Best Practices für den sicheren Fernzugriff auf Unternehmen

Richtlinien für den Fernzugriff festlegen

Die Grundlage jeder Fernzugriffslösung ist eine umfassende Richtlinie für Remote Access. Diese Richtlinie sollte die allgemeinen Anforderungen für einen sicheren Remote-Zugriff, einschließlich der zulässigen Nutzung, festlegen und die möglichen Konsequenzen bei Verstößen gegen diese Anforderungen darlegen. Die Richtlinie sollte mindestens die folgenden Themen behandeln:

• Die Formen des Fernzugriffs, die das Unternehmen zulässt, wie zum Beispiel VPNs.
• Die Arten von Geräten, die die jeweilige Fernzugriffsform nutzen können – beispielsweise vom Unternehmen bereitgestellte Notebooks im Vergleich zu privaten Smartphones – sowie alle weiteren Anforderungen, die diese Geräte erfüllen müssen.
• Die Arten von Ressourcen, die über den Fernzugriff genutzt werden können, einschließlich etwaiger Einschränkungen für bestimmte Fernzugriffsformen oder Gerätetypen.
• Alle Anforderungen an die zulässige Nutzung von Fernzugriffstechnologien, die nicht bereits in der Richtlinie zur zulässigen Nutzung der Organisation behandelt werden.

Vom Unternehmen bereitgestellte Geräte nutzen

Über Jahre hinweg galt BYOD als großer Trend, bei dem die Mitarbeitende ihre eigenen Geräte nutzen können, um sich mit der Firmen-IT zu verbinden. BYOD ermöglicht vielen Nutzern das Arbeiten im Home-Office, doch die Endgerätesicherheit leidet darunter. Unternehmen können die Sicherheit der eigenen Geräte einigermaßen streng kontrollieren. Bei den privaten Geräten sind die Möglichkeiten der Richtlinien und Kontrolle begrenzter.

Um dieses Risiko zu minimieren, sollten Remote-Nutzer primär mit firmeneigenen Geräten ausgestattet werden. Das kann je nach Ausprägung auch Auftragnehmer und Partner einschließen. Daher kann es sinnvoll sein BYOD auf eine sehr begrenzte Gruppe zu beschränken.

Fernzugriff auf interne Ressourcen regeln

VPNs sind seit Jahrzehnten ein fester Bestandteil von Fernzugriffsservern. Ein VPN bietet einen einzigen, gut gesicherten und überwachten Zugangspunkt, der Sicherheitsrichtlinien für die Benutzer und Geräte durchsetzt, die versuchen, darauf zuzugreifen.

Die meisten VPN-Technologien bieten eine Reihe von Cybersicherheitsfunktionen. Dies reicht von der Authentifizierung von Benutzern und Geräten bis hin zur Überprüfung des Sicherheitsstatus von Geräten, bevor der Zugriff auf interne Ressourcen gewährt wird. Dies ist sowohl für Benutzer als auch für Administratoren äußerst praktisch. Die Alternative wäre, dass Benutzer direkt und separat auf jede einzelne interne Ressource zugreifen müssten, wobei die Administratoren jeden Schritt des Prozesses verwalten und überwachen müssten.

In den letzten Jahren sind VPN-Alternativen wie Secure Access Service Edge (SASE) und Zero-Trust Network Access (ZTNA) hinzugekommen. Die meisten Unternehmen müssen mindestens eine dieser Fernzugriffstechnologien implementieren, um den Zugriff auf interne Ressourcen zu sichern. Der Zugriff auf alle Ressourcen über eine einzige VPN-, SASE- oder ZTNA-Instanz kann sich als kompliziert erweisen, da viele Ressourcen Cloud-basiert und öffentlich zugänglich sind. Ein gängiges Beispiel ist die Nutzung von SaaS zum Hosten von E-Mail-Diensten. Wenn ein Mitarbeiter lediglich per Fernzugriff auf E-Mails zugreifen muss, kann es umständlich und ineffizient sein, ihn zu zwingen, sich über eine Appliance in der Zentrale zu verbinden. Alternativen bestehen darin, den direkten Zugriff auf risikoarme Cloud-basierte Ressourcen zuzulassen oder Cloud-basierte Fernzugriffsdienste in Verbindung mit oder anstelle von lokalen Fernzugriffs-Appliances und -Software zu nutzen.

Die Sicherheit von Endgeräten auf den Prüfstand stellen

Eines der größten Risiken beim Fernzugriff sind kompromittierte Benutzergeräte. Werden diese Geräte einmal kompromittiert, verschaffen sie Angreifern direkten Zugriff auf die internen Netzwerke und Systeme des Unternehmens sowie die Kontrolle darüber.

Um dem entgegenzuwirken, sollten die Endgeräte der Benutzer auf Kompromittierungen überprüft werden, bevor ihnen die Nutzung interner Ressourcen gestattet wird. VPN, SASE und ZTNA führen automatisch Sicherheitsüberprüfungen an vom Unternehmen bereitgestellten Geräten und in geringerem Umfang auch an BYOD-Geräten durch.

