IT-Sicherheit bei der Rückkehr ins Büro
Nach dem Lockdown alles auf Start
Die gute Nachricht: Auch in Zeiten von Corona haben sich Angriffsformen nicht schneller weiterentwickelt als zuvor. Allerdings hat die Menge an Cyberangriffen aufgrund der Krise enorm zugenommen, was das Stresslevel für IT-Sicherheitsverantwortliche ebenfalls ansteigen ließ. Zurückzuführen ist das auf den plötzlich hohen Bedarf an VPN- und Cloud-Services für Remote-Nutzer.
Die größte Herausforderung war und ist es, während der Pandemie auf großangelegtes Remote Working umzustellen. Mindestens die Hälfte der Organisationen weltweit war auf ein solches Szenario, das besonders attraktiv für Cyberangreifer ist, nicht vorbereitet. Daher blieb den IT-Abteilungen nicht viel Zeit zur Reaktion. Eine Menge Änderungen innerhalb der IT-Infrastrukturen, die teilweise als temporär geplant und letztlich in den Regelbetrieb übernommen wurden, konnte das etablierte Monitoring nicht erfassen. Unter diesem Zeitdruck können dann durch Konfigurationsfehler Angriffslücken entstehen. Parallel steigt die Anzahl der Tickets aufgrund der geänderten Arbeitsweise, was für das IT-Personal zusätzlichen Stress bedeutet. Was bleibt, sind eine veränderte Situation und die Erkenntnis, dass man besser auf unwägbare Ereignisse vorbereitet sein muss. Dies betrifft im aktuellen Fall nicht nur die höheren Anforderungen durch eine Remote-Belegschaft, sondern auch die Rückkehr der Mitarbeiterinnen und Mitarbeiter zum Regelbetrieb im Büro.
In der Praxis finden sich fast in jedem Netzwerk nicht autorisierte private Geräte der Mitarbeiter, schon längst aus den Inventarverzeichnissen ausgebuchte Hardware, vergessene Zugangsberechtigungen ehemaliger Mitarbeiter oder von den Unternehmensvorgaben nicht erfasste Services, deren Nutzung ein Abteilungsleiter als praktisch und arbeitserleichternd empfindet. Kurzum: Die Zahl möglicher Einfallstore ist gewachsen. Im Home-Office steigt das Risiko, dass fremde Personen Zugang zu Unternehmensgeräten haben oder Mitarbeiter nicht vertrauenswürdige Netzwerke oder Messaging-Dienste für geschäftliche, aber auch private Zwecke nutzen. Dies erhöht das Risiko stark, Opfer eines Angriffs zu werden und damit das Unternehmensnetzwerk zu gefährden.
Pragmatismus zu Lasten der Sicherheit
In der Phase der Rückkehr an den Büroarbeitsplatz spekulieren Cyberkriminelle auf eine hohe Belastung der Security-Teams und werden sich diese zunutze machen. Insbesondere ist es für Kriminelle lohnenswert, DDoS-Angriffe auf die VPN-Services der Unternehmen zu initiieren, da diese in Krisenzeiten weitgehend abhängig von den Tätigkeiten der Remote-Belegschaft sind.
Für Spam, Phishing, Malware, Identitätsdiebstahl und Datenklau steht so die Tür einen größeren Spalt weit offen. Entsprechend muss die Belegschaft dafür sensibilisiert sein. Unabdingbar ist daher der Schutz der Netzwerke von den Heim-PCs und Mobiltelefonen der Mitarbeiter bis hin zum Unternehmens-RZ mittels einer ganzheitlichen, durchgängigen Sicherheitsarchitektur.
Die entsprechende Absicherung der genannten Dienste gegen Angriffe dieser Art ist daher wichtig. Standard sind dabei der Schutz des für Remote-Services genutzten TCP-Ports (Standard 3389) sowie eine Zwei-Faktor-Authentifizierung bei der Anmeldung. Netzwerkfilter mit einheitlichen Konfigurationsvorgaben und die Definition individueller Regeln für die Echtzeitanalyse von Datenpaketen tragen ebenfalls zur Sicherheit bei, denn Security-Teams benötigen eine durchgängige Transparenz bei verdächtigen Netzwerkaktivitäten. Nur unter diesen Voraussetzungen ist es möglich, effizient auf Zwischenfälle zu reagieren sowie potenzielle Gefahren zu erkennen und einzudämmen, bevor größerer Schaden entsteht.
Ziele können dabei Netzwerkgeräte in der Infrastruktur sein, die im Zuge des notwendigen Netzwerkausbaus integriert wurden, oder solche, die veraltet oder nicht gepatcht sind. Oft trafen Unternehmen ihre Entscheidung über den Einsatz von Netzwerkequipment nach Verfügbarkeit und Bedarf – die Sicherheit bleibt dann auf der Strecke. In solchen Fällen verlassen sich Unternehmen eher auf Überwachung, Erkennung und Reaktion als auf Kontrolle. Dies konterkariert den Anspruch, die Netzwerkinfrastruktur auch bei ungeplanten Ereignissen funktionsfähig zu halten.
Planung tut Not
Vereinheitlichte Prozesse für das Schwachstellen-Management senken die Gefahr, Schlupflöcher zu übersehen – ebenso regelmäßige Sicherheitsbewertungen für alle Teile des Equipments. Grundsätzlich sollte das IT-Team eine entsprechende Überprüfung stets dann wiederholen, wenn es Änderungen in der Konfiguration eines Netzwerkabschnitts vorgenommen hat. Ebenfalls ins Pflichtenheft gehören präventive Maßnahmen wie Penetrationstests oder ein DsiN-Sicherheits-Check zur Ermittlung des IT-Sicherheitsniveaus.
