Absicherung von Remote-Access-Verbindungen

Autor/Redakteur: Mohamed Ibbich, Director Solutions Engineering bei BeyondTrust/gg

Die Freigabe von externen Zugriffsmöglichkeiten für IT-Dienstleister kann zu potenziellen Sicherheitsrisiken führen. Anbieter, die über autorisierte Zugriffsrechte auf ein Unternehmensnetz oder verschiedene Anwendungen verfügen, halten möglicherweise nicht die geforderten Sicherheitsvorgaben einer Organisation ein. Vielleicht verwenden sie schwache Passwörter oder Standardkennwörter oder teilen die Anmeldedaten mit mehreren Personen.

Grafik: BeyondTrust

Externe IT-Dienstleister greifen standardmäßig remote auf IT-Systeme eines Unternehmens zu. Beim Einsatz von klassischen Zugriffsmethoden fehlen Unternehmen dabei die erforderlichen Transparenz- und Kontrollmöglichkeiten. Teilweise verwenden Anbieter zudem VPN-Technologien (Virtual Private Network), um Wartungs- und Konfigurationsarbeiten durchzuführen. Das kann sich als riskante Praxis erweisen, wenn Hacker die nicht einsehbaren Zugangswege ausnutzen und Lieferkettenprozesse kompromittieren.

Zugriffsrisiken durch Drittanbieter und Dienstleister

In dem Maße, wie das Lieferantennetzwerk wächst, nehmen auch die potenziellen Gefahren zu, die von schwachen Anmeldeinformationen über die Weitergabe von Zugriffsdaten bis zur Wiederverwendung veralteter Passwörter reichen. Häufig behalten ehemalige Mitarbeiter auch den Zugriff auf verwaiste Konten, die als Ausgangspunkt für Netzwerkangriffe dienen können. Besonders hohe Risiken entstehen, wenn die betreffenden Nutzer im Rahmen ihres Aufgabenprofils privilegierte Zugriffsrechte auf die IT-Umgebung haben. Folge: Hacker greifen gezielt Remote-Mitarbeiter und externe Dienstleister an, um mit geraubten Anmeldedaten in Unternehmensnetzen aktiv werden zu können.

Doch selbst Anbieter mit autorisierten Zugriffsrechten auf externe Netzwerke und Einzelapplikationen halten sich innerhalb der eigenen Organisation womöglich nicht an die gleichen IT-Sicherheitsanforderungen. In solchen Fällen können schwache und standardisierte Passwörter zum Einsatz kommen oder mehrere Personen die gleichen Zugangsdaten nutzen. Ebenso sind virtuelle private Netzwerke (VPN) eine riskante Praxis, um Drittanbietern den Zugriff von außen zu verschaffen, da sie ein beliebtes Hackerziel zur Kompromittierung von Lieferketten sind.

Im Privileged Access Threat Report von BeyondTrust wird dokumentiert, dass jede Woche durchschnittlich 182 Drittanbieter auf IT-Systeme von außen zugreifen. In jedem vierten Unternehmen mit mehr als 5.000 Mitarbeitern loggen sich demnach wöchentlich sogar 500 externe Dienstleister im Durchschnitt ein. Das Vertrauen gegenüber Lieferanten leidet unter dieser Entwicklung: 62 Prozent der befragten IT-Experten vermuten Sicherheitsverstöße durch kompromittierte Zugriffe von Drittanbietern.

Vendor Privileged Access Management

In ihrer Sicherheitsanalyse kommen viele Organisation daher zum Ergebnis, dass extern beauftragte Drittanbieter zu den größten Risiken für die eigene Unternehmenssicherheit zählen. Allerdings ist es schon aus wirtschaftlichen und personellen Zwängen unrealistisch, die IT-Umgebung einer Firma komplett von der Außenwelt abzuschneiden. Ziel sollte vielmehr sein, grundsätzliche Cybersecurity-Regeln durchgängig zu implementieren, um sichere Anbieterzugriffe zu ermöglichen.

Bei der Durchsetzung von Best-Practice-Sicherheitsvorgaben über den Netzwerkperimeter hinaus kommt Vendor Privileged Access Management (VPAM) ins Spiel. Das Konzept ermöglicht Organisationen, ausgewählten Lieferanten einen geschützten und kontrollierten Zugriff auf zugewiesene IT-Ressourcen im Unternehmensverbund zu verschaffen. Alle Verbindungen nach außen lassen sich durch das Management privilegierter Konten sowie integrierte Technologien und automatisierte Prozesse nach Zero-Trust-Sicherheitskriterien schützen. IT/OT-Abteilungen können Least-Privilege-Vorgaben durchsetzen, granulare Kontroll- und Visibilitätsvorgaben festlegen sowie stufenweise Erweiterungen zum Schutz der Zugangsdaten nutzen.

Zum Schutz gegen Hackeraktivitäten umfasst der Leistungskatalog ein Bündel an Sicherheitsmaßnahmen, die den Raub von Zugangsdaten, nicht autorisierte Erhöhungen von Privilegien, Malware-Infektionen und anderen Bedrohungen unterbinden können. Viele der genutzten Sicherheitskontrollen – wie das Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP), gesetzlich geforderte Datenschutzmaßnahmen oder kontinuierliche Authentifizierung – sollten ohnehin im Rahmen einer Zero-Trust-Sicherheitsarchitektur implementiert werden.