Bei Sicherheitsüberprüfungen sollten je nach Betriebssystem des Endgeräts folgende Punkte überprüft werden:

• Ob der Endpunkt von der Organisation verwaltet wird oder für die BYOD-Nutzung zugelassen ist.
• Ob das Betriebssystem auf dem neuesten Stand ist.
• Ob Antimalware-Software ausgeführt wird und auf dem neuesten Stand ist.
• Ob andere vorgeschriebene Security-Tools oder -konfigurationen, wie beispielsweise hostbasierte Firewall-Regeln, aktiviert und ordnungsgemäß konfiguriert sind.
• Darauf, dass auf dem Endgerät keine Anzeichen für Malware, Exploit-Kits oder andere Angriffstools vorliegen.

Multifaktor-Authentifizierung anwenden

Die klassische Anmeldung mit Kennung und Passwort birgt ein hohes Sicherheitsrisiko. Ein Angreifer kann sich ein Passwort durch Social Engineering, Phishing, Erraten, Brute-Force-Angriffe oder die Wiederverwendung eines kompromittierten Passworts aus einem anderen Konto desselben Benutzers verschaffen. Ohne die Überprüfung eines zweiten Authentifizierungsfaktors, der nicht ebenfalls etwas ist, das man weiß ist, könnten Angreifer, die das Passwort eines beliebigen Benutzers kennen, problemlos in das interne Netzwerk des Unternehmens eindringen.

Legen Sie für den Fernzugriff auf interne Ressourcen eine Zwei-Faktor-Authentifizierung oder Multifaktor-Authentifizierung (MFA) fest und, sofern möglich, auch für den Fernzugriff auf öffentlich zugängliche Ressourcen. Die MFA vereinfacht, insbesondere in Verbindung mit Single Sign-On, den Authentifizierungsprozess für Benutzer und bietet gleichzeitig ein deutlich höheres Maß an Sicherheit, dass der Benutzer tatsächlich der ist, für den er sich ausgibt.

Heutige MFA-Anmeldungen lassen sich benutzerfreundlich implementieren und müssen kein Passwort enthalten. Mitarbeitende werden es begrüßen, wenn sie die Verwendung und Verwaltung von Passwörtern reduzieren oder auf ein Minimum beschränken können.

Die gesamte Netzwerkkommunikation von Ende zu Ende verschlüsseln

Der gesamte Netzwerkverkehr beim Fernzugriff sollte durchgehend verschlüsselt sein. Fernzugriffstechnologien wie VPN, SASE und ZTNA gewährleisten die Vertraulichkeit und Integrität des Netzwerkverkehrs, der zwischen ihren Plattformen und den Endgeräten der Benutzer übertragen wird. Allerdings schützen diese Plattformen den Netzwerkverkehr nicht unbedingt, wenn er zwischen den Fernzugriffstechnologien und den Systemen und Netzwerken hinter diesen Frameworks übertragen wird.

Überprüfen Sie die mit dem Fernzugriff verbundenen Netzwerkdatenströme, ermitteln Sie, welche Daten unverschlüsselt übertragen werden, und stellen Sie fest, welche dieser Daten geschützt werden müssen. Stellen Sie sicher, dass die erforderlichen Schutzmaßnahmen getroffen werden. Dies gilt insbesondere für VPNs, deren Schutzbereich sich selten über den VPN-Server selbst hinaus erstreckt. Es gibt zahlreiche Möglichkeiten, darunter den Einsatz von Proxy-Servern zur Verschlüsselung des Datenverkehrs zwischen dem VPN und internen Ressourcen sowie die Verschlüsselung interner Netzwerksegmente auf niedrigerer Ebene, wodurch sich eine Verschlüsselung auf höherer Ebene unter Umständen erübrigt.

Eine Zero-Trust-Architektur einführen

Die Zero-Trust-Architektur basiert auf dem Prinzip, den Zugriff so streng wie möglich zu beschränken. Wie der Name schon sagt, überprüft Zero Trust, ob Personen und Geräte vertrauenswürdig sind, anstatt dies einfach vorauszusetzen.

Eine Zero-Trust-Architektur umfasst zahlreiche Technologien, die eng zusammenarbeiten, um Zero Trust im gesamten Unternehmen durchzusetzen. ZTNA ist zwar für eine Zero-Trust-Architektur nicht zwingend erforderlich, stellt jedoch eine nützliche Komponente dar; darüber hinaus sind jedoch noch viele weitere Elemente notwendig – und diese müssen ordnungsgemäß integriert und konfiguriert werden.

Die Umstellung auf eine Zero-Trust-Architektur erfordert in der Regel jahrelange Planung und die schrittweise Einführung von Komponenten, bevor die gesamte Architektur vollständig integriert und alle Richtlinien durchgesetzt werden können. Unternehmen, die den Einsatz einer Zero-Trust-Architektur zur Sicherung ihres Fernzugriffs in Betracht ziehen, müssen andere Maßnahmen zur Sicherung des Fernzugriffs ergreifen, bis die Zero-Trust-Architektur vollständig implementiert ist und im Produktivbetrieb läuft.

