vachom - stock.adobe.com
Angriffsflächen externer Zugriffe gezielt reduzieren
VPN war galt lange als Standard zur Anbindung. Als robuste Sicherheitsverbindung gedacht, wird es zunehmend von Angreifern angegangen und als Zugang zu Unternehmen missbraucht.
Über Jahre hinweg galt das Virtual Private Network (VPN) als unumstrittener Sicherheitsstandard, sobald externe Dienstleister, Freelancer oder Geschäftspartner Zugriff auf interne Unternehmensnetzwerke benötigten. Was einst als robuste Sicherheitsarchitektur konzipiert wurde, hat sich inzwischen zur präferierten Eintrittspforte für Cyberattacken entwickelt. Die technologisch überlegene Alternative lautet Privileged Access Security (PAS): ein Ansatz, der externe Zugriffsszenarien grundlegend neu strukturiert – feingranular kontrolliert, kontextspezifisch konfigurierbar und weitreichend automatisiert.
Eine effektive Eindämmung von Cyberangriffen setzt die konsequente Minimierung oder vollständige Eliminierung von Angriffsflächen voraus. Absolute Sicherheit bleibt dabei ein unerreichbares Ideal. VPN-Lösungen, lange als Quasi-Standard für den sicheren Remote-Zugriff Externer auf interne IT-Infrastrukturen gehandelt, weisen heute gravierende Schwachstellen aufgrund einer Architektur auf, die Angriffsvektoren systematisch begünstigt.
Strukturelle Defizite: Governance und Kontrolle von VPN-Zugängen
Einmal provisionierte VPN-Zugänge lassen sich in der Praxis nahezu unkontrolliert und dauerhaft nutzen. Dieses inhärente Kontrolldefizit stellt eine persistente Sicherheitsexposition dar: Es ist kaum detektierbar, ob ein kompromittierter VPN-Tunnel für unautorisierten Netzwerkzugang missbraucht wird. Angreifer können innerhalb des Netzwerks eine Privilege Escalation durchführen und erlangen damit Vollzugriff auf sämtliche Systeme sowie uneingeschränkte Möglichkeiten zur Datenexfiltration. Dies eröffnet die Option zur Datenmanipulation, zum Datendiebstahl oder zum Einschleusen von Schadsoftware.
Als technische Alternative wären sogenannte Jump-Hosts denkbar, die einen kontrollierten Zugang zu internen Ressourcen ermöglichen. Deren Betrieb ist jedoch administrativ aufwendig und die implementierbaren Sicherheitsmaßnahmen bleiben in ihrer Granularität begrenzt. Auch hier gilt: Wer einmal authentifizierten Zugang erlangt hat, dem öffnet sich potenziell das gesamte Netzwerk der Organisation.
Verschärfend wirkt die zunehmende Proliferation von IoT-Geräten, die gesicherte Wartungszugänge erfordern – von Kommunikationsanlagen über Gebäudemanagementsysteme bis hin zu Medizingeräten in klinischen Einrichtungen oder industriellen Steuerungssystemen. Die Zahl potenzieller Angriffsvektoren wächst kontinuierlich, während eine verlässliche Überwachung Tausender paralleler VPN-Verbindungen operativ kaum zu leisten ist.
Ursächlich hierfür ist vielfach der Mangel an qualifiziertem Fachpersonal für die laufende Governance bereits gewährter VPN-Zugänge. Häufig werden Remote-Zugänge unter Zeitdruck ad hoc eingerichtet, Berechtigungsumfänge bleiben dauerhaft unbeschränkt und überschüssige Ports verbleiben geöffnet. Im operativen Tagesgeschäft wird die Rücknahme oder Einschränkung von Zugriffsrechten nach Projektabschluss regelmäßig vernachlässigt. Das daraus resultierende Sicherheitsrisiko ist strukturell vorprogrammiert.
