Remote-Work-Risiken mindern
IT-Sicherheit in der neuen Normalität
Die Pandemie hat dafür gesorgt, dass viele Unternehmen sich mit dem Thema Home-Office (oder, juristisch gesehen, mit mobilem Arbeiten oder Remote Work) auseinandersetzen mussten – und das oft zügiger, als ihnen lieb war. Die Folgen waren überhastet aufgesetzte VPN-Zugänge, großzügig verteilte Zugriffsberechtigungen und unsichere Privatgeräte, die nun mitunter hochsensible Unternehmensdaten verarbeiten.
Die Stimmung unter Führungskräften in Unternehmen war zu Beginn des Wechsels äußerst optimistisch. 85 Prozent aller kürzlich von Tanium befragten Personen gaben an, ihr Unternehmen gut auf Home-Office-Praktiken vorbereitet zu haben. In der Realität folgte auf den Optimismus die Ernüchterung: Ganze 98 Prozent hatten während des Lockdowns Sicherheitsvorfälle zu beklagen. Als einen Hauptgrund gaben sie mangelnde Sichtbarkeit in ihrem Netzwerk an. 70 Prozent beispielsweise entdeckten während der Home-Office-Zeit jede Woche neue Geräte in ihrem Netzwerk, die auf Unternehmensressourcen zugriffen. Gut die Hälfte der deutschen IT-Verantwortlichen sah hier ein ernst zu nehmendes Risiko für die IT-Sicherheit.
Viele Organisationen sahen im Wechsel zur Fernarbeit allerdings auch eine Chance, Remote-Work-Praktiken auf Dauer zu etablieren. Die Erfahrungen, die sie während dieser Zeit gemacht haben, veranlasste die Hälfte der befragten Unternehmen dazu, den Grad an Sichtbarkeit innerhalb ihrer Netzwerke zu hinterfragen und die Höhe ihres Security-Budgets zu überdenken.
Die Krise hat folgende drei Herausforderungen offenbart:
1. Unbekannte persönliche Geräte in Unternehmensnetz: Um den schnellen Wechsel zum verteilten Arbeiten zu ermöglichen, erlaubten viele Arbeitgeber ihren Mitarbeitern, Privatgeräte zu nutzen und per VPN mit dem Unternehmensnetz zu verbinden. Dies hatte zum Teil gewaltige Sichtbarkeitslücken und Sicherheitsrisiken zur Folge, da diese Geräte den zuständigen IT-Abteilungen oftmals nicht bekannt waren, der Patch- und Sicherheitsstatus der Endpunkte ungewiss war und zudem unklar blieb, wer sonst noch im Haushalt Zugriff auf sie hatte. 45 Prozent der befragten Entscheider gaben deshalb an, bei der Rückkehr zum normalen Arbeitsplatz sämtliche Privatgeräte aus der Firmeninfrastruktur zu verbannen.
2. Problematische VPN-Praktiken: Die Einrichtung von VPNs ist für die Fernarbeit unerlässlich. Mit dem großangelegten Wechsel zu Remote Work kamen deshalb unzählige VPN-Installationen, -Anfragen und -Support-Tickets auf IT-Abteilungen zu. Oft waren diese Herausforderungen nicht zu bewältigen und sorgten dafür, dass IT-Teams den Datenverkehr zwischen Endpunkten aus dem Home-Office und Firmen-Servern nicht über interne Sicherheitslösungen schicken konnten. Ein Großteil des Traffics wurde somit weder auf Viren noch auf unberechtigte Zugriffsanfragen oder Ähnliches überprüft.
VPNs erschweren zudem die Aktualisierung von Programmen, die auf heimischen Rechnern laufen: Instabile Verbindungen und nicht erteilte oder sich ändernde Firewall-Berechtigungen können das Patchen von Programmen behindern. Um die Produktivität zu gewährleisten, gingen manche Unternehmen dazu über, Anwendungen nicht zu aktualisieren und das damit verbundene Risiko in Kauf zu nehmen.
3. Nutzung unsicherer Werkzeuge: Um weiterhin mit Kollegen Kontakt zu halten, setzen die meisten Unternehmen auf Videoconferencing-Tools wie Zoom, Skype, GoToMeeting etc. Auch hier fand die Implementierung der Lösungen überhastet statt, um die unternehmensinterne Kommunikation und damit die Produktivität zumindest großteils aufrechtzuerhalten.
