Zero Trust – Schlüsselmaßnahmen für sicheres Remote-Arbeiten

Ein Remote-Access-Service (RAS) muss heute sicher, schnell und frei von Barrieren sein, ohne Umwege funktionieren und dabei der Unternehmens-Security trotz der Vielzahl an Zugängen eine hohe Transparenz bieten. Der bei Unternehmen nach wie vor beliebte VPN-Zugang kann diesem Anforderungsprofil nicht vollständig entsprechen. Nur ein Zero-Trust-Konzept in Verbindung mit einem intensiven Monitoring der Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode ist geeignet, die Anforderungen der modernen Arbeitswelt mit denen der IT-Security in Einklang zu bringen.

Virtuelle Private Netzwerke (VPNs) sind in der Unternehmenswelt der zentrale Standard bei der Übertragungstechnologie, wenn es um Remote Access-Sicherheit geht. Die Herausforderung: Der rapide gestiegene Bedarf an gesicherten Fernverbindungen während der Pandemie hat die Mängel dieser Technik offengelegt. Wenig skalierbar, schlechte Übertragungsqualität und vor allem das Risiko, dass Hackern über einen kompromittierten Remote-Mitarbeiter-Zugriff Zugang zum gesamten Firmennetz bekommen. Denn verfügen die Mitarbeiter über privilegierte Zugriffsrechte auf Unternehmensnetze, besteht die Gefahr, dass sich Unbefugte als rechtmäßige Administratoren ausweisen. Darum ist es dringend notwendig, alte Zöpfe (VPNs) abzuschneiden und auf Zero Trust umzusteigen, auch wenn viele IT-Abteilungen mit VPN gut vertraut sind und gern daran festhalten.

Für die Umsetzung eines Zero Trust-Konzepts sind einige Maßnahmen erforderlich, die im Folgenden ausführlich vorgestellt werden sollen.

Konzentration auf die Geräte der Mitarbeiter. Ein unternehmensweites Gerätemanagement ist der erste Schritt zu Zero-Trust.

Früher war es sinnvoll, externe Verbindungen direkt von der Zweigstelle ins Internet, zu SaaS-Anwendungen und zu den Rechenzentren des Unternehmens herzustellen sowie Firewalls vor Ort zu installieren, um zusätzliche Sicherheitsebenen zu schaffen. Heute präferieren Netzwerk- und Sicherheitsverantwortliche einen gerätezentrierten Ansatz. Hier sind die einzelnen Büros nicht mehr Knotenpunkte eines Unternehmensnetzwerks, sondern eher Internetcafés. Die Konnektivität wird bereit- und die Sicherheit auf den Mitarbeitergeräten mit folgenden Schritten sichergestellt:

• Alle Geräte werden über eine Verwaltungsplattform in ein Unternehmenssicherheitsprogramm eingetragen. Im Gegenzug für eine bessere Konnektivität ist deren Nutzung jedoch an bestimmte Bedingungen gebunden.
• Jedes Gerät wird über die Plattform automatisch mit den neuesten Updates gepatcht und eine ständige Fehlerbehebung durchgeführt. Gleichzeitig findet ein Scan auf bösartige Dateien und Viren statt und das Gerät wird bei Befund aus dem Netzwerk eliminiert.
• Die Geräte senden ihren ausgehenden Datenverkehr über ein sicheres Web-Gateway (SWG) zur Analyse und Anwendung der Unternehmensrichtlinien, die bereits auf der Geräteebene durchgesetzt werden, um Schatten-IT-Anwendungen oder das unerlaubte Abgreifen von Informationen zu verhindern. Der Datenverkehr wird dabei zentral protokolliert und vom Administrator ausgewertet.
• Das Surfen der Mitarbeiter mit ihren Geräten im Internet findet in einem isolierten Container, einer sicheren Sandbox, statt.
• Verlässt ein Mitarbeiter das Unternehmen, kann die Verwaltungsschnittstelle alle sensiblen Unternehmensdaten sofort auf jedem Gerät löschen.

Zero Trust Network Access umsetzen

VPNs sind mit vielen Kompromissen verbunden und verursachen Latenz und Frustration, insbesondere für global verteilte Teams. Zudem verwenden sie ein Sicherheitsmodell, das gegen viele Bedrohungen nicht mehr wirksam ist. Jeder, der sich erfolgreich mit einem Unternehmens-VPN verbindet, wird als vertrauenswürdig eingestuft, ohne dass nach der Verbindung zusätzliche Prüfungen stattfinden. Zudem ist die alte Hypothese, dass eine mit Firewalls gesicherte Umgebung optimal geschützt ist und auf die Anwender von außen nur über VPN Tunnel zugreifen kann, längst fragwürdig geworden, da es das mobile Arbeiten und die Konnektivität erschwert und zudem keinen Schutz mehr bietet, befindet sich ein Angreifer bereits innerhalb der Firewall. Die Bedenken hinsichtlich dieses allzu freizügigen Modells werden durch die von VPNs unterstützte, wenig zuverlässige Protokollierung, noch verschärft – diese zeichnen die IP-Adresse eines Benutzers auf, aber keine der Anwendungen oder Daten, auf die er zugegriffen hat. Für Sicherheitsteams ist es nicht nur schwierig, Protokolle der Benutzeraktivitäten für die Einhaltung von Vorschriften zu erstellen, sondern es ist auch fast unmöglich, die Schritte des Angreifers zurückzuverfolgen, sollte ein Benutzerkonto kompromittiert worden sein.

Das Ersetzen von VPN-Verbindungen durch Zero Trust Network Access (ZTNA) ist ein wichtiger Schritt zur Einführung eines Zero Trust-Modells. Mittels ZTNA wird das Prinzip der geringsten Privilegien bei geschäftskritischen Anwendungen umgesetzt. Durch die Anwendung von Mikroperimetern um jede Anwendung herum, das Verstecken von Anwendungen hinter verschlüsselten Verbindungstunneln und die Protokollierung jeder Anfrage kann ZTNA die Prozesse rund um das Identitäts- und Zugriffsmanagement (IAM) vereinfachen.

Die schwierigste Aufgabe für jedes Unternehmen ist es, dass jeder Mitarbeiter ausschließlich Zugang zu den Tools und Daten hat, die er für seine Arbeit braucht. Diese Aufgabe wird mit zunehmender Größe der Belegschaft immer komplexer und erfordert meist auch interne Umstrukturierungen. Ist das Authentifizierungssystem erstmal eingerichtet, geht das On- und Off-Boarding reibungslos vonstatten. Jeder neue Mitarbeiter und Auftragnehmer erhält schnell die Rechte für seine Anwendungen, die er benötigt, und kann sie leicht über ein Launchpad erreichen. Wenn jemand das Team verlässt, wird die Konfigurationsänderung auf alle Anwendungen angewendet, so dass es kein Rätselraten mehr gibt.

Den Zugang für Mitarbeiter, Auftragnehmer und Lieferanten vereinfachen und Datenverkehr filtern

Viele Unternehmen benötