Get in touch
Nicht zuletzt durch Corona haben 2020 Homeoffice und Remote Work einen enormen Stellenwert im weltweiten Wirtschaftssystem eingenommen. Im gleichen Maße haben Cybersecurity-Threats zugenommen, da sich die Firmeninfrastruktur auf die Homeoffice-Arbeitsplätze ausweitet. Steffen Ritter erklärt, welche Gefahren sich durch Remote Work ergeben können, worum es bei dem Trend rund um Zero Trust Architectures geht und wie Remote Work in Zukunft sicherer gestaltet werden kann.
Remote Arbeit ist in den letzten Monaten bei den Unternehmen angekommen – und bei vielen statt der Ausnahme die Regel geworden. Dabei finden Mitarbeiter Gefallen am mobilen Arbeiten. Über die aktuellen politischen Diskussionen rund um ein Recht auf Homeoffice hinaus ist davon auszugehen, dass dieses Arbeitsmodell auch nach der COVID19-Pandemie nicht wieder einfach so verschwinden wird.
Ende September hat die Abteilung Cybersecurity im Bundeskriminalamt (BKA) das „Bundeslagebild Cybercrime 2019“ sowie die Sonderauswertung „Cybercrime in Zeiten der Corona-Pandemie“ veröffentlicht. Diese machen eindrucksvoll klar: Cybercrime ist auf bisherigem Höchststand und im Zuge der Corona-Pandemie haben sogenannte DDoS-Angriffe um 127 Prozent zugenommen. Woran liegt das?
Um sicher von zu Hause aus arbeiten zu können, ist es für den Mitarbeiter häufig nötig, eine Verbindung zur IT-Infrastruktur oder einzelnen Software-Systemen des Unternehmens aufzubauen, sollten diese nicht öffentlich im Internet verfügbar sein (wie zum Beispiel ein E-Mail-Server oder ein Helpdesk für Kunden).
Klassischerweise wird dazu ein VPN (Virtual Private Network) genutzt. VPN ist eine komplexe Technologie, die primär die Frage der Konnektivität löst, nicht aber die der Sicherheit.
Neben den bereits angedeuteten Sicherheitsaspekten gibt es noch weitere, alltägliche Hürden, die VPN-Setups mit sich bringen. Dies sind Endgeräte-Kompatibilität, Verfügbarkeit und Skalierung – die sich am Ende auch wieder in sicherheitsrelevante Themenbereiche auswirken können.
Wenn also die VPN-Infrastruktur einen Angriffsvektor anbietet und VPN-Verbindungen keine Sicherheitslösung darstellen, müssen die Sicherheitsmechanismen darüber hinaus implementiert werden. Das bedeutet zum einen ein entsprechendes Notfall- und Handlungskonzept für Angriffe auf das VPN, aber auch eine Absicherung der internen Systeme über die reine VPN-Konnektivität hinaus. Hierbei kommen sogenannte Zero-Trust-Konzepte zum Einsatz.
Vereinfacht gesagt beschreibt das Zero-Trust-Prinzip die Annahme, dass aus der Netzwerk-Konnektivität keine Authentizität oder Autorisierung abgeleitet werden darf. Oder etwas weniger technisch, dass der Anschluss an einen Netzwerk-Port in einem geschützten Perimeter noch lange nicht bedeutet, dass der Zugriff durch das angeschlossene Gerät gerechtfertigt ist.
Als früher Akteur im Bereich von Zero-Trust-Konzepten hat Google das BeyondCorp Framework etabliert. Die BeyondCorp-Referenz-Architektur stellt die Zugriffssicherung auf ein zentrales OpenID Connect basiertes Single Sign On um. Zu sichernde Applikationen werden durch einen sogenannten Identity Aware Proxy geschützt. Dieser ist jederzeit in der Lage, Mitarbeiter zu authentifizieren, gegenüber der Single Sign On-Lösung zu verifizieren und die generelle Applikationsberechtigung zu autorisieren, ohne dass spezielle Software notwendig ist oder die dahinterliegende Software angepasst werden muss – bevor der Netzwerkzugriff diese erreicht. Das Kernkonzept dabei ist, dass dies auch für Zugriffe innerhalb des Netzwerkes gilt, sodass die abgesicherten Applikationen auch öffentlich verfügbar sein könnten (wenn nötig).
VPN-Technologie wird nicht immer so problemlos unterstützt, wie man annehmen würde: Viele VPN-Gateways verwenden anstatt offener Standards herstellerspezifische Client-Software, die nur für einen gewissen Kreis an Endgeräten und Betriebssystemen verfügbar ist.
