IT-Security
18.09.2020, 17:00 Uhr
Schutzkonzepte für den Remote-Workplace
Nicht zuletzt durch die Corona-Krise und den damit verbundenen Trend zum Homeoffice werden die Mitarbeiter immer mobiler. Dafür braucht es jedoch besondere Sicherheitstechnik.
Das Arbeiten in sogenannten Homeoffices oder gar das «freie», mobile Arbeiten an Orten wie Kaffeehausketten oder auf der Terrasse des Hotels war bis vor nicht allzu langer Zeit in vielen Unternehmen verpönt. Die Corona-Krise hat diese Einstellung wenigsten in Bezug auf das Arbeiten in den eigenen vier Wänden zwangläufig verändert.
Und auch wenn wohl einige Unternehmen diese «Befreiung» ihrer Mitarbeitenden aus dem Büro gerne so schnell wie möglich wieder rückgängig machen möchten und das sicher in vielen Fällen auch machen werden, haben sich die IT-Infrastrukturen doch geändert: Die Mitarbeiter können durch das mobile und Remote-Arbeiten im noch grösseren Umfang als dies bei BYOD-Konzepten und -Lösungen der Fall war, weitgehend frei zwischen Geräten, WLAN- und Cloud-Zugängen und den verschiedensten Online-Angeboten für Business-Anwendungen wählen. Auf diese Weise werden dann die Grenzen der Sicherheit immer weiter aus Unternehmen hinausgeschoben – wodurch es für die IT immer schwerer wird, in umfassende Sicherheit sowohl für die Mitarbeiter als auch für die Daten zu gewährleisten.
Wir haben uns mit Security-Spezialisten über diese Problematik und die Lösungsansätze ausgetauscht, die sie für diese Fälle anbieten und empfehlen. Sie sollten uns dabei auch Antworten darauf geben, wie es für CIOs, IT-Administratoren und -Verantwortliche möglich ist, zu verhindern, dass mobile und Remote-Arbeitsplätze ebenso wie solche im Home-Office zu Startpunkten für sogenannte Supply-Chain-Angriffe auf das Unternehmensnetzwerk werden. Dabei handelt es nicht allein um Angriffe auf die VPN-Verbindungen (Virtual Private Networks), auch wenn diese zunehmend wieder an Bedeutung gewinnen. Aber auch die von den Mitarbeitern remote eingesetzten Geräte können mit Malware infiziert sein, so dass die Bedrohungen auf diese Weise ihren Weg in das Unternehmensnetzwerk finden.
Die Sicherheitsfachleute von Trend Micro haben bereits mehrfach davor gewarnt, dass vernetzte Geräte als Gateway für Attacken auf Unternehmensnetzwerke als ein Teil dieser Supply-Chain-Angriffe immer häufiger auftauchen werden. Solche immer besser ausgearbeiteten Angriffe werden dann - so die Prognose - die Kompromittierung von Geschäfts-Emails und Prozessen weit über die einfache Umleitung von Geldern oder Malware-Infektionen hinaus erweitern.
Alte Technik: VPN und RDP
Die Analysten von Gartner haben sich im März 2020 mit den Herausforderungen beim Einsatz von Remote Access Lösungen befasst. Dabei stellen sie zu Anfang ganz richtig fest, das Unternehmen seit mehr als 20 Jahren auf VPNs setzen, wenn sie ihren Mitarbeitern den Zugriff auf die Anwendungen und Daten im Unternehmen ermöglichen wollen. Wie die Experten in ihrem Bericht bemerken, hat sich die Abhängigkeit von VPN gestützten Lösungen in den letzten Jahren insgesamt stark verringert – weshalb sie zu Recht behaupten, dass VPN-Lösungen in der Zeit vor Covid-19 eher in den Hintergrund traten, als immer mehr Unternehmen sich Cloud-basierter Lösungen widmeten, um Mitarbeiter ausserhalb des Unternehmens einzubinden.
Allerdings gehen viele Firmen immer noch so vor, dass sie alle Zugriffe und den gesamten Netzwerkverkehr zunächst stets durch das Unternehmensnetzwerk leiten, auch wenn das Ziel eine Anwendung in der Cloud ist. Diese Vorgehensweise verursacht dann nicht selten Engpässe bei der Performance oder verhindert oft auch den Zugang zu den benötigten Ressourcen. Diese Hindernisse können dann erfahrungsgemäss leider auch dazu führen, dass die Remote-Nutzer Wege suchen und finden, die Sicherheitsmechanismen zu umgehen, um beispielsweise direkt auf eine Cloud-Anwendung zuzugreifen.
Oftmals sind die Unternehmen auch nicht dazu in der Lage, genug Ressourcen bereitzustellen, um im wirklich alle Mitarbeiter mit einem VPN-Zugang auszustatten, so dass denen nur der direkte Web-Zugriff unter Umgehung der Firmen-IT und deren Sicherheitsvorrichtungen bleibt.
