Remote Arbeit – aber sicher!

bei

 / 21. December. 2020

Nicht zuletzt durch Corona haben 2020 Homeoffice und Remote Work einen enormen Stellenwert im weltweiten Wirtschaftssystem eingenommen. Im gleichen Maße haben Cybersecurity Threats zugenommen, da sich die Firmeninfrastruktur auf die Homeoffice-Arbeitsplätze ausweitet. Doch welche Gefahren können sich eigentlich durch Remote Work ergeben, worum geht es bei dem Trend rund um Zero Trust Architectures und wie kann Remote Work in Zukunft sicherer gestaltet werden? 

Remote Arbeit ist in den letzten Monaten bei den Unternehmen angekommen – und bei vielen statt der Ausnahme die Regel geworden. Dabei finden Mitarbeiter Gefallen am mobilen Arbeiten. Über die aktuellen politischen Diskussionen rund um ein Recht auf Homeoffice hinaus ist davon auszugehen, dass dieses Arbeitsmodell auch nach der COVID19-Pandemie nicht wieder einfach so verschwinden wird.

Ende September hat die Abteilung Cybersecurity im Bundeskriminalamt (BKA) das „Bundeslagebild Cybercrime 2019“ sowie die Sonderauswertung „Cybercrime in Zeiten der Corona-Pandemie“ veröffentlicht [1]. Diese machen eindrucksvoll klar: Cybercrime ist auf bisherigem Höchststand und im Zuge der Corona-Pandemie haben sogenannte DDoS-Angriffe um 127 Prozent zugenommen. Woran liegt das?

Remote Work und VPN

Um sicher von zu Hause aus arbeiten zu können, ist es für den Mitarbeiter häufig nötig, eine Verbindung zur IT-Infrastruktur oder einzelnen Software-Systemen des Unternehmens aufzubauen, sollten diese nicht öffentlich im Internet verfügbar sein (wie zum Beispiel ein E-Mail-Server oder ein Helpdesk für Kunden).

Klassischerweise wird dazu ein VPN (Virtual Private Network) genutzt. VPN ist eine komplexe Technologie, die primär die Frage der Konnektivität löst, nicht aber die der Sicherheit.

Das BKA stellt fest, dass „das Home-Office und die damit zum kritischen Element gewordenen VPN-Server attraktive Angriffsziele für Cyberkriminelle“ geworden sind.

Neben den bereits angedeuteten Sicherheitsaspekten gibt es noch weitere, alltägliche Hürden, die VPN-Setups mit sich bringen. Dies sind Endgeräte-Kompatibilität, Verfügbarkeit und Skalierung – die sich am Ende auch wieder in sicherheitsrelevante Themenbereiche auswirken können.

Wenn also die VPN-Infrastruktur einen Angriffsvektor anbietet und VPN-Verbindungen keine Sicherheitslösung darstellen, müssen die Sicherheitsmechanismen darüber hinaus implementiert werden. Das bedeutet zum einen ein entsprechendes Notfall- und Handlungskonzept für Angriffe auf das VPN, aber auch eine Absicherung der internen Systeme über die reine VPN-Konnektivität hinaus. Hierbei kommen sogenannte Zero-Trust-Konzepte zum Einsatz.

Mehr Sicherheit durch Zero-Trust-Prinzip

Vereinfacht gesagt beschreibt das Zero-Trust-Prinzip die Annahme, dass aus der Netzwerk-Konnektivität keine Authentizität oder Autorisierung abgeleitet werden darf. Oder etwas weniger technisch, dass der Anschluss an einen Netzwerk-Port in einem geschützten Perimeter noch lange nicht bedeutet, dass der Zugriff durch das angeschlossene Gerät gerechtfertigt ist.