Nutzt man die VPN-Konnektivität nicht als primäres Sicherheitsmerkmal für den Zugriff auf ein System, dann kann man prinzipiell jedem internetfähigen Gerät den Zugriff aus dem Internet ermöglichen. Das heißt, eine Zugriffsberechtigung auf eine Applikation oder einen Dienst ergibt sich nicht aus dem Netzwerkperimeter, aus dem zugegriffen wird (Büro, VPN, Internet), sondern jeder Zugriff wird einzeln herkunftsunabhängig autorisiert. Dies funktioniert vor allem dann gut, wenn die Zugriffe in den Webbrowser verlagert werden können, bzw. die Dienste webbasiert sind. So ist ab Tag 0 jeder Mitarbeiter so flexibel wie nötig, egal ob zu Hause, im Büro oder vor Ort beim Kunden. DDoS-Angriffe auf die VPN-Gateways haben damit im Ergebnis weniger Einfluss auf die Produktivität der Mitarbeiter.
Viele Applikationen oder Dienste besitzen bereits applikationsspezifische Authentifizierung und sichern diese über eigene Rechte- & Rollenkonzepte ab. Ein VPN-Zugang ist in diesem Fall „nur” die Möglichkeit, das Netzwerkprotokoll der Applikation zu routen – also Konnektivität zum Netzwerk herzustellen. Aber wie viele Geräte sind tatsächlich in einem Firmennetzwerk präsent? Jedes noch so kleine Gadget verfügt mittlerweile über WLAN. Vor einigen Jahren war der „Drucker-Hack” groß in den Medien und noch heute kritisieren Sicherheitsforscher, dass Druckerhersteller die Sicherheitslücken in den IP-Interfaces nicht schließen. Die Gebäudeautomation oder das Alarmsystem sind zu Monitoring-Zwecken an das Netzwerk angeschlossen, der Türöffner und die Videokamera am Haupteingang ebenso. Neue Produkte werden von Forschung oder IT-Abteilung zum Ausprobieren in die Netzwerkdose eingesteckt, obwohl die Konfiguration noch Auslieferungszustand hat. Diese Liste an Beispielen für Netzwerkteilnehmer, an die man nicht immer sofort denkt, lässt sich endlos erweitern.
Mittels einer VPN-Verbindung haben Mitarbeiter jedoch in den meisten Fällen auch von anderen Standorten auf genau diese Geräte Zugriff – ohne weitere Authentifizierung und Sicherheitsmaßnahmen. Erhält ein neuer Dienst im Netzwerk beispielsweise zu Testzwecken eine provisorische Anbindung an das Active Directory oder das ERP, bedeutet das schnell auch einen ungesicherten Zugriff auf Unternehmensdaten – leider vermutlich ohne entsprechendem Audit-Trail, weil es sich ja nur um ein Test-System handelt.
Genau hier setzen Angreifer an. Denn, während die großen Applikationen und Dienste in der Regel gut gesichert und überwacht werden, werden solch nebenläufige häufig vergessen.
Nutzt man die VPN-Technologie, um eine Verbindung zum Unternehmensnetzwerk aufzubauen, so sollte der Client nicht einfach „im Firmennetzwerk” eingebunden sein, sondern erst einmal in einem isolierten Netzbereich. Über entsprechende Rollen oder Individualfreigaben werden dann die nötigen Punkt-zu-Punkt-Verbindungen einzeln freigegeben. Die vorab erwähnten Gefahren aus IoT-Geräten werden so drastisch reduziert.
Wer ist in der Lage, einen VPN-Benutzer zu blockieren? In welchen Systemen muss der Zugang eines Nutzers bei Missbrauch deaktiviert werden? Wird der Zugang direkt unterbunden, oder bleiben bereits bestehende Verbindungen/Nutzersessions offen? Gibt es vielleicht Backdoors im Netzwerk? Werden diese Maßnahmen regelmäßig überprüft und getestet?
So oder ähnlich müssen Fragestellungen lauten, die ein Notfallplan für Cyberattacken auf oder via VPN beantworten sollte. Werden mehrere Authentifizierungs-Mechanismen und Systeme im Unternehmen verwendet, steigt das Risiko, im Ernstfall nicht effizient handeln zu können oder gar Zugriffsberechtigungen zu vergessen.
Die Lösung dafür ist, die Zugriffssteuerung protokollunabhängig an einen Single-Sign-On-Dienst zu binden, der als zentrale Autorität für die Nutzer-Authentisierung gilt. In einem zweiten Schritt sollte sichergestellt werden, dass Nutzer-Sessions die Berechtigungen nicht nur einmalig zu Beginn prüfen, sondern erneut, in regelmäßigen, möglichst kurzen Intervallen.
