Schaffhausen – Die Möglichkeit, von zu Hause auf E-Mails zugreifen zu können, ist für Mitarbeiter mit einem Remote-Arbeitsplatz meist der einfachste Teil ihrer Aufgabe. In der heutigen vernetzten Welt genügt dies jedoch meist nicht, um alle Aufgaben erledigen zu können.
Von Candid Wüest, Vice President Cyber Protect Research, Acronis
Die aktuelle starke Zunahme von Benutzern, die von zu Hause arbeiten, belastet nicht nur die Bandbreite der Serveranwendungen (und die hierfür erforderlichen Lizenzen), sondern auch die Sicherheit. Die derzeit von vielen IT-Abteilungen hastig vorgenommenen Änderungen schaffen häufig zahlreiche neue Angriffsvektoren. Unternehmen fehlt häufig die Zeit, um für alle relevanten Services einen vollständigen Zero Trust-Ansatz zu implementieren. Wenn Mitarbeiter private Laptops verwenden, muss zumindest eine Sicherheitssoftware installiert sein, damit die Geräte zu einem gewissen Grad geschützt sind.
Privates Surfen und arbeitsbezogene Aufgaben
Wenn dieselbe Workload-Maschine für privates Surfen und arbeitsbezogene Aufgaben genutzt wird, kann das natürlich die Wahrscheinlichkeit von Infektionen erhöhen. Ausserdem muss die physische Sicherheit dieser Geräte berücksichtigt werden. So können zum Beispiel die Festplatten vollständig verschlüsselt sowie kurze Sitzungszeitlimits eingerichtet werden, um den potenziellen Schaden bei einem Diebstahl des Geräts zu minimieren. Zu beachten ist zudem, dass auf diesen Geräten vielleicht personenbezogene Informationen gespeichert werden, die entfernt werden müssen, wenn der Mitarbeiter das Unternehmen verlässt.
Grundsätzlich sollte für alle verwendeten Konten eine Richtlinie mit starken Kennwörtern und mehrstufiger Authentifizierung verwendet werden. Entsprechende Vorgaben werden in jedem Leitfaden zu empfohlenen Vorgehensweisen beschrieben.
VPN-Konzentrator mit mehrstufiger Authentifizierung
Firewall-Regeln sollten nicht für das gesamte Internet weit geöffnet werden. Sie sollten vielmehr so eng wie möglich gesetzt werden und nur konkrete IP-Adressblöcke für Remote-Mitarbeiter öffnen. Für den Remote-Zugriff auf interne Server kann zum Beispiel ein VPN-Konzentrator mit mehrstufiger Authentifizierung verwendet werden. Dieser empfohlene Ansatz lässt sich jedoch nur schwer quasi über Nacht und ohne Tests umsetzen. Das kann dazu führen, dass infizierte Workload-Geräte, die von Mitarbeitern zu Hause eingesetzt werden (z. B. als Computer für die Kinder), den VPN-Tunnel als Eintrittspunkt nutzen können, um sich im Intranet auszubreiten und weitere Maschinen zu kompromittieren.
Es gibt durchaus Möglichkeiten, interne Server mithilfe öffentlicher IP-Adressen über das Internet erreichbar zu machen. Das klingt verlockend, steigert jedoch das Risiko erheblich, dass anfällige Services von Angreifern ausgenutzt werden können. Daher sollten alle (direkt oder indirekt) erreichbaren Services stets gepatcht und abgesichert sein. Das gleiche gilt für RDP-Endpunkte, die über das Internet erreichbar sind. Zahlreiche Angreifer versuchen, per Brute-Force-Attacke auf Konten für diese Services oder mithilfe von Exploits für bekannte Schwachstellen auf diese Services zuzugreifen.
Dateifreigabe und Zusammenarbeit als Albtraum für Sicherheitsverantwortliche
Insbesondere Methoden zur Dateifreigabe und Zusammenarbeit können zum Albtraum für Sicherheitsverantwortliche werden, wenn dies übereilt und ohne richtige Implementierungsplanung eingeführt wird. Hierfür sollten nur zentrale, vom Unternehmen genehmigte interne oder Cloud-basierte Storage-Lösungen verwendet werden. Andernfalls ist die Wahrscheinlichkeit gross, dass nicht überwachte herkömmliche Speicherdienste wie Dropbox verwendet werden, um Dateien am Heimarbeitsplatz verfügbar zu machen. Dadurch könnten vertrauliche Dokumente an ungeschützte Speicherorte kopiert oder komplett kompromittiert werden. Mit CASB- und DLP-Lösungen lässt sich dieses Verhalten überwachen – sofern sie im Unternehmen bereits im Einsatz sind.
Abhängig von den Aufgaben und der Verteilung der Mitarbeiter bringt dies jedoch möglicherweise Compliance-Probleme mit sich, da personenbezogene Informationen die Grenzen des Unternehmens oder gar das Land verlassen und kompromittiert werden könnten. Insbesondere die europäische Datenschutzgesetzgebung enthält Vorgaben, die bei der Verarbeitung dieser Daten eingehalten werden müssen.
Infrastrukturänderungen dokumentieren und die Einrichtung überprüfen
Wir empfehlen, alle Infrastrukturänderungen zu dokumentieren und die Einrichtung zu überprüfen – und die Änderungen eventuell rückgängig zu machen, sobald sich die Situation normalisiert. Die Vergangenheit hat leider gezeigt, dass bei zukünftigen Sicherheitsszenarien wahrscheinlich zahlreiche anfällige Server vergessen werden.
Hinzu kommt, dass Angreifer diese Implementierungsänderungen häufig für Betrugsversuche und Phishing-E-Mails ausnutzen. Mitarbeiter sollten darauf aufmerksam gemacht werden, dass sie möglicherweise gefälschte E-Mails erhalten werden, die sich auf angebliche neue Prozesse beziehen, z. B. dass angeblich ein bestimmter VPN-Client installiert werden muss, damit der weitere Zugriff gewährleistet wird. Ebenso wie bei anderen betrügerischen E-Mails müssen Mitarbeiter wissen, wie sie diese erkennen und an ihre IT-Abteilung melden können.
Benutzer gehen meist den Weg des geringsten Widerstands. Das heisst: Wenn ihnen keine einfachen Arbeitsmittel zur Verfügung gestellt werden, finden sie andere, nicht genehmigte Methoden zum Erledigen ihrer Aufgaben. Das sollten man natürlich vermeiden, indem Sie ihnen von Anfang an gut dokumentierte Prozesse anbieten. (Acronis/mc/hfu)