Als früher Akteur im Bereich von Zero-Trust-Konzepten hat Google das BeyondCorp Framework etabliert. Die BeyondCorp-Referenz-Architektur stellt die Zugriffssicherung auf ein zentrales OpenID Connect basiertes Single Sign On um. Zu sichernde Applikationen werden durch einen sogenannten Identity Aware Proxy geschützt. Dieser ist jederzeit in der Lage, Mitarbeiter zu authentifizieren, gegenüber der Single Sign On-Lösung zu verifizieren und die generelle Applikationsberechtigung zu autorisieren, ohne dass spezielle Software notwendig ist oder die dahinterliegende Software angepasst werden muss – bevor der Netzwerkzugriff diese erreicht. Das Kernkonzept dabei ist, dass dies auch für Zugriffe innerhalb des Netzwerkes gilt, sodass die abgesicherten Applikationen auch öffentlich verfügbar sein könnten (wenn nötig).

Info-Box 
Zero-Trust-Konzepte wurden im August 2020 durch das “National Institute of Standards and Technology” (NIST) definiert und als Standard veröffentlicht. Zuvor war es jahrelang präsentes Thema in der Cybersecurity-Welt. Googles BeyondCorp Framework zur Implementierung solcher Zero-Trust-Konzepte stammt bereits aus dem Jahr 2009. Dies bedeutet, es dauerte etwa 11 Jahre, bis sich die Konzepte und Denkweisen des Zero Trust in der Industrie dursetzten und akzeptiert wurden. Gleichzeitig bedeutet diese offizielle Standardisierung, dass die Implementierung und der Rollout von Zero-Trust-Konzepten ein Kernthema für IT-Projekte der nächsten Jahre darstellen wird.

 

Eine sichere Remote-Arbeitsumgebung schaffen

Wie stelle ich sicher, dass jeder Mitarbeiter ohne Aufwand mit jedem Gerät Zugriff bekommt und arbeitsfähig ist?

VPN-Technologie wird nicht immer so problemlos unterstützt, wie man annehmen würde: Viele VPN-Gateways verwenden anstatt offener Standards herstellerspezifische Client-Software, die nur für einen gewissen Kreis an Endgeräten und Betriebssystemen verfügbar ist.

Nutzt man die VPN-Konnektivität nicht als primäres Sicherheitsmerkmal für den Zugriff auf ein System, dann kann man prinzipiell jedem internetfähigen Gerät den Zugriff aus dem Internet ermöglichen. Das heißt, eine Zugriffsberechtigung auf eine Applikation oder einen Dienst ergibt sich nicht aus dem Netzwerkperimeter, aus dem zugegriffen wird (Büro, VPN, Internet), sondern jeder Zugriff wird einzeln herkunftsunabhängig autorisiert. Dies funktioniert vor allem dann gut, wenn die Zugriffe in den Webbrowser verlagert werden können, bzw. die Dienste webbasiert sind. So ist ab Tag 0 jeder Mitarbeiter so flexibel wie nötig, egal ob zu Hause, im Büro oder vor Ort beim Kunden. DDoS-Angriffe auf die VPN-Gateways haben damit im Ergebnis weniger Einfluss auf die Produktivität der Mitarbeiter.

Nicht immer ist das Tunneln durch das http-Protokoll oder ein browserbasierter Zugriff realisierbar – es geht nicht alles ohne VPN. Es empfiehlt sich dennoch, einen hybriden Ansatz zu wählen.

Warum reicht ein VPN allein nicht aus?

Viele Applikationen oder Dienste besitzen bereits applikationsspezifische Authentifizierung und sichern diese über eigene Rechte- & Rollenkonzepte ab. Ein VPN-Zugang ist in diesem Fall „nur” die Möglichkeit, das Netzwerkprotokoll der Applikation zu routen – also Konnektivität zum Netzwerk herzustellen. Aber wie viele Geräte sind tatsächlich in einem Firmennetzwerk präsent? Jedes noch so kleine Gadget verfügt mittlerweile über WLAN. Vor einigen Jahren war der „Drucker-Hack” groß in den Medien und noch heute kritisieren Sicherheitsforscher, dass Druckerhersteller die Sicherheitslücken in den IP-Interfaces nicht schließen. Die Gebäudeautomation oder das Alarmsystem sind zu Monitoring-Zwecken an das Netzwerk angeschlossen, der Türöffner und die Videokamera am Haupteingang ebenso. Neue Produkte werden von Forschung oder IT-Abteilung zum Ausprobieren in die Netzwerkdose eingesteckt, obwohl die Konfiguration noch Auslieferungszustand hat. Diese Liste an Beispielen für Netzwerkteilnehmer, an die man nicht immer sofort denkt, lässt sich endlos erweitern.

