{"id":19453,"date":"2021-08-20T11:24:00","date_gmt":"2021-08-20T09:24:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19453"},"modified":"2021-08-16T10:43:21","modified_gmt":"2021-08-16T08:43:21","slug":"cybersicherheit-fernzugriffe-im-fokus","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19453","title":{"rendered":"Cybersicherheit: Fernzugriffe im Fokus"},"content":{"rendered":"\n

Autor\/Redakteur: Mohamed Ibbich, Lead Solutions Engineer bei BeyondTrust<\/a>\/gg<\/p>\n\n\n\n

Anfang Juni meldete Volkswagen in Nordamerika, dass die Daten von mehr als 3,3 Millionen Kunden durch eine Panne bei einem Gesch\u00e4ftspartner<\/a> in unbefugte H\u00e4nde gelangen konnten. \u00a0Neben Fahrzeug- und F\u00fchrerscheinnummern waren auch hochsensible Angaben wie US-Sozialversicherungs- und Kontonummern von dem riesigen Datenleck betroffen. Der Datenabfluss zeigt exemplarisch, wie fatal sich IT-Sicherheitsm\u00e4ngel bei Drittanbietern selbst f\u00fcr etablierte Weltkonzerne auswirken k\u00f6nnen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: BeyondTrust<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Findige Angreifer nutzen jede Chance, um an sensible Informationen zu gelangen. Kurz nach dem VW-Datenleak wurde in einem \u00e4hnlichen Fall bekannt, dass auch bei der Investmentbank Morgan Stanley<\/a> pers\u00f6nliche Kundendaten gestohlen wurden, weil Unbekannte in die IT-Systeme eines Partners eindringen konnten. Der verantwortliche Dienstleister r\u00e4umte ein, dass der Hackerangriff erst Monate nach der Entdeckung an Morgan Stanley gemeldet worden war.<\/p>\n\n\n\n

Zur Vermeidung von Cyber-Risiken durch Drittanbieter ist eine umfassende Sicht auf alle Remote-Zugriffe erforderlich, um wirksame Kontrollmechanismen implementieren und Zugriffe auf privilegierte Accounts sch\u00fctzen zu k\u00f6nnen. Im modernen Gesch\u00e4ftsumfeld verf\u00fcgen indes die unterschiedlichsten Nutzergruppen \u00fcber Zugriffsm\u00f6glichkeiten aus der Ferne. Mitarbeiter, Vertragspartner, Drittanbieter, Lieferanten und teilweise auch Kunden haben Remote-Zugriff auf IT-Ressourcen. Je nach Anwendungsfall gibt es dabei unterschiedlich hohe Risiken durch kompromittierte Endpunkte, zu weit gefasste Nutzerprivilegien, Malware-Infektionen oder schwache Passw\u00f6rter. F\u00fcr Unternehmensnetze erweisen sich die vielf\u00e4ltigen Remote-Access-Verbindungen immer h\u00e4ufiger als schmerzhafte Achillesferse im IT-Sicherheitsverbund.<\/p>\n\n\n\n

Der richtige Umgang mit Drittanbietern<\/strong><\/p>\n\n\n\n

In jedem Unternehmen kommen eine Vielzahl von IT-L\u00f6sungen und Anwendungen unterschiedlichster Anbieter zum Einsatz. F\u00fcr die Aufrechterhaltung des Gesch\u00e4ftsbetriebes ben\u00f6tigen diese Anbieter zwangsl\u00e4ufig Zugriffsm\u00f6glichkeiten von au\u00dfen, um Wartungsarbeiten durchzuf\u00fchren oder fehlerhafte IT-Prozesse zu beheben. Das Dilemma besteht also darin, legitime Fernzugriffe zuzulassen, ohne Risken durch Malware oder b\u00f6swillige Akteure einzugehen. Unternehmen, die auf notwendige Vorkehrungen f\u00fcr Drittanbieter verzichten, rei\u00dfen empfindliche L\u00fccken in ihr IT-Sicherheitskonzept.<\/p>\n\n\n\n

Marktforscher und IT-Experten sehen hier ein hohes Risiko. Laut Forrester Research werden bei mindestens 80 Prozent aller Cyberattacken gestohlene Zugangsdaten eingesetzt, um sich direkten Zugriff auf sensible Bereiche eines Unternehmens zu verschaffen. Je gr\u00f6\u00dfer das Lieferantennetzwerk, desto gr\u00f6\u00dfer ist auch die Wahrscheinlichkeit, dass es zu folgenschweren Sicherheitsverletzungen kommt. In Firmen mit mehr als 5.000 Mitarbeitern greifen jede Woche 182 Drittanbieter im Durchschnitt auf IT-Systeme zu, wie die IT-Sicherheitsstudie von BeyondTrust \u201ePrivileged Access Threat Report\u201c dokumentiert. Bei einem Viertel der befragten Unternehmen w\u00e4hlen sich w\u00f6chentlich inzwischen sogar 500 externe Dienstleister ein.<\/p>\n\n\n\n

F\u00fcnf Schritte zur Vermeidung von Remote-Access-Risiken<\/strong><\/p>\n\n\n\n

Angreifer nutzen Sicherheitsl\u00fccken bei den klassischen Remote-Access-Wegen konsequent aus, weil viele Organisationen mit der komplexen Aufgabe beim Schutz von Fernzugriffen \u00fcberfordert sind. Setzen externe Dienstleister im umgekehrten Fall nicht die empfohlenen Sicherheitsstandards durch, wirkt sich das negativ auf das eigene Unternehmen aus. Der Schaden potenziert sich, wenn die gleichen Anmeldeinformationen \u00fcber Unternehmensgrenzen hinaus verwendet werden. Besonders gef\u00e4hrlich wird es beispielsweise beim Aufbau von VPN-Verbindungen, deren Datenbewegungen und Befehlsketten nicht einsehbar sind.<\/p>\n\n\n\n\n\n\n\n

Mit den folgenden Schritten k\u00f6nnen IT-Verantwortliche die Netzwerkverbindungen von Drittanbietern nach IT-Sicherheitskriterien ausrichten, kontrollieren und sch\u00fctzen.<\/p>\n\n\n\n

1. \u00dcberwachung von Dienstleister-Verbindungen<\/strong><\/p>\n\n\n\n

Entscheidend bei der Durchsetzung der eingerichteten Vorgaben f\u00fcr den Systemzugriff ist, dass die Aktivit\u00e4ten von Drittanbietern umfassend kontrolliert werden. Zur Erreichung dieser Zielsetzung m\u00fcssen sich alle durchgef\u00fchrten IT-T\u00e4tigkeiten protokollieren und auswerten lassen. Mit den vollst\u00e4ndig aufgezeichneten Remote-Access-Sitzungen liegt ein umfassendes Daten- und Lagebild \u00fcber die Sicherheitslage im Netzwerk vor. Wichtig ist, dass die relevanten Informationen intelligent und kompakt abrufbar sind, um Trends und ungew\u00f6hnliche Vorg\u00e4nge auf einen Blick erkennen zu k\u00f6nnen. Bei identifizierten Verst\u00f6\u00dfen gegen die IT-Policy k\u00f6nnen IT-Verantwortliche dann im n\u00e4chsten Schritt eruieren, ob es sich um einfache Bedienungsfehler oder aber verd\u00e4chtige Aktivit\u00e4ten handelt.<\/p>\n\n\n\n

Eine wirksame Kontrolle f\u00e4ngt mit der Bestandsaufnahme aller IT-Sitzungen von Drittanbietern an. Hierbei wird erfasst, von wo die einzelnen Verbindungen aufgebaut werden, mit welchen Rechnern externe Dienstleister verbunden sind, und welche Zugriffsrechte sie dabei haben. Auch die Firewall-Regeln m\u00fcssen immer wieder nachjustiert werden, damit keine aktiven Verbindungen von unbekannten Quellen bestehen. Au\u00dferdem sind regelm\u00e4\u00dfige Schwachstellen-Scans auf den nach au\u00dfen gerichteten Hosts empfehlenswert, um nach Diensten zu suchen, die auf eingehende Verbindungen warten. Ein weiterer Pr\u00fcfpunkt ist die Einhaltung der Passwort-Sicherheitsrichtlinien f\u00fcr Konten mit eingehenden Netzwerkverbindungen.<\/p>\n\n\n\n

2. Interne Sicherheitsvorkehrungen mit mehreren Schutzschichten<\/strong><\/p>\n\n\n\n

Der Schutz vor Sicherheitsbedrohungen durch Drittanbieter gelingt am besten, wenn Organisationen eine mehrstufige Verteidigungsstrategie fahren, die das Gesamtunternehmen einbezieht. Sie umfasst l\u00fcckenlose Verschl\u00fcsselung, Multi-Faktor-Authentifizierung und strenge Datenschutzregeln, um alle Endpunkte, Mobilger\u00e4te, Applikationen und Informationen vor Missbrauch sch\u00fctzen zu k\u00f6nnen. In diesem Zusammenhang ist ebenfalls wichtig, dass im gesamten Unternehmen und auch auf Seiten der Kunden und Lieferanten die Sicherheitsvorkehrungen verstanden werden. Die Botschaft f\u00fcr alle Beteiligten muss sein, dass die Risiken ernst zu nehmen und real sind.<\/p>\n\n\n\n

