Wie man im Zeitalter der Telearbeit die Fernzugriffssicherheit gewährleistet – Die interne Perspektive

In Pandemiezeiten und der damit verbundenen Zunahme der Telearbeit werden Fragen der Cybersecurity immer komplexer. Fernzugänge, die über VPN bereitgestellt und a priori durch Firewalls geschützt werden, sind immer häufiger das Ziel  gefährlicher Angriffe. Was kann man dagegen tun und wie kann man maximalen Schutz garantieren?

Seit dem ersten Lockdown im letzten Frühjahr heißt es von allen Seiten: Die Telearbeit muss so schnell wie möglich in den Unternehmen Einzug halten. Das hat dazu geführt, dass Unternehmen Remote-Arbeitsplätze eingerichtet haben und diese Organisationsform allmählich zur neuen Norm wird. So hat eine von L’Usine Nouvelle durchgeführte Umfrage kürzlich ergeben, dass 72 % der Entscheidungsträger seit der Covid-19-Krise mehr Vertrauen in das Potenzial der Telearbeit haben. 78 % geben an, dass diese in ihrem Unternehmen häufiger angeboten wird. 

Trotz dieser Zuversicht gilt es jedoch, die Risiken der Digitalisierung der Arbeit und der Zunahme von Remote Work zu berücksichtigen. Unternehmen, die ihren Mitarbeitern Fernzugriff bieten, müssen die Risiken von Cyberangriffen und die Notwendigkeit des Managements von Sicherheitsverletzungen auf VPNs, die Computer mit entfernten Servern verbinden, sowie auf Firewalls berücksichtigen. Zudem muss sichergestellt sein, dass privilegierte Konten gesichert sind, um sensible Daten zu schützen und die Kontinuität des Geschäftsbetriebs zu gewährleisten. 

Die Notwendigkeit eines »Zero Trust«-Sicherheitsansatzes. In diesem Zusammenhang haben Unternehmen keine andere Wahl, als einen »Zero Trust«-Sicherheitsansatz zu verfolgen. Auf der Grundlage dieses Prinzips können sie sicherstellen, dass Dritte nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen. Gleichzeitig können Sicherheitsteams kontrollieren, wer wann auf welche Ressource(n) zugreifen kann und somit Unternehmensdaten schützen sowie die neuen Datenschutzbestimmungen einhalten. 

Anzeige

Denn auch wenn VPNs und Firewalls dazu gedacht sind, Anwendern sichere Fernzugriffsmöglichkeiten zu bieten, sind sie ohne eine echte Kontrolle der Datenströme und ein Verständnis für die Verwundbarkeit von Unternehmen, mehr denn je ein bevorzugtes Ziel für Cyberangreifer. Denn Telearbeit weist eine entscheidende Schwachstelle auf: Sie vergrößert die Angriffsfläche, über die das Unternehmen destabilisiert oder sogar zum Stillstand gebracht werden kann. Es ist daher unerlässlich, den Perimeter-Zugang ebenso zu verwalten wie das interne Netzwerk und genau zu wissen, wem der Zugang gewährt wird. 

Die Lösung: Passwörter, die von außen unsichtbar sind. Durch den Einsatz von »VPN-less«-Lösungen, die aus einer webportalähnlichen Oberfläche bestehen, ist es möglich, Datenströme umzuleiten und gleichzeitig Passwörter in einem Safe zu speichern. Aufgrund dieser zentralen Verwaltung sind die Passwörter von außen, dass heißt vom Standort des Benutzers aus, nicht mehr sichtbar und können nicht kompromittiert werden. 

Damit diese Art von Architektur eingesetzt werden kann, muss ein Gateway bereitgestellt werden, das in 99 % der Fälle ein reines HTML-Gateway ist, um dem Benutzer den Zugriff über einen virtuellen Tunnel auf eine lokal verwaltete Komponente am Client zu ermöglichen. So sehen sowohl das Gateway als auch der Benutzer niemals das Passwort: Das ist der Kern der Philosophie von Remote-Access- und PAM-Lösungen. 

Im Wesentlichen zielt eine Privileged-Access-Management-Lösung darauf ab, Organisationen vor der unberechtigten Nutzung von privilegiertem Zugriff zu schützen, sei es versehentlich oder absichtlich. Mit zunehmender Größe und Komplexität von IT-Systemen wird die Verwaltung von privilegierten Zugriffen immer wichtiger. Dies gilt insbesondere im Zusammenhang mit der Fernarbeit: Dabei gilt es zu verhindern, dass ein Passwort den entfernten Benutzer erreicht, und gleichzeitig eine große Kompatibilität mit verschiedenen Anwendungen und Systemen zu ermöglichen. 

Anzeige

Fazit. Das Ziel dabei ist nicht unbedingt, VPNs zu ersetzen, die für den Fernzugriff sehr nützlich sind. Im Gegenteil: Es geht darum, sich auf den Zugriff auf privilegierte Konten von außen zu konzentrieren – mittels Add-ons zu PAM-Lösungen – anstatt unabhängige Lösungen zu implementieren. Bei diesem Ansatz gibt es den Begriff des Perimeters nicht mehr: Alles wird aus einer internen Perspektive betrachtet, um die Cybersicherheit von Anwendungen und Systemen zu gewährleisten.

