Anzeige: Sichere Zugänge unabhängig vom Perimeter

Strategien für sicheres Home- und Gig-Working

10. Juli 2020, 8:30 Uhr | Wolfgang Rieger, Senior Business Development bei Tech Data.

Auch wenn es hoffentlich bald eine Ära nach der Ausnahmesituation geben wird, schon jetzt zeichnet sich ab, dass vieles dann anders sein wird als vorher. Das Thema Homeworking etwa, beziehungsweise das Arbeiten von alternativen Örtlichkeiten aus, wird erheblich präsenter sein als vor der Krise. Einige postulieren diese Arbeitsform sogar als Masterplan für die Zukunft. Aber spätestens, wenn dafür langfristige Lösungen aufgesetzt werden sollen, ist für Unternehmen ein Umdenken dringend erforderlich. Eine tragfähige Security-Strategie sollte den sicheren Access auf die benötigten Anwendungen garantieren - nicht nur für Angestellte, sondern auch für Gig-Worker.

Das Arbeiten von Zuhause hat zwar während der Pandemie deutlich an Popularität gewonnen, für viele Unternehmen war es jedoch auch schon lange vor der Krise ein beliebtes und weitreichend praktiziertes Arbeitsmodell. Laut einer Studie von FlexJobs („The State of Telecommuting“, 2017), sind 86 Prozent der Beschäftigten der Meinung, dass das Arbeiten von Zuhause aus den Stress-Level deutlich reduziert. Owl Labs fand in seiner Studie von 2018, (“The State of Remote Work”), heraus, dass Firmen, die Ihren Mitarbeitern Homeworking anbieten, bis zu 25 Prozent weniger Fluktuation haben als solche, die das nicht erlauben. Und eine interessante Prognose: Laut dem „Future Workforce Report 2019“ von Upwork sollen sich bis 2028 in 73 Prozent aller Unternehmensabteilungen auch remote Arbeitsplätze befinden.

Mit der Einbindung von Heimarbeitsplätzen der Mitarbeiter haben Geräte auf zentrale Unternehmensanwendungen Zugriff, die sich nicht im geschützten Bereich des eigenen Netzwerks befinden. Dennoch muss das Unternehmen dafür Sorge tragen, dass dieser Zugriff auch von dort sicher, bequem und zuverlässig möglich ist. Viele Unternehmen versuchen das, indem sie den Umfang ihres Netzwerks, den sogenannten Perimeter, entsprechend erweitern. Schon das kann je nach Zahl von Heimarbeitsplätzen, Art und Qualität der zur Verfügung stehenden öffentlichen Infrastrukturen und weiteren Faktoren sehr herausfordernd sein.

Perimeter nicht beliebig erweiterbar

In der Praxis kommen jedoch sehr oft noch weitere remote Situationen dazu, die das Prinzip „Erweitern des Perimeters“ schnell zum Scheitern bringen: eine umfangreichere mobile Workforce beispielsweise, die Einbindung von öffentlichen Wi-Fi-Hotspots, oder die Anbindung kompletter Niederlassungen. Ein starker Trend ist derzeit des Weiteren das Anheuern von „Gig-Workern“, also selbständigen Dienstleistern, die heute für die eine und morgen für eine andere Firma Aufträge abarbeiten. Auch sie arbeiten inzwischen mehr und mehr von zuhause aus und auch sie brauchen Zugriff auf bestimmte Unternehmens-Apps, nur eben zeitlich und von ihrer Ausstattung mit Zugriffsrechten scharf limitiert. Spätestens hier fliegt Unternehmen der Ansatz, die Aufgabe durch eine Erweiterung des Perimeters lösen zu wollen, spektakulär um die Ohren: Der extreme Aufwand dafür ließe sich in keiner Modellrechnung wirtschaftlich darstellen. Die Kosten für selbst einfache Dinge wie prozessgesteuertes On-/Offboarding, Definition und Gewährung der Zugriffsrechte, beziehungsweise Aufhebung dieser Rechte, wenn das entsprechende Projekt abgeschlossen ist, würden ins Uferlose laufen.