In der Regel werden IT-Abteilungen schon w\u00e4hrend aktueller Supportsitzungen vor Einbruchsversuchen und Hacker-Attacken gewarnt. Je aussagekr\u00e4ftiger die Alerts sind, desto schneller und zielgerichteter k\u00f6nnen IT-Administratoren dabei reagieren. Mitunter werden potenzielle Gefahren aber auch erst im Nachhinein erkannt. Anhand der protokollierten \u00c4nderungen und Daten\u00fcbertragungen im Netzwerk ist dann nachvollziehbar, welche internen oder gesetzlichen Sicherheitsvorgaben nicht eingehalten wurden. Abschlie\u00dfend k\u00f6nnen die eigenen IT-Systeme und Arbeitsabl\u00e4ufe entsprechend aktualisiert und gem\u00e4\u00df den neu justierten Sicherheitsma\u00dfnahmen \u00fcberwacht werden.<\/p>\n\n\n\n

3. Pr\u00fcfung von Drittanbieterstandards<\/strong><\/p>\n\n\n\n

Bei assoziierten Dienstleistern muss unbedingt und nachpr\u00fcfbar geregelt werden, wer auf welches System zu welchem Zeitpunkt zugreifen darf. Deshalb d\u00fcrfen Nutzer niemals einen gemeinsamen Passwortschl\u00fcssel f\u00fcr den Zutritt zu sensiblen Datensystemen erhalten. Best-Practice-Empfehlungen sehen vielmehr vor, dass jeder Anwender individuelle Zugangsdaten nutzt, um alle durchgef\u00fchrten Konfigurationen auch stets den jeweiligen Administratoren zuordnen zu k\u00f6nnen. Auf diese Weise erreichen Firmen eine zus\u00e4tzliche Sicherheit und Transparenz.<\/p>\n\n\n\n

Selbst die vertrauensw\u00fcrdigsten Gesch\u00e4ftspartner k\u00f6nnen IT-Bedrohungen verursachen, wenn sie nicht die erforderlichen Sicherheitsstandards einhalten. Dieser Qualit\u00e4tsprozess umfasst, dass aktuelle Patches konsequent eingespielt und neu erkannte Schwachstellen geschlossen werden. Am besten regeln Organisationen per Service Level Agreement (SLA) ganz pr\u00e4zise, welche speziellen IT-Sicherheitsregeln die vertraglich gebundenen Drittanbieter einzuhalten haben. Die Sicherheitsstandards von Gesch\u00e4ftspartnern m\u00fcssen immer wieder \u00fcberpr\u00fcft werden, um auch gestiegene IT-Sicherheitsvorgaben einzuhalten.<\/p>\n\n\n\n

4. Nutzerkontrolle und Authentifikation<\/strong><\/p>\n\n\n\n

H\u00e4ufig sind Anmeldeinformationen von Anbietern und Partnern nur schwach gesichert und k\u00f6nnen irrt\u00fcmlich offengelegt werden. Mit einem proaktiven Ansatz bei der IT-Verwaltung lassen sich die Anmeldeinformationen besser steuern und damit auch sch\u00fctzen. Es empfiehlt sich, gemeinsam genutzte Konten zu entfernen, ein konsequentes Onboarding durchzusetzen und durch Hintergrundpr\u00fcfungen eine eindeutige Identifizierung von Dienstleistern oder Partnern zu erreichen, die auf verschiedene IT-Systeme im Unternehmen zugreifen.<\/p>\n\n\n\n

Die Mehrzahl der angeschlossenen Drittanbieter ben\u00f6tigt Zugriffsrechte nur f\u00fcr ganz bestimmte IT-Systeme, um ihre zugewiesenen Aufgaben erledigen zu k\u00f6nnen. Daher ist es nicht zielf\u00fchrend, externen Technikern zu jeder Zeit einen vollst\u00e4ndigen Zugriff auf gesch\u00e4ftskritische Datensysteme zu erlauben. Es reicht stattdessen vollkommen aus, wenn dieser ausgew\u00e4hlte Personenkreis lediglich \u00fcber individuelle und (tempor\u00e4r) beschr\u00e4nkte Zugriffsrechte auf IT-Systeme und Funktionen verf\u00fcgt.<\/p>\n\n\n\n