Wenn dann Applikationszugriffe via HTTP erfolgen, ist das Ganze noch einfacher: Als zustandsloses Protokoll muss mit jedem Request die gegenseitige Identität erneut verifiziert werden. Im Ergebnis verlieren an einer zentralen Stelle gesperrte Accounts nach wenigen Sekunden jeden Zugriff.
Selbst vermeintlich statische Protokolle mit Public-Key-Authentifizierung wie SSH lassen sich dazu bewegen, die Identität regelmäßig während der Session erneut zu prüfen (bei SSH ist dies das sogenannte ReKey-Verfahren) und sich auch an Single-Sign-On-Services mit dynamischen Key-Management anbinden, anstatt auf langlebige Keys im Dateisystem zu vertrauen. Diese Keys müsste man auf jedem Hostsystem einzeln entfernen und Sessions einzeln beenden, um im Notfall den Zugang zu den Systemen mit dem kompromittierten Schlüsselpaar zu unterbinden.
Wenn, wie bereits vorab aufgeführt, HTTP genutzt wird, lassen sich darüber hinaus problemlos anonymisierte oder pseudonymisierte Logs anlegen, um im Ernstfall nachzuprüfen, welche Zugriffe erfolgt sind.
Je grundlegender eine Technologie, desto schwieriger diese auszutauschen. Reichte bei Unternehmensgründung vor 20 Jahren noch ein kleiner VPN-Gateway für eine Handvoll Mitarbeiter, die nur ab und an von zu Hause gearbeitet haben, bedeutet das nicht, dass dasselbe Gerät heute auch 500 Mitarbeitern problemlos den Zugriff ermöglichen kann. Andererseits ist das Ressourcen-Limit von Router und Internetanbindung kein Problem, das auf VPN-basierte Zugriffe beschränkt ist.
Mit wachsendem Mitarbeiterstamm wird sich auch die Menge und Diversität der zu sichernden Ressourcen drastisch erhöhen. Gleichzeitig erhöht sich die Varianz der zugestandenen Zugriffsrechte zwischen den Mitarbeitern. Die Erfahrung zeigt, dass beide Entwicklungen nicht linear sind. Entsprechend werden die Administration, das Management und die Überwachung des Zugriffs mit Unternehmenswachstum sehr schnell undurchsichtig und kompliziert. Das Risiko von Lücken in der Konfiguration oder verpasster Rechteanpassung steigt immens und ist schwerer zu behandeln als die Investition in leistungsstärkere Hardware.
Konzepte, die Zugriffsrechte zentral in einer Identity-Management-Lösung verwalten, helfen, diese Risiken zu minimieren. Idealerweise umfasst eine solche Lösung alle Zugriffe auf der Applikationsebene und soweit möglich auch darüber hinaus (zum Beispiel SSH, WiFi und ähnliches). Kombiniert mit einem passenden Rollenmanagement und Prozessen für die Gewährung und den Entzug selbiger ist ein Unternehmen so bestens gewappnet für zukünftige Herausforderungen.
Wer bereits VPN-Verbindungen für Remote Work nutzt, sollte überprüfen, wie uneingeschränkt die Verbindungen Netzwerkzugriff ermöglichen und dies auf notwendige Einzelfreigaben beschränken. Darüber hinaus sollte ein „Notfallplan” existieren, der die notwendigen Handlungen dokumentiert, um missbräuchliche Zugriffe zu erkennen und kurzfristig zu sperren.
Bei umfangreichem Rechtekonzepten und Applikationen lohnt es sich, ein Identity-Management-Projekt anzustoßen, das Login-Autorität in einer Single-Sign-On-Lösung zusammenfasst und Zugriffrechte von Einzelfreigaben in rollenbasierte Zugriffsgewährung wandelt. Dies ist die Grundlage für eine effiziente Umsetzung von Zero-Trust-Konzepten, mit denen auch Angriffe von innen besser handhabbar werden.
Es lohnt sich also, zur Analyse, Strategieentwicklung und Implementierung mit Experten aus dem Bereich moderner Identity-Management-Konzepte als Sparringpartner zusammenzuarbeiten. Ein Aufwand, der sich bei Unternehmensexpansion und steigenden Cybercrime-Aktivitäten mittelfristig definitiv auszahlt.
Dieser Beitrag ist zuerst im Magazin DIGITALE WELT erschienen. Wir freuen uns über Ihr Feedback und das Teilen des Artikels.