Sysbus
ArtikelAuthentifizierung

Acht Maßnahmen für sicheren Fernzugriff

dcg

Autor/Redakteur: Mohamed Ibbich, Director Solutions Engineering, BeyondTrust/gg

Gesetzliche Kontaktbeschränkungen haben Homeoffice und mobiles Arbeiten während der Corona-Jahre zum Durchbruch verholfen. Mittlerweile arbeiten Angestellte durchschnittlich einen Tag in der Woche von zuhause aus — mit steigender Tendenz. Damit werden Sicherheit und Datenschutz bei Remote-Access-Verbindungen aus unterschiedlichen IT-Umgebungen immer wichtiger.

Quelle: BeyondTrust Corporation

Mit dem ersten Corona-Lockdown schickten Organisationen ihre Mitarbeiter nach Hause, damit sie flexibel von dort arbeiten konnten. Laut einer aktuellen Studie vom Arbeitgeberverband des privaten Bankgewerbes arbeiteten Anfang 2020 rund ein Viertel der Beschäftigten mindestens gelegentlich mobil — aktuell sind es schon zwei Drittel. Ähnliche Entwicklungen gab es in allen Branchen, wobei die Umstellung notgedrungen innerhalb kürzester Zeit erfolgen musste.

Verlagerung auf Remote-Work-Strukturen

Der innerhalb kürzester Zeit ausgebaute Anteil von Remote-Work-Strukturen führte notgedrungen dazu, dass Sicherheitsfragen zum Teil vernachlässigt wurden. Das betrifft beispielsweise die stark gestiegenen Zahlen bei Privatgeräten, die mittlerweile in Firmenumgebungen anzutreffen sind. Durch den Einsatz eigener Mobilgeräte im Rahmen von BYOD-Initiativen und vernetzte Privatgeräte im Heimbüro verursachen Remote-Mitarbeiter zusätzliche Risiken. Es wird immer schwieriger für IT-Teams, die wachsende Infrastruktur zu verwalten, zu auditieren und nachzuvollziehen, welche Endgeräte verwendet werden.

Schatten-IT mit den damit verbundenen Anfälligkeiten und Schwachstellen kann zum Einfallstor für Angreifer werden. Aktuelle Beispiele dokumentieren die Gefahr: So nutzten kriminelle Hacker das Remote Desktop Protocol, um die Kontrolle über IT-Systeme zu erlangen. Ein weiteres Beispiel ist ZenRAT: Bei dem vermeintlichen Passwort-Manager handelt es sich in Wahrheit um Malware, die als Remote Access Trojaner vertrauliche Informationen stiehlt. Und unlängst wurde eine Zero-Day-Schwachstelle in der VPN-Funktion von Routern aktiv ausgenutzt, um Unternehmensnetzwerke zu infiltrieren.

Digitaler Wandel im Homeoffice

Es reicht nicht nur, dass IT-Verantwortliche ihren Mitarbeitern den Zugriff auf Firmennetze gewähren, sondern Anwender benötigen auch Privilegien und Zugangsdaten, um mit internen Systemen arbeiten zu können. Der Verwaltungsaufwand eines derart komplexen Privilegien-Managements für alle Mitarbeiter ist enorm. Und damit ist es noch nicht getan: Der Privileged Access Threat Report von BeyondTrust dokumentiert, dass zusätzlich jede Woche durchschnittlich 182 Drittanbieter auf IT-Systeme von außen zugreifen. In jedem vierten Unternehmen mit mehr als 5.000 Mitarbeitern wählen sich demnach wöchentlich sogar 500 externe Dienstleister im Durchschnitt ein. Folge: 62 Prozent der befragten IT-Experten vermuten Sicherheitsverstöße durch kompromittierte Zugriffe.

Auf Basis des Zero-Trust-Sicherheitsmodells grenzen IT-Administratoren daher die Bewegungsspielräume von Geräten, Nutzern und Diensten ein. Das Zero-Trust-Modell basiert auf der Erstellung von Zonen, die sensible IT-Ressourcen vor unbefugten Zugriffen abschotten. Diese Segmentierung umfasst auch die Bereitstellung von Technologien zur Überwachung und Verwaltung von Datenübertragungen sowie Benutzerinteraktionen. Die Architektur eines vertrauenswürdigen Netzwerks wird im Vergleich zum klassischen, festen Unternehmensperimeter neu definiert und die Sicherheitsmaßnahmen verlagern sich auf die Datenebene.