Die von vielen schon als «aussterbende Technologie» eingeordneten VPN-Lösungen haben durch die aktuelle Situation eine grosse Renaissance erlebt. Viele Anbieter werben damit, dass dein solches VPN schnell eingerichtet ist: Da sollte es doch reichen, die Mitarbeiter mit VPN-Software auszurüsten. Oder aber die Windows-Rechner mittels RDP (Remote Desktop Protocol), das ja standardmässig auf den Systemen vorhanden ist, einfach mit dem Firmennetzwerk zu verbinden.
Kontrollverlust und Einfallstor für Ransomware
Diese Vorschläge und Vorgehensweisen betrachtet Mohamed Ibbich, Lead Solutions Engineer bei BeyondTrust, einem amerikanischen Unternehmen, das sich unter anderem auf Produkte für privilegiertes Identitätsmanagement und privilegierten Remotezugriff spezialisiert hat, mit Vorsicht. «Auch wenn VPNs schnell einzurichten sind, ist es dennoch schwierig, darüber den nötigen Grad an Kontrolle umzusetzen, der für Fernzugriffe auf interne Zielsysteme notwendig ist», fasste er seine Bedenken im Gespräch zusammen.
Auch die Zugriffe über RDP bergen nach seinen Aussagen zu viele Sicherheitsrisiken und stellen in vielen Fällen ein Einfallstor für Ransomware dar: «Im Internet hat sich über die letzten Jahre ein ganzes Geschäftsmodell rund um RDP und gekaperte Systeme entwickelt», betont er seine Warnung. Er rät Unternehmen ganz unabhängig von ihrer Grösse auf Ansätze zurückgreifen, die ihnen einen sicheren Fernzugriff ermöglichen. Dabei sei besonders wichtig – so Ibbich weiter – diese mit der bereits bestehenden Infrastruktur zu vereinen, um beispielsweise die gleichen Authentisierungsmechanismen nutzen zu können.
“Erfahrungsgemäss passieren bei der überhasteten Einführung von neuen Werkzeugen viele Fehler. Daher ist oft besser, auf eine bestehende oder bewährte Lösung zu setzen, als übereilt etwas Neues auszurollen„
Udo Schneider, Security Evangelist bei Trend Micro
Udo Schneider, Security Evangelist bei Trend Micro, weist ebenfalls auf die Problematik bei Einsatz von RDP hin: «Bei RDP verbindet man sich auf einen Server im Firmennetzwerk und kommuniziert dann von da aus. Ist bereits ein RDP-Server eingerichtet, scheint es auf den ersten Blick natürlich verlockend, diesen einfach von aussen erreichbar zu machen. Leider ist RDP in der Vergangenheit auch ein Einfallstor für Angriffe gewesen. Daher ist es in diesem Fall immens wichtig, den erreichbaren RDP-Server immer aktuell zu halten und eventuell auch durch Zusatzmassnahmen wie IDP-Systeme (Identity Provider) und Virtual Patching vor Angriffen zu schützen», fasst er seine Empfehlung zusammen. Er verwies in diesem Zusammenhang auch auf die Sicherheitslücke «BlueKeep»2, die in der Implementierung des RDP-Protokolls schon vor einiger Zeit entdeckt und bereits häufiger ausgenutzt wurde. Sie ermöglicht die Remote-Ausführung von Code.
Allerdings weiss Schneider auch um Vorteile des RDP-Einsatzes, die oft angeführt werden: «Gerade wenn man vorher innerhalb der Firma mit grossen Datenmengen gearbeitet hat, spricht dies unter Umständen für RDP. Da man bei RDP ‹nur› die Ein-/Ausgabe überträgt, kann man zum Beispiel innerhalb der Firma mit voller Geschwindigkeit Gigabytes an Daten übertragen», warnt aber trotzdem: «Auf der anderen Seite können Anwendungen wie Videokonferenzen über RDP problematisch sein. Gerade wenn mehrere Personen gleichzeitig Konferenzdienste nutzen, kann die Bandbreite der Internetanbindung in der Firma ein Problem werden. Von eventuellen Latenzen einmal ganz zu schweigen.»
Für beide Fälle – also sowohl für den VPN- als auch den RDP-Einsatz – lautet die Empfehlung des Security-Experten: «Wenn bereits eine Zugriffsmöglichkeit besteht – ob nun VPN, RDP oder andere – man diese auch nutzen sollte. Erfahrungsgemäss passieren bei der überhasteten Einführung von neuen Werkzeugen viele Fehler. Daher ist oft besser, auf eine bestehende/bewährte Lösung zu setzen, als übereilt etwas Neues auszurollen.»