PAM als State-of-the-Art-Architektur für sicheren Privileged Access
Die nach aktuellem Stand der Sicherheitstechnik überlegene Architektur für diese Anforderungen ist PAM (Privileged Access Management). Das Konzept adressiert die systemischen Schwachstellen konventioneller VPN-Umgebungen und liefert sowohl flexible als auch hochsichere Lösungsansätze mit dem Potenzial zur vollständigen Substitution bestehender VPN-Infrastrukturen. Im Gegensatz zu konventionellen VPN-Lösungen, die undifferenziert Netzwerkzugang gewähren, operiert PAS nach dem Prinzip minimaler Rechtevergabe (Least-Privilege-Prinzip, POLP). Jeder externe Nutzer erhält ausschließlich Zugriffsberechtigungen auf jene Systeme und Ressourcen, die für die jeweilige Aufgabe zwingend erforderlich sind.
Vendor Privileged Access Management (VPAM) ermöglicht die Ablösung herkömmlicher VPN-Zugänge bei gleichzeitig deutlich präziserer und granularerer Konfigurierbarkeit auf Einzelnutzerebene, was eine substanzielle Erhöhung des IT-Sicherheitsniveaus bewirkt.
Die Implementierung mehrschichtiger Sicherheitskontrollen ist dabei integraler Bestandteil des Ansatzes. Kommunikationsverbindungen können auf den HTTPS-Standardport 443 beschränkt werden, sodass sämtlicher Datenverkehr über diesen einen Kanal abgewickelt wird und keine zusätzlichen Ports exponiert werden müssen. Nach erfolgter Authentifizierung kann eine explizite Zugriffsgenehmigung durch eine autorisierte interne Instanz eingeholt werden. Im Anschluss an abgeschlossene Wartungsarbeiten werden Credentials automatisiert rotiert, um die Ausnutzbarkeit ausgespähter oder aus dem Arbeitsspeicher extrahierter Passwörter zu unterbinden. Datentransfers können grundsätzlich unterbunden oder unter restriktiven Bedingungen freigegeben werden – etwa indem ein Datei-Upload eine gesonderte Genehmigung durch einen Berechtigungsverantwortlichen erfordert.
PAM-basierte Lösungen ermöglichen darüber hinaus die konsequente Umsetzung von Zero-Trust-Architekturen. Wartungs-Accounts können Just-in-Time zum Zeitpunkt des tatsächlichen Bedarfs provisioniert und nach Abschluss der Arbeiten automatisiert deprovisioniert werden. Organisationen, die keine eigene Infrastruktur betreiben möchten, können VPAM als vollständig verwaltete SaaS-Lösung aus der Cloud beziehen.
Transparenz und skalierbare Fernwartung
Das Privileged-Access-Security-Konzept bietet weitreichende Flexibilität bei der Absicherung externer Remote-Zugriffe und leistet gleichzeitig einen erheblichen Beitrag zur Prozessoptimierung.
Dienstleister mit einem umfangreichen Kundenstamm können ein dediziertes Customer Privileged Access Management (CPAM) etablieren und damit eine leistungsfähige Alternative zu herkömmlichen Remote-Maintenance-Tools realisieren. Die Onboarding-Prozesse für neue Wartungskunden gestalten sich mit CPAM signifikant effizienter und ressourcenschonender.
Ein konstitutives Merkmal aller PAM-Lösungen ist die vollständige und manipulationssichere Nachverfolgung sämtlicher Aktivitäten. Jede Systeminteraktion ist revisionssicher dokumentiert: Es lässt sich jederzeit lückenlos nachvollziehen, welcher Akteur zu welchem Zeitpunkt welche Konfigurationsänderungen an welchem System vorgenommen hat – einschließlich der verwendeten Parameter.
Im Kontext der Fernwartung medizintechnischer Großgeräte – etwa Computertomographen, MRT-Systeme oder Sterilisationsanlagen in Krankenhäusern – ermöglicht VPAM trotz lokal installierter Steuerungssoftware den direkten, kontrollierten Zugriff auf die jeweilige Steuerungseinheit. Kostenintensive Vor-Ort-Einsätze für Softwareupdates oder Rekonfigurationen entfallen damit. Dieses Szenario gilt analog für andere industrielle Großanlagen – etwa Offshore-Windenergieanlagen – und kann zu erheblichen Einsparungen bei Reise- und Personalkosten führen, ohne das Risiko einer VPN-Kompromittierung in Kauf nehmen zu müssen.