Wenn ein Unternehmen nicht ständig mit dem Umbau seines Netzwerk-Perimeters beschäftigt sein - allen remote Workern aber dennoch einen sicheren und komfortablen Zugriff auf Unternehmens-Apps gewähren möchte - welche Möglichkeiten gibt es dann? Auf diese Frage gibt es natürlich nicht nur eine einzige Antwort, aber mindestens eine überraschend einfache: Hardware- oder Software-Token im Rahmen einer Zwei- beziehungsweise Multifaktor-Authentifizierungs-Lösung (2FA/MFA). Kern eines jeden Access-Prozesses ist und bleibt schließlich die Sicherstellung, dass die Nutzer, die sich mit dem Firmennetz verbinden wollen wirklich die sind, für die sie sich ausgeben.

Sicherheit und Komfort eingebaut: 2FA/MFA und Token

Solche 2FA/MFA-Lösungen bringen einen hohen Sicherheitsgewinn. Er entsteht zum einen durch die Tatsache, dass eben mindestens zwei Faktoren (Besitz und Wissen) für die Sicherheit eingesetzt werden, zum anderen auch durch besonders sichere Verfahren. RSA SecurID Access® beispielsweise ändert wahlweise alle 30 oder 60 Sekunden den Passcode. Wollte ein Hacker hier einbrechen, müsste er das also nahezu in Echtzeit erledigen. Das aber gilt selbst unter Einsatz modernster Angriffs-Tools als unmöglich. So lassen sich durch den Einsatz einer zentral gesteuerten 2FA/MFA auch Angriffe durch Trojaner oder Keylogger komplett ausschließen. Nicht ohne Grund sind 2FA/MFA als besonders sichere Authentifizierungs-Mechanismen inzwischen oft gesetzlich vorgeschrieben, beispielsweise in Form der PSD2 (Payment Services Directive 2) im Bankensektor. Wie komfortabel sie einsetzbar sind, hängt von mehreren Faktoren ab:

1. Integration in wichtige Anwendungen und Cloud-Plattformen
Die tägliche Arbeit beruht auf Anwendungen. Deshalb ist es wichtig, dass die Authentifizierungs-Lösung in ein breites Spektrum von Anwendungen integriert ist. RSA SecurID Access® ist nicht nur für die meist genutzten Anwendungen wie die von Citrix, Cyberark, Cisco, Palo Alto, Sales Force, ServiceNow, VMware und vielen weiteren zertifiziert, sondern auch für alle relevanten Cloud-Plattformen wie AWS (Amazon Web Services) oder Microsoft. Das bedeutet, die MFA-Lösung funktioniert damit durchgängig sowohl in Anwendungen, die im eigenen Rechenzentrum gehostet werden, als auch solchen, die bei Public-Cloud-Anbietern laufen.

2. Moderne MFA-Methoden
Sicherheitsverfahren werden in der täglichen Praxis nur dann wirklich genutzt, wenn der gewohnte Arbeitsfluss dadurch nicht spürbar gebremst wird. Das gelingt am besten durch das Angebot einer breiten Palette von Identifikationsverfahren, aus welchen der Nutzer die für seine aktuelle Situation am besten geeigneten wählen kann. RSA SecurID Access® bietet derzeit zehn moderne 2FA-/MFA-Verfahren, darunter Push-Nachrichten, Biometrie, Wearables, mobile Einmal-Passworte (OTPs) und eben auch Hardware- und Software-Token. Aus diesem Set lassen sich sehr schnelle und einfache Kombinationen umsetzen, die von Anwendern gerne genutzt werden.

3. Risiko-basierte Authentifizierung
Was bei einer modernen Authentifizierungslösung heute nicht mehr fehlen darf, sind Verfahren, welche auch situations-, beziehungsweise verhaltensbezogene Aspekte mit in die Bewertung einfließen lassen. Einfachstes Beispiel: Arbeitet ein Nutzer typischerweise zu den üblichen Geschäftszeiten, meldet sich nun aber um Mitternacht an, wird die Authentifizierungslösung einen weiteren Identitätsbeweis aus den MFA-Methoden anfordern, beispielsweise einen Fingerprint. Gleiches gilt auch, wenn die Anmeldung üblicherweise aus dem Büro erfolgt, der Nutzer sich nun aus dem Home Office anmeldet. RSA SecurID Access® zieht zahlreiche weitere Parameter ins Kalkül, darunter die aktuelle Rolle des Benutzers, das verwendete Gerät, den Ort, die Menge transferierter Daten, sowie nicht zuletzt die Applikation, an welcher der Benutzer sich anmelden möchte. Sobald die Algorithmen eine Abweichung vom typischen Muster feststellen, fordert das System diesen zusätzlichen Sicherheitscheck.