 


Stefan Schweizer,
Vice President Sales DACH
bei ThycoticCentrify

 

 

Illustration: © T VECTOR ICONS /shutterstock.com 

 

 

598 Artikel zu „Zero Trust“

Ist Zero Trust das Ende des VPN?

Ein VPN (Virtual Private Network) verschlüsselt Tunnel zwischen Unternehmensnetzwerken und zugelassenen Endnutzergeräten. Mit einem VPN können Remote-Mitarbeiter auf Netzwerkressourcen zugreifen, als ob sie in einem Büro arbeiten würden, das direkt mit dem Unternehmensnetzwerk verbunden ist. VPNs ermöglichen den Mitarbeitern einen sicheren Remote-Zugriff, ganz gleich, ob sie im Büro sind, zu Hause oder in einer anderen…

Zero Trust – Ein Konzept auf dem Prüfstand 

Unternehmen sollten nicht automatisch allem und allen in ihrem Netzwerk vertrauen – vom Benutzer bis hin zu sämtlichen Anwendungen. Das Zero-Trust-Konzept verlangt, alle Benutzer innerhalb eines Unternehmens zu authentifizieren und zu autorisieren, bevor ein Zugriff gewährt wird. Das Konzept wirklich zu verstehen, bedeutet, dass ein Unternehmen über Protokolle verfügt, mit denen die richtigen Benutzer, Systeme,…

Zero Trust: Nur ein Buzzword oder wichtiger Teil der Sicherheitsstrategie?

Das Zero-Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat. Besonders der plötzliche Umzug in die Cloud stellte viele Sicherheitsteams vor neue Herausforderungen. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee,…

Zero Trust Network Access – Was bedeutet ZTNA für sicheres mobile IT-Nutzung?

Fernarbeit und eine positive Arbeitserfahrung haben sich bisher meist gegenseitig ausgeschlossen. Für viele Unternehmen hat die Corona-bedingte, rasche Erweiterung der mobilen IT-Nutzung dieses Dilemma nur noch verstärkt und viele IT-Führungskräfte mitten in einem Tauziehen zwischen Sicherheit und Benutzerproduktivität zurückgelassen. Infolgedessen bewerten viele die aktuellen herkömmlichen Lösungen und erwägen nun einen Übergang zu Zero-Trust-Prinzipien. Aber was…

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

 

Zero-Trust-Security Webinarreihe

Warum das Konzept »Zero-Trust-Security« in der zukünftigen, hybriden Arbeitswelt immer wichtiger wird und welche Lösungsansätze und Komponenten sich dahinter verbergen, erfahren Sie in der brandneuen Webinarreihe der IT-Security Spezialisten von ESET.

Kostenfrei anmelden

Zscaler erweitert Zero-Trust-Security-Portfolio um ZPA Private Service Edge und Browser Isolation

Innovationen der Zero-Trust-Exchange-Plattform, Ressourcen und Best Practises überwinden die Hürden der Einführung von Zero Trust und beschleunigen die digitale Transformation. Zscaler, Anbieter von Cloud-Sicherheit, kündigt Innovationen für die Zscaler Zero-Trust-Exchange-Plattform an und rundet das Portfolio durch neue Angebote zur Sicherung digitaler Unternehmen ab. Neue Sicherheitslösungen, Ressourcen für IT-Führungskräfte sowie Implementierungsleitfäden zur Beschleunigung der Zero-Trust-Adaption werden…

Vertraue niemandem: Das Zero-Trust-Security-Modell

Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es…

Security über das Netzwerk hinaus – Integration von Endgerätesicherheit in die Zero-Trust-Strategie

Während der Begriff »Zero Trust« sofort an Netzwerksicherheit denken lässt, geht eine richtige Zero-Trust-Strategie mittlerweile über das Netzwerk hinaus – wie Palo Alto Networks meint. Endpunkte spielen eine wichtige Rolle, da sie Daten auf der ganzen Welt speichern und auf sie zugreifen, was sie zu verwundbaren Einstiegspunkten für Cyberangreifer macht. Da auf Daten und Anwendungen…

Zero-Trust: Vertrauen Sie niemandem!

Sicherheitsstrategien zur Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie. Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat gravierenden Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu verschiedenen internen Unternehmensressourcen haben. Für Unternehmen ist es jetzt besonders wichtig ihre…

Ein Zero-Trust-Modell mithilfe von File Integrity Monitoring (FIM) und Sicherheitskonfigurationsmanagement (SCM) implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen ihrer Netzwerke aus.…

Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?

Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…

Ein Zero-Trust-Modell mithilfe von FIM und SCM implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen…

Datenpannen in der Cloud – Ist der Zero-Trust-Ansatz die Lösung?

In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…

Cyberkriminalität auf dem Vormarsch: Das digitale Wettrüsten hat begonnen

Kaum eine Woche vergeht, ohne dass neue Berichte über Hacker-Angriffe publik werden. So sorgte zuletzt der Angriff auf den französischen Fernsehsender TV5 Monde für Aufsehen. Auch deutsche Unternehmen und Institutionen sehen sich zusehends mit hochprofessionellen Cyber-Attacken konfrontiert. Dabei ist der Cyber-Krieg bereits in vollem Gange – und die heimische Wirtschaft steht unter Zugzwang. Im April…