IT-Security vor dem Hintergrund hybrider Arbeitsplatzkonzepte
Autor/Redakteur: Trevor Collins, Network Security Analyst bei WatchGuard Technologies/gg
Durch die Corona-Pandemie hat sich die Einstellung vieler Unternehmen gegenüber der Arbeit aus dem Homeoffice entscheidend geändert. Selbst Organisationen, für die diese Möglichkeit in der Vergangenheit nie eine Option war, kamen im Lockdown gar nicht umhin, die entsprechenden Weichen zu stellen. Nur so konnte überhaupt Geschäftsfähigkeit gewährleistet werden. Dabei sind vielerorts auch die Vorzüge entsprechender Arbeitsplatzkonzepte deutlich zu Tage getreten. Insofern verwundert es kaum, dass mittlerweile immer mehr Arbeitgeber darüber nachdenken, wie sie diesen in der Pandemie eingeschlagenen Weg des mobilen Arbeitens zum eigenen Vorteil weiterverfolgen können. IT-Sicherheit wird in dem Zusammenhang zur wichtigen Stellschraube. Denn durch eine zunehmende Dezentralisierung im Arbeitsalltag entstehen ganz neue Angriffsflächen, die die IT-Verantwortlichen auf Unternehmensseite keinesfalls aus den Augen verlieren dürfen. Werfen wir also einen Blick auf die relevanten Handlungsfelder, in denen während des „Homeoffice-Höhenflugs“ der letzten Monate immer wieder sicherheitsrelevante Versäumnisse beobachtet werden konnten. Gleichzeitig gibt es Tipps, wie sich diese Themen besser in den Griff bekommen lassen.
Vernachlässigung von Geräte-Updates
Ein Setup und die regelmäßige Aktualisierung von Endgeräten seitens der IT-Abteilung kann nur dann erfolgen, wenn das entsprechende Device auch mit dem zentralen Unternehmensnetzwerk verbunden ist. Bei Endgeräten jenseits des klassischen Perimeters ist hierfür in der Regel eine VPN-Verbindung nötig. Wenn sich Mitarbeiter jedoch nur sporadisch auf diese Weise verbinden, bleiben relevante Updates der Sicherheitssoftware oder erforderliche Konfigurationsänderungen nicht selten auf der Strecke. In dem Fall kann nur der Anwender selbst Abhilfe schaffen. Doch nicht jeder verfügt über die nötigen Kenntnisse und Fähigkeiten, um ausstehende Programmaktualisierungen in Eigenregie auszuführen. Der Aufwand auf Seiten der IT-Abteilung wächst.
Im Idealfall sollten Programmaktualisierungen automatisch erfolgen. Auf Workstations installierte Software-Update-Manager können dabei auch jenseits des Unternehmensnetzwerks unterstützen. Nichtsdestotrotz wird es immer einige Anwendungen geben, bei denen dies nicht funktioniert. Hier lautet die Empfehlung, die Nutzer selbst regelmäßig nach Updates suchen zu lassen. Ob dies im Rahmen regelmäßiger Routinen – wie beispielsweise einem „Update-Montag“ – oder auf Basis individueller Zeitpläne erfolgt, ist letztlich zweitranging. Es sollte jedoch mindestens einmal im Monat sichergestellt sein. Wenn es beim Update einer spezifischen Anwendung immer wieder Probleme geben sollte, ergibt es durchaus Sinn, Mitarbeitern nahezulegen, stattdessen eine andere Software zu nutzen.
Einsatz persönlicher Endgeräte für geschäftliche Zwecke
Einige Mitarbeiter greifen im Arbeitsalltag auf private Endgeräte zurück. Im besten Fall ist damit die Verwendung des privaten Mobiltelefons im Rahmen der Multifaktor-Authentifizierung gemeint. Darüber hinaus läuft aber auch der Datenaustausch im Homeoffice üblicherweise über den heimischen Router. Solche „Consumer“-Geräte bieten jedoch in der Regel deutlich weniger Schutz als die professionellen Router mit entsprechender Firewall, die in Unternehmensnetzen zum Einsatz kommen. Für Cyberkriminelle ist dies natürlich ein gefundenes Fressen. Daher sollte der Netzwerkzugriff der Remote-Anwender auf das für die tägliche Arbeit unbedingt erforderliches Mindestmaß beschränkt sein – nur so lässt sich auch das Risiko für die Firmenressourcen im Fall eines kompromittierten Heimnetzes auf ein Minimum reduzieren.
Die angesprochene Begrenzung der Zugriffsrechte lässt sich über entsprechende VPN-Richtlinien stellen. In Vor-Corona-Zeiten war dieses Thema für Unternehmen, die nur für wenige Mitarbeiter überhaupt einen gelegentlichen VPN-Zugang brauchten, vielleicht noch zu vernachlässigen. Doch heute ist gerade großen Unternehmen mit einer Vielzahl von Remote-Mitarbeitern die Umsetzung einer rollenbasierte nZugriffskontrolle (RBAC) unbedingt angeraten. So benötigt die Personalabteilung wahrscheinlich keinen Zugriff auf die Daten der Entwicklungsabteilung, genauso wenig wie Kundenbetreuer Einsicht in Buchhaltungsdaten haben müssen.
VPN-Nutzung ohne Multifaktor-Authentifizierung
Jeden Monat tauchen Millionen von gestohlenen Zugangsdaten im Netz auf und werden zum Download angeboten. Viele dieser Anmeldedaten sind zwar mit Hash-Passwörtern versehen, die einen gewissen Schutz bieten. Doch mit entsprechenden Hacking-Tools, die sich mühelos beschaffen lassen, sind auch diese schnell entschlüsselt. Besonders brenzlig wird es, wenn ein Benutzer das Passwort, das er beim VPN-Zugang verwendet, auch für andere Dienste nutzt – eine leider nach wie vor sehr verbreitete und gefährliche Praxis. Denn dann hat ein Angreifer die gleichen Zugriffsmöglichkeiten wir der Mitarbeiter. Gerade im Hinblick auf Homeoffice-Szenarien, in denen die tägliche Arbeit in der Mehrzahl aller Fälle auf Basis eines VPN-Zugriffs erfolgt, ist der Schutz der VPN-Verbindung entscheidend für die Sicherheit des gesamten Unternehmensnetzwerks. Von daher sollte die Einwahl per VPN in jedem Fall über verlässliche Multifaktor-Authentifizierung abgesichert werden.
Selbst wenn im Rahmen des Netzwerkschutzes immer wieder neue Herausforderungen sichtbar werden: Mit Multifaktor-Authentifizierung und einer rollenbasierten Zugriffskontrolle ist bereits viel gewonnen. Die beschriebenen Best Practices sollten jedoch nicht nur beim VPN-Zugriff zum Tragen kommen, sondern darüber hinaus überall da, wo es der Schutz der Unternehmensressourcen erfordert.