Mit FIDO noch einfacher

Dank einer kürzlich geschlossenen Kooperation mit Yubico hat RSA den Einsatz von Hardware-Token weiter vereinfacht: Die Lösung YubiKey für RSA SecurID Access® kombiniert ein FIDO2-fähiges Hardwaregerät von Yubico mit den Vorteilen der Sicherheit auf Unternehmensebene, der risikobasierten Authentifizierung und dem vereinfachten Credential Lifecycle Management von RSA SecurID Access®. Der Grundgedanke bei der FIDO Alliance (Fast IDentity Online Alliance) war die Entwicklung einer einheitlichen Authentifizierungs-Infrastruktur (Universal Authentication Framework, kurz UAF), die einfach zu handhaben ist, die Abhängigkeit von Benutzernamen und Passwörtern minimiert, und gleichzeitig an verschiedene Sicherheitsanforderungen anpassbar ist.

Die FIDO-Allianz hat aktuell drei Spezifikationen für eine einfachere und stärkere Authentifizierung veröffentlicht. Sie alle sind offen und frei für die weltweite Nutzung. RSA ist ein langjähriges Mitglied der FIDO-Allianz, sowie Mitglied des Vorstands. Das Unternehmen hat bereits den ursprünglichen U2F-Standard unterstützt und war einer der ersten Security-Anbieter, der als FIDO2-kompatibler Authentifizierungsserver zertifiziert wurde. Die Partnerschaft mit Yubico, einem führenden Unternehmen im Bereich hardwarebasierter FIDO-Authentifikatoren, ist ein weiterer logischer Schritt im RSA-FIDO-Engagement: FIDO-Unterstützung gibt es jetzt eben auch durch die Verwaltungsplattform RSA SecurID Access®. Die robuste, unternehmensweite Identitätssicherung kann so für eine sichere und bequeme Authentifizierung mit YubiKey-Hardwaregeräten kombiniert werden.

Welche Vorteile das im praktischen Handling bringt, ist am Beispiel der Integration von Gig-Workern klar erkennbar: Entsprechende Token lassen sich über die zentrale Plattform sehr schnell und einfach für sie vorbereiten. Ist der Job erledigt, muss nur der Token deaktiviert werden, um alle gewährten Zugriffsrechte wieder zu entziehen. Einfacher geht es kaum - und das alles in Übereinstimmung mit dem bewährten und offenen FIDO-Standard.

Anbieter zum Thema

zu Matchmaker+
Wolfgang Rieger, Senior Budiness Development bei Tech Data.
Wolfgang Rieger, Senior Budiness Development bei Tech Data.
© Tech Data

Security-Lösungsansatz für Tech Data Partner

Tech Data bietet Vertriebspartnern in D/A/CH einen einzigartigen Ansatz, um entsprechend der jeweiligen Sicherheits-Bedrohungslage effizient und allumfänglich reagieren zu können. Vertriebspartnern bietet sich damit ein deutlicher Mehrwert für die konzeptionelle Gestaltung von Security Solutions für ihre Kunden.

Mit BSI IT-Grundschutz und ISO 27001 gibt es einen etablierten, national und international anerkannten Werkzeugkasten für den Aufbau einer nachhaltigen IT-Security. Im Fokus stehen umfangreiche technische und organisatorische Maßnahmen. Das innovative Security-Vertriebstool von Tech Data schließt die Lücke und bietet konkrete Produkt- und Lösungsempfehlungen, mit denen sich die Sicherheitsmaßnahmen umsetzen lassen. https://marketing-de.techdata.com/blog/tdsr/

Nähere Informationen finden Sie unter www.techdata.com und de.techdata.com oder im Blog unter http://de.techdata.com/blog.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Tech Data GmbH & Co. KG

Weitere Artikel zu Security-Services

Weitere Artikel zu Wassermann AG

Matchmaker+