Mittels einer VPN-Verbindung haben Mitarbeiter jedoch in den meisten Fällen auch von anderen Standorten auf genau diese Geräte Zugriff – ohne weitere Authentifizierung und Sicherheitsmaßnahmen. Erhält ein neuer Dienst im Netzwerk beispielsweise zu Testzwecken eine provisorische Anbindung an das Active Directory oder das ERP, bedeutet das schnell auch einen ungesicherten Zugriff auf Unternehmensdaten – leider vermutlich ohne entsprechendem Audit-Trail, weil es sich ja nur um ein Test-System handelt.

Genau hier setzen Angreifer an. Denn, während die großen Applikationen und Dienste in der Regel gut gesichert und überwacht werden, werden solch nebenläufige häufig vergessen.

Nutzt man die VPN-Technologie, um eine Verbindung zum Unternehmensnetzwerk aufzubauen, so sollte der Client nicht einfach „im Firmennetzwerk” eingebunden sein, sondern erst einmal in einem isolierten Netzbereich. Über entsprechende Rollen oder Individualfreigaben werden dann die nötigen Punkt-zu-Punkt-Verbindungen einzeln freigegeben. Die vorab erwähnten Gefahren aus IoT-Geräten werden so drastisch reduziert.

Ist der Zugriff sicher? Was mache ich im Notfall?

Wer ist in der Lage, einen VPN-Benutzer zu blockieren? In welchen Systemen muss der Zugang eines Nutzers bei Missbrauch deaktiviert werden? Wird der Zugang direkt unterbunden, oder bleiben bereits bestehende Verbindungen/Nutzersessions offen? Gibt es vielleicht Backdoors im Netzwerk? Werden diese Maßnahmen regelmäßig überprüft und getestet?

So oder ähnlich müssen Fragestellungen lauten, die ein Notfallplan für Cyberattacken auf oder via VPN beantworten sollte. Werden mehrere Authentifizierungs-Mechanismen und Systeme im Unternehmen verwendet, steigt das Risiko, im Ernstfall nicht effizient handeln zu können oder gar Zugriffsberechtigungen zu vergessen.

Die Lösung dafür ist, die Zugriffssteuerung protokollunabhängig an einen Single-Sign-On-Dienst zu binden, der als zentrale Autorität für die Nutzer-Authentisierung gilt. In einem zweiten Schritt sollte sichergestellt werden, dass Nutzer-Sessions die Berechtigungen nicht nur einmalig zu Beginn prüfen, sondern erneut, in regelmäßigen, möglichst kurzen Intervallen.

Wenn dann Applikationszugriffe via HTTP erfolgen, ist das Ganze noch einfacher: Als zustandsloses Protokoll muss mit jedem Request die gegenseitige Identität erneut verifiziert werden. Im Ergebnis verlieren an einer zentralen Stelle gesperrte Accounts nach wenigen Sekunden jeden Zugriff.

Selbst vermeintlich statische Protokolle mit Public-Key-Authentifizierung wie SSH lassen sich dazu bewegen, die Identität regelmäßig während der Session erneut zu prüfen (bei SSH ist dies das sogenannte ReKey-Verfahren) und sich auch an Single-Sign-On-Services mit dynamischen Key-Management anbinden, anstatt auf langlebige Keys im Dateisystem zu vertrauen. Diese Keys müsste man auf jedem Hostsystem einzeln entfernen und Sessions einzeln beenden, um im Notfall den Zugang zu den Systemen mit dem kompromittierten Schlüsselpaar zu unterbinden.

