gleichgültig, für welche Hard- oder Software-basierte Lösung Sie sich für Ihre Remote-Worker letztlich entscheiden, gibt es noch einen weiteren Punkt, den Sie berücksichtigen müssen: Sie benötigen auch eine Fähigkeit, um schneller auf aktuell entstehende Gefahren reagieren zu können. Am einfachsten erreichen Sie dieses Ziel, indem Sie Ihre Sicherheitslösungen mit den Diensten eines Cloud-basierten Threat-Intelligence-Anbieters verbinden. Diese Unternehmen sind darauf spezialisiert, große Teile des Internets auf neue Sicherheitsgefahren zu scannen, um entstehende Bedrohungen schneller erkennen zu können.
Prinzipiell lassen sich Threat-Intelligence-Dienste auch mehr oder weniger manuell einsetzen, um Ihr IT-Security-Team über neue Gefahren zu informieren. Es ist aber weit sinnvoller, diese Prozesse zu automatisieren und direkt in ihre Remote-Access-Umgebung zu integrieren.
Die meisten Provider sind in der Lage, neue Sicherheitsrichtlinien zu erstellen, mit denen die Netzwerke und Endpoints dann vor neuen Bedrohungen geschützt werden können. Die erstellten Policies lassen sich automatisch zu vielen Security-Tools übertragen, ohne dass ein Anwender oder Admin diesen Prozess jedes Mal anstoßen neu muss. Die Integration eines modernen Threat-Intelligence-Dienstes ist eine der schnellsten und effizientesten Möglichkeiten, um Telearbeiter vor neuen Risiken aus dem Internet zu schützen.