Die granulare Kontrolle von Fernzugriffen schafft ein h\u00f6heres Sicherheitsniveau. In einem weiteren Schritt k\u00f6nnen Unternehmen den Zugriff per physischer oder logischer Netzwerksegmentierung auf bekannte Kommunikationskan\u00e4le beschr\u00e4nken. Am besten w\u00e4hlen sich Support-Techniker dabei per Zwei-Wege-Authentifizierung beim Remote-Access-Tool ein. Auf diese Weise wird Angreifern ein Riegel vorgeschoben und wichtige Compliance-Regularien (zum Beispiel f\u00fcr den PCI-DSS, Payment Card Industry Data Security Standard) eingehalten.<\/p>\n\n\n\n

5. Vermeidung von nicht autorisierten Befehlen und Konfigurationsfehlern<\/strong><\/p>\n\n\n\n

Enterprise-L\u00f6sungen f\u00fcr die Zugriffsverwaltung wie BeyondTrust Privileged Access Management sperren nicht erlaubte Protokolle und leiten s\u00e4mtliche Verbindungen \u00fcber einen einheitlichen Zugriffspfad, um die Angriffsfl\u00e4che zu minimieren. So werden nicht nur fein abgestimmte Berechtigungskontrollen durchgef\u00fchrt, sondern im ganzen Rechnerverbund auch Least-Privilege-Strategien durchgesetzt. Das informationstechnische Konzept der geringsten Privilegien sieht vor, dass Zugriffsrechte von Anwendern auf das tats\u00e4chlich ben\u00f6tigte Ma\u00df beschr\u00e4nkt werden. Positive Folge: Konfigurations- und Bedienungsfehler der Benutzer werden dadurch von vorneherein unterbunden.<\/p>\n\n\n\n

Aktuelle Ransomware-Kampagnen mit weitreichenden Folgen und Sch\u00e4den f\u00fcr den gesamten Unternehmensverbund zeigen immer wieder, wie wertvoll solche Sicherheitsma\u00dfnahmen im IT-Umfeld sind. Nicht erw\u00fcnschte Befehle lassen sich bei einfachen Anwendern einschr\u00e4nken und IT-Systeme durch Positiv- und Negativlisten vor Bedrohungen oder unerw\u00fcnschten Aktionen sch\u00fctzen. F\u00fcr den t\u00e4glichen Betrieb k\u00f6nnen Unternehmen den autorisierten Benutzern unterschiedliche Berechtigungsstufen f\u00fcr verschiedene Zielsysteme zuordnen. Eine situations- oder applikationsbezogene Erh\u00f6hung individueller Berechtigungen verschafft IT-Abteilungen dabei ein hohes Ma\u00df an Kontrolle und Flexibilit\u00e4t. Das Risiko von Sicherheits- und Datenschutzverletzungen durch Drittanbieter ist einfach viel zu gro\u00df, als dass IT-Verantwortliche es ignorieren k\u00f6nnten. Der oben skizzierte Ma\u00dfnahmenkatalog ist dabei nur der Ausgangspunkt f\u00fcr eine umfassende Sicherheitsstrategie. Die Herausforderung bei der Einbindung von externen Gesch\u00e4ftspartnern bleibt, neue Sicherheitsl\u00fccken und potenzielle Gefahren im Rahmen eines funktionierenden IT-Risikomanagements ganzheitlich zu beheben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Anfang Juni meldete Volkswagen in Nordamerika, dass die Daten von mehr als 3,3 Millionen Kunden durch eine Panne bei einem Gesch\u00e4ftspartner in unbefugte H\u00e4nde gelangen konnten. \u00a0Neben Fahrzeug- und F\u00fchrerscheinnummern waren auch hochsensible Angaben wie US-Sozialversicherungs- und Kontonummern von dem riesigen Datenleck betroffen. Der Datenabfluss zeigt exemplarisch, wie fatal sich IT-Sicherheitsm\u00e4ngel bei Drittanbietern selbst f\u00fcr etablierte Weltkonzerne auswirken k\u00f6nnen.<\/p>\n","protected":false},"author":1,"featured_media":19455,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8],"tags":[342,12411,3106,1362,15110,36],"class_list":["post-19453","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-authentifizierung","tag-beyondtrust","tag-dienstleister","tag-konfiguration","tag-nutzerkontrolle","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19453"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19453\/revisions"}],"predecessor-version":[{"id":19456,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19453\/revisions\/19456"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19455"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}