Anwender mit Remote-Zugriff richtig schulen

Klären Sie alle Nutzer von Fernzugriffslösungen über die Bedeutung der Remote-Access-Sicherheit auf, um das Risiko von Handlungen zu verringern, die das Unternehmen gefährden könnten. Schulen Sie die Nutzer erneut, sobald sich die Technologien und Vorgehensweisen im Bereich Fernzugriff ändern. Bieten Sie regelmäßige Auffrischungskurse an, auch wenn sich die Vorgehensweisen nicht wesentlich geändert haben.

Benutzerschulungen sind nicht nur für Mitarbeitende gedacht, sondern auch für Auftragnehmer, Geschäftspartner, Lieferanten und alle anderen Personen, die die Fernzugriffstechnologien des Unternehmens nutzen. Die Schulungen sollten sowohl physische als auch technische Sicherheitsmaßnahmen abdecken. Weisen Sie die Benutzer beispielsweise an, ungesicherte Geräte niemals unbeaufsichtigt in öffentlichen Bereichen liegen zu lassen.

Während vertraulicher Besprechungen und Telefonaten sollten alle Sprachassistenten in der Umgebung deaktiviert werden. Anderen Haushaltsmitgliedern sollte nicht gestattet werden, die vom Unternehmen bereitgestellten Endgeräte wie Notebook, Tablet oder Smartphone zu nutzen.

Die Anzahl der Remote-Nutzer im Griff behalten

Es ist im Allgemeinen nicht ratsam, jedem in der Organisation automatisch Fernzugriff zu gewähren. Sofern Fernzugriff nicht wirklich erforderlich ist, erhöht seine Bereitstellung für zusätzliche Personen das Risiko, ohne einen Nutzen zu bieten.

Gewähren Sie Fernzugriff nur denjenigen Benutzern, die ihn zur Erfüllung ihrer Aufgaben benötigen, und tun Sie dies erst, nachdem sie in sicheren Methoden für Remote Access geschult wurden und die Fernzugriffsrichtlinie der Organisation gelesen und unterzeichnet haben.

Weisen Sie nach Möglichkeit jeder Person ein eigenes Benutzerkonto zu, anstatt gemeinsame Fernzugriffskonten zuzulassen. Dies kann insbesondere für Lieferanten und andere Dritte eine Herausforderung darstellen, die Fernzugriff benötigen, aber keine bestimmte Person oder kleine Gruppe haben, die diese Aufgaben übernimmt. Ein eigenes Konto für jede Person erhöht die Verantwortlichkeit.

Entziehen Sie die Berechtigungen für den Fernzugriff, sobald er nicht mehr benötigt wird. Dies gilt, insbesondere wenn jemand das Unternehmen unter ungünstigen Umständen verlässt, beispielsweise aufgrund einer Kündigung aus triftigem Grund. Der Fernzugriff wird kann von diesen Nutzern ansonsten im Zweifel missbraucht werden.

Remote-Access-Aktivitäten im Blick behalten

Es nützt nichts, wenn ein Unternehmen diese bewährten Verfahren für sicheren Fernzugriff einführt, ohne gleichzeitig alle Fernzugriffsserver und alle damit verbundenen Aktivitäten kontinuierlich zu überwachen. Da diese Server wichtige Zugangspunkte zum Unternehmen darstellen, sind sie naheliegende Ziele für Angreifer. Ihre Sicherheit ist von größter Bedeutung.

Überwachen Sie stets alle Fernzugriffsserver mithilfe von Sicherheitstechnologien und stellen Sie sicher, dass menschliche Analysten bereitstehen, um im Falle eines potenziellen Angriffs oder verdächtiger Aktivitäten sofort einzugreifen. Beobachten und analysieren Sie die Fernzugriffsaktivitäten sorgfältig, um Anomalien und andere Anzeichen für eine Kompromittierung zu erkennen. Wenn beispielsweise eine bestimmte Benutzerin nur wenige Stunden, nachdem sie in der Zentrale anwesend war, versucht, sich von einem weit entfernten Ort der Welt aus zu verbinden, ist dies ein deutlicher Hinweis darauf, dass das Konto möglicherweise kompromittiert wurde.

Oder wenn ein Benutzer beginnt, große Mengen an Dateien von internen Servern auf sein Notebook herunterzuladen, könnte dies auf eine Insider-Bedrohung hindeuten. Etwa auf jemanden, der versucht Daten abzugreifen. Oder auf einen Angreifer, der ein kompromittiertes Notebook nutzt, um sensible Informationen aus internen Systemen zu sammeln. In jedem Fall erfordern unerwartete Aktivitäten weitere Untersuchungen, damit sie so schnell wie möglich gestoppt werden können – insbesondere, wenn sie böswillig sind.

Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.