Starke Authentifizierungsmechanismen als Sicherheitsfundament
PAS-Lösungen – einschließlich VPAM und CPAM – erlauben die verbindliche Vorgabe differenzierter Authentifizierungsverfahren für externe Nutzer. Die Bandbreite reicht von Hardware-Token und biometrischen Verfahren (Fingerabdruckerkennung oder Gesichtsauthentifizierung) über Windows Hello bis hin zu OTP-Codes per E-Mail oder SMS. Bei erhöhten Sicherheitsanforderungen kann eine Multifaktor-Authentifizierung jenseits der klassischen Zwei-Faktor-Verifikation konfiguriert werden. Ebenso lassen sich Aktionsprofile für externe Akteure präzise definieren – etwa hinsichtlich Dateitransferberechtigungen oder der Nutzung des Remote Desktop Protocol (RDP). Für eine lückenlose Nachvollziehbarkeit können bei Bedarf Keystroke-Logging und Session-Recording aktiviert werden.
Bei Cloud-basiertem VPAM-Betrieb können Hersteller und Servicepartner sich eigenständig für definierte Fernzugriffe registrieren. Führende Industrieunternehmen wie General Electric, Philips oder Siemens sind in entsprechenden Lösungen bereits vorkonfiguriert und müssen lediglich aktiviert werden. Für den Zugriff auf IoT-Endgeräte oder Maschinen, die über lokal installierte Applikationen angesteuert werden, steht ein sicheres Tunneling über HTTPS-Verbindungen zur Verfügung.
„Das kontinuierlich eskalierende Bedrohungspotenzial durch Cyberangriffe verpflichtet IT-Verantwortliche, CISOs, CIOs und Unternehmensführungen gleichermaßen, proaktive Gegenmaßnahmen zu implementieren. Die EU-Richtlinie NIS2 erhöht den regulatorischen Handlungsdruck zusätzlich.“
Olaf Milde, Imprivata
Von der Übergangstechnologie zur strategischen Ablösung
Die Ära des flächendeckenden VPN-Einsatzes als universelle Antwort auf alle Remote-Access-Anforderungen neigt sich ihrem Ende. Der Paradigmenwechsel vollzieht sich hin zu webbasierten Zugangsplattformen, an denen externe Nutzer sich authentifizieren und verifizieren müssen. Die zertifikatsbasierte Authentifizierung bietet dabei ein fundamental höheres Sicherheitsniveau als die traditionelle Eingabe von Benutzername und Passwort. Zukunftsweisend sind passwortlose Authentifizierungsverfahren mittels biometrischer Gesichtserkennung, Passkeys oder dem offenen Standard FIDO2 (Fast Identity Online), der passwortlose Authentifizierung auf Basis asymmetrischer Kryptographie ermöglicht.
Das kontinuierlich eskalierende Bedrohungspotenzial durch Cyberangriffe verpflichtet IT-Verantwortliche, CISOs, CIOs und Unternehmensführungen gleichermaßen, proaktive Gegenmaßnahmen zu implementieren. Die EU-Richtlinie NIS2 erhöht den regulatorischen Handlungsdruck zusätzlich, da Unternehmensverantwortliche bei nachweislichem Versäumnis im Bereich des IT-Risikomanagements in die persönliche Haftung genommen werden können. Vor diesem regulatorischen Hintergrund und durch die immer mehr zunehmenden Cyberbedrohungen ist der Übergang von VPN-Infrastrukturen zu Privileged-Access-Security-Lösungen nicht länger eine Option, sondern eine strategische Notwendigkeit.
Über den Autor:
Olaf Milde ist Manager Solutions Engineering Central Europe bei Imprivata.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