Wenn, wie bereits vorab aufgeführt, HTTP genutzt wird, lassen sich darüber hinaus problemlos anonymisierte oder pseudonymisierte Logs anlegen, um im Ernstfall nachzuprüfen, welche Zugriffe erfolgt sind.

Kann mein Konzept skalieren, auch wenn mein Unternehmen wächst?

Je grundlegender eine Technologie, desto schwieriger diese auszutauschen. Reichte bei Unternehmensgründung vor 20 Jahren noch ein kleiner VPN-Gateway für eine Handvoll Mitarbeiter, die nur ab und an von zu Hause gearbeitet haben, bedeutet das nicht, dass dasselbe Gerät heute auch 500 Mitarbeitern problemlos den Zugriff ermöglichen kann.

Andererseits ist das Ressourcen-Limit von Router und Internetanbindung kein Problem, das auf VPN-basierte Zugriffe beschränkt ist.

Mit wachsendem Mitarbeiterstamm wird sich auch die Menge und Diversität der zu sichernden Ressourcen drastisch erhöhen. Gleichzeitig erhöht sich die Varianz der zugestandenen Zugriffsrechte zwischen den Mitarbeitern. Die Erfahrung zeigt, dass beide Entwicklungen nicht linear sind. Entsprechend werden die Administration, das Management und die Überwachung des Zugriffs mit Unternehmenswachstum sehr schnell undurchsichtig und kompliziert. Das Risiko von Lücken in der Konfiguration oder verpasster Rechteanpassung steigt immens und ist schwerer zu behandeln als die Investition in leistungsstärkere Hardware.

Konzepte, die Zugriffsrechte zentral in einer Identity-Management-Lösung verwalten, helfen, diese Risiken zu minimieren. Idealerweise umfasst eine solche Lösung alle Zugriffe auf der Applikationsebene und soweit möglich auch darüber hinaus (zum Beispiel SSH, WiFi und ähnliches). Kombiniert mit einem passenden Rollenmanagement und Prozessen für die Gewährung und den Entzug selbiger ist ein Unternehmen so bestens gewappnet für zukünftige Herausforderungen.

Aktuelle Handlungsempfehlung

Wer bereits VPN-Verbindungen für Remote Work nutzt, sollte überprüfen, wie uneingeschränkt die Verbindungen Netzwerkzugriff ermöglichen und dies auf notwendige Einzelfreigaben beschränken. Darüber hinaus sollte ein „Notfallplan” existieren, der die notwendigen Handlungen dokumentiert, um missbräuchliche Zugriffe zu erkennen und kurzfristig zu sperren.

Bei umfangreichem Rechtekonzepten und Applikationen lohnt es sich, ein Identity-Management-Projekt anzustoßen, das Login-Autorität in einer Single-Sign-On-Lösung zusammenfasst und Zugriffrechte von Einzelfreigaben in rollenbasierte Zugriffsgewährung wandelt. Dies ist die Grundlage für eine effiziente Umsetzung von Zero-Trust-Konzepten, mit denen auch Angriffe von innen besser handhabbar werden.

Es lohnt sich also, zur Analyse, Strategieentwicklung und Implementierung mit Experten aus dem Bereich moderner Identity-Management-Konzepte als Sparringpartner zusammenzuarbeiten. Ein Aufwand, der sich bei Unternehmensexpansion und steigenden Cybercrime-Aktivitäten mittelfristig definitiv auszahlt.

 

Quellen und Referenzen:

[1] https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2020/Presse2020/200930_pmBLBCybercrime.html

 

Über den Autor / die Autorin:


Steffen Ritter berät Kunden, erstellt Konzepte und Analysen in den Bereichen Integrationen, Systemarchitekturen, Identity Management und IT-Security im Web-Application Bereich in Digitalisierungs- und E-Commerce Projekten sowohl mit technischem als auch mit betriebswirtschaftlichem Hintergrund.