Aufgrund von Sicherheitslücken ientstanden ganz neue Begriffe für das Hacken von Online-Konferenzen: Unter „Zoombombing“ (in Anlehnung an das Wort „Fotobombing“, Stören von Fotoaufnahmen) versteht man nun das unerlaubte Einwählen in fremde Videokonferenzen. Meist waren unzureichend oder gar nicht gesicherte Meetings verantwortlich. Häufig war das Ziel derjenigen, die fremde Meetings auf diese Weise kaperten, den Ablauf zu stören oder den Host zum Abbruch zu zwingen, etwa durch das Abspielen justiziabler Inhalte. Derart gestörte Meetings beeinträchtigen die Produktivität und die Stimmung unter den Mitarbeitern, sofern dies häufiger passiert. Hört ein Außenstehender sensible Informationen mit, können die Folgen sogar gravierender sein.
Lösungsansätze
Es gibt natürlich nicht die eine Lösung für Herausforderungen, die auf die IT-Sicherheit während der Krise zukamen und denen sie immer noch gegenüberstehen. Ein erster Schritt kann es sein, bei Mitarbeitern das Bewusstsein für problematische Remote-Arbeitsweisen zu schaffen und zu schärfen. Oft reichen schon eine Rund-Mail und ein Leitfaden mit Informationen, wie man zur Sicherheit des Unternehmensnetzwerks beitragen kann. Solche Tipps können helfen, der Entstehung von Schatten-IT und Sichtbarkeitslücken entgegenzuwirken.
Unternehmen, die eine umfassendere Lösung für die Sichtbarkeit innerhalb ihrer Infrastruktur haben wollen, können sich zudem über Visibilitätslösungen für Netzwerke informieren. Diese durchsuchen das Netzwerk nach angemeldeten Endpunkten. Selbst Geräte, die vorher unbekannt waren und damit nicht verwaltet wurden, lassen sich so häufig finden. Bei der Suche der geeigneten Lösungen gilt es zu beachten, dass sie alle Endpunkte findet, die auf Unternehmensressourcen zugreifen und somit der Kontrolle bedürfen. Ebenso wichtig ist der wirtschaftliche Standpunkt. Viele derartige Lösungen erfordern schon bei der Einrichtung viel Zeit, da diese zwingend ein WAN als Grundlage benötigen, um alle Endpunkte zu finden.
Verfolgt die Lösung einen zentralen Ansatz, geht damit eine starke Belastung der Netzwerkressourcen einher. Ein dezentraler Ansatz ist deshalb die bessere Alternative: Hier erfolgt die Erkennung von Geräten per Agent. Die Installation des Systems und die Erkennung von unbekannten Geräten laufen dann folgendermaßen ab:
- Alle Endpunkte, die sich im Netzwerk befinden, erhalten einen Agenten, der in ständiger Verbindung mit der Lösung steht.
- Sind die Agenten auf allen bekannten Endgeräten installiert, zeichnen diese alle relevanten Daten auf und leiten sie an die Management-Lösung weiter. Dazu zählen Host-Namen, MAC- und IP-Adressen, Gerätehersteller, Betriebssystem, offene Ports/Anwendungen etc..
- Die Agenten auf bekannten Geräten fangen danach an, im IP-Subnetz nach unbekannten Geräten zu suchen. Auf diese Weise entdeckte Devices werden an das System gemeldet und erhalten danach einen eigenen Agenten zur Verwaltung.
- Sind alle Endpunkte im Netzwerk erfasst, erkennt das System durch konstantes Monitoring der Netzwerkumgebung automatisch, sobald sich neue Geräte verbinden und bekannte Endpunkte das Netzwerk verlassen.
Entscheider sollten bei der Auswahl einer solchen Lösung darauf achten, dass sie plattformbasiert ist und sich somit um weitere Funktionen ergänzen lässt. Beispielsweise liegt es nahe, alle Geräte zusätzlich zu ihren technischen Daten auch auf ihren Update-Status hin zu überwachen und fehlende Aktualisierungen mit dem gleichen dezentralen Ansatz zu verteilen.
Christoph Volkmer ist Vice President DACH und Osteuropa bei Tanium, www.tanium.com.
Lesen Sie mehr zum Thema