Quelle: BeyondTrust Corporation

Acht Schritte zur Abhilfe

Dafür kommen Cybersicherheitsmuster zum Einsatz, die Sicherheitsvorkehrungen für Benutzer und IT-Ressourcen treffen. Hier sind acht Best-Practice-Empfehlungen:

  1. Einschränkung der Zugriffe auf Zielsysteme. Geben Sie Mitarbeitern und Dienstleistern nicht uneingeschränkten Zugriff für auf ein bestimmtes Netzwerksegment. Notwendig sind eine umfassende Kontrolle und Überwachung, auf welche Zielsysteme ein Nutzer zugreifen darf.
  2. Festlegung zulässiger Zugriffswege und Protokolle. Schränken Sie den Zugang bedarfsgerecht ein. Beim Zugriff auf einen Webdienst reicht es, wenn das Web-Frontend sichtbar ist. Zugriffsrechte auf den dahinterliegenden Server oder dort lagernde Daten hingegen sind unnötig. Nutzer benötigen keinen Komplettzugriff über alle Protokolle hinweg, sondern beispielsweise nur RDP für Windows oder SSH für ein Linux-System.
  3. Keine unüberwachten Zugänge. Stellen Sie eine lückenlose Aufzeichnung aller Remote-Access-Aktivitäten sicher. Nötig ist eine auditierbare Protokollierung, wer wann in welcher Weise auf unterschiedliche Dienste zugreift.
  4. Multi-Faktor-Authentifizierung. Verringern Sie das Risiko von Cyberangriffen unter falscher Identität. Multi-Faktor-Authentifizierungslösungen mit Single Sign-on und Privileged Access Management verhindern den Diebstahl von Anmeldedaten. Digitale Identitäten von Mitarbeitern und Dienstleistern lassen sich so zweifelsfrei überprüfen.
  5. Kein Direktzugriff für unbekannte Geräte. Setzen externe Nutzer neue Endgeräte ein, wird der Zugriff auf IT-Systeme automatisch verweigert. Dieser Zero-Trust-Ansatz verhindert, dass grundsätzlich ein Peer-to-Peer-Zugang zur Verfügung gestellt wird.
  6. Implementierung von Approval Workflows. Bestimmte IT-Systeme benötigen zusätzliche Genehmigungen, die einen festen Zeitrahmen für erlaubte Zugriffe vordefinieren. Remote-Access-Verbindungen können dann nicht rund um die Uhr aufgebaut werden. Alternativ lassen sich für kritische Systeme auch Genehmigungsprozesse hinterlegen, die einen Zugriff nur per gesonderter Anfrage autorisieren.
  7. Überwachung mit SIEM-Tools. Alle Zugriffe, Anmeldungen und Anfragen fließen in eine Datenkorrelation ein, um eine lückenlose Überwachung und schnelle Reaktion sicherzustellen.
  8. Verwaltung und Nutzung (Einspeisung) von Kennwörtern. Angestellte und Dienstleister sehen Passwörter und Zugangsdaten nicht im Klartext. Zugangskennwörter werden vielmehr für ein begrenztes Zeitfenster blicksicher zugestellt.

Schon mit den ersten drei Schritten haben Sicherheitsverantwortliche eine wesentlich bessere Kontrolle, was im Netzwerk passiert. Monitoring-Systeme, die das Netzwerk überwachen, können dann zielgerichtet auf Aktivitäten ausgerichtet werden, die außerhalb dieser Zugriffswege liegen. Nutzeraktivitäten, die über genehmigte Systemzugriffe und Protokolle hinausgehen, fallen direkt auf und lösen Alerts aus. Alles außerhalb des konfigurierten Regelwerks ist verdächtig und kann gezielt adressiert werden.

Einsatz von sicheren Remote Access-Lösungen

Der digitale Wandel führt zu neuen Arbeitsmodellen mit einem starken Trend hin zu mobiler Arbeit und zum Homeoffice. Unternehmen nutzen die Möglichkeiten, ihren geschäftlichen Betrieb in schwierigen Zeiten am Laufen zu halten. Auch 30 Prozent der Arbeitnehmer möchten laut einer Studie der EZB mehr von zu Hause aus arbeiten. Und so hat sich das Ausmaß der Mobilarbeit seit Beginn der staatlichen Corona-Maßnahmen mehr als verdoppelt. Viele Organisationen haben allerdings ihre Remote-Work-Konzepte eher hastig umgesetzt, oft zum Nachteil der Datensicherheit. Mit Blick auf eine wachsende Zahl von Benutzern ist es wichtig, dass Firmen passende Prozesse und Tools implementieren, die für mehr Sicherheit sorgen. Hier setzen Zero-Trust-Sicherheitskonzepte an, um die digitale Transformation durch geschützte Fernzugriffe und hohe Skalierbarkeit zu unterstützen.

Ähnliche Beiträge:

  1. Erweiterte Privilege-Management-Funktionen für Linux-Desktops mit Unterstützung von Azure Active Directory (AD)
  2. BeyondTrust erweitert die Passwortverwaltung um zusätzliche Plattformen und vereinfacht das IT-Management privilegierter Zugangsdaten
  3. Die drei Transformationssäulen von Zero Trust
  4. Drei Gründe, warum Zero Trust die Bot-, Web- und API-Sicherheit erhöht

Das könnte dir auch gefallen

RPA Fast Lane: CGI begleitet Unternehmen in einer Woche zur RPA-Lösung

gg

Gekommen, um zu bleiben – man muss auf Ransomware vorbereitet sein

gcg

Die richtige Infrastruktur für das IoT

gcg