Finden für die Remote-Arbeit auch private Endgeräte Verwendung, steigt der Gefährdungsgrad. Simple oder mehrfach verwendete Passwörter, ausgelassene Sicherheits-Updates oder die Nutzung derselben Geräte durch Familienangehörige sind augenfällige Beispiele. Häufige Gerätewechsel tragen ihren Teil zu einem kaum überschaubaren Gerätepool bei, der dann im internen Netz unterwegs ist.
In vielen Fällen sind es die auf diesen Endgeräten gepeicherten, scheinbar unsensiblen Informationen, die Angriffe ermöglichen. Denn per Mobilgeräte-Apps gesammelte persönliche Daten erlauben oft Rückschlüsse auf Zugangsinformationen und können damit als Basis für weiterreichende Angriffe auf Unternehmensnetze dienen. Daher ist es für Sicherheitsteams unerlässlich, den aktuellen Stand aller Geräte zu erfassen, die sich mit dem Unternehmensnetzwerk verbinden können, und eine Inventur durchzuführen. Es muss sichergestellt sein, dass jedes Endgerät korrekt konfiguriert ist, sodass sich dessen Aktivitäten protokollieren lassen, um sie zentral auf Auffälligkeiten überprüfen zu können. Ebenfalls sollte man sparsam mit Berechtigungen umgehen – idealerweise finden für unterschiedliche Systeme oder Einsatzszenarien verschiedene Nutzerkonten Verwendung.
Für mobile Endgeräte empfiehlt sich die zusätzliche Absicherung, etwa in Form von MDM-Lösungen (Mobile-Device-Management). Daten dürfen nur für legitimierte Anwender auf einem abgesicherten Weg zugänglich sein, bei Fernübertragungen oder bei Zugriffen über mobile Gerätschaft müssen eine durchgängige starke Verschlüsselung und die Übertragung der Daten über sichere Protokolle selbstverständlich sein.
Flexibilität hat Vorteile, aber auch ihren Preis
Zielsetzung muss es sein, Endgeräte standortunabhängig zu schützen – ganz gleich, ob sie im Home-Office, unterwegs oder im Büro zum Einsatz kommen. Das Gleiche gilt für die Netzwerke: Zugänge zum Netz müssen flexibel sein, ohne dass man die Sicherheit vernachlässigt. Denn selbst wenn Mitarbeiter zu gegebener Zeit wieder ins Büro zurückkehren, wird die Home-Office-Option mit hoher Wahrscheinlichkeit bestehen bleiben oder gar zunehmend Verbreitung finden.
In der Praxis bedeuten dies, dass sich die Zahl der zu überwachenden Endpunkte deutlich erhöht. Diese Fragmentierung der IT erfordert eine zentrale Security, bei der die einzelnen Sicherheitslösungen miteinander kommunizieren und Daten bereitstellen. Dies ist die Basis für Threat-Intelligence-Services, die aktuelle Informationen zur Bedrohungslage der IT aus unterschiedlichen Quellen sammeln und sie in aufbereiteter Form zur Verfügung stellen. Durch verhaltensbasierte Analysen werden die gesammelten Daten in Korrelation zueinander gebracht, um verdächtige Ereignisse zu erfassen und zu identifizieren. Dies verkürzt die Erkennungszeiten.
Unternehmen benötigen also die Tools, das Wissen und die Expertise zur Absicherung von Netzwerken, in denen Menschen wahrscheinlich auf lange Sicht geräteunabhängig remote arbeiten werden. Zur Unterstützung des Remote-Monitorings eignen sich Lösungen, die es Sicherheitsteams erleichtern, die gesamte Endpunkt-, Infrastruktur- und Collaboration-Technik im Blick zu behalten. Mit unterstützenden SOAR-Funktionen (Security Orchestration, Automation, and Response) steigen die Effizienz von Remote-Teams und die Qualität der Reaktion auf Vorfälle.
Schwachstelle Mensch
Die immer wieder erfolgreichen Social-Engineering-Angriffe und der oft nachlässige Umgang mit sensitiven Unternehmensdaten zeigen: IT-Sicherheit ist kein Thema, das nur für die entsprechende Fachabteilung relevant ist. Unerlässlich sind fest definierte IT-Richtlinien für alle Mitarbeiter, die den Umgang mit Endgeräten und Daten festlegen. Regelmäßige Schulungen in Sachen IT-Sicherheit, die mögliche Gefährdungen aufzeigen, tragen maßgeblich zur Steigerung der Gewissenhaftigkeit, Sensibilisierung und Aufklärung der Belegschaft bei, ob von zu Hause aus oder im Büro.
Auch die Ausbildung und Sensibilisierung der Mitarbeiter über das richtige Verhalten in Schadensfällen darf nicht fehlen. Es sollte festgelegt sein, welche Mitarbeiter das Krisen-Management verantworten und wie ihre Funktionen definiert sind. Des Weiteren müssen die Informations- und Kommunikationswege einschließlich der Erreichbarkeiten klar definiert sein, um keine Verzögerungen oder gar ein Scheitern von Notfallmaßnahmen zu riskieren. Gleichzeitig dürfen jedoch auch das notwendige Maß an Flexibilität und kurze Entscheidungswege nicht fehlen.
Andrew Hollister ist als Head of LogRhythm Labs EMEA tätig, www.logrhythm.com.
Lesen Sie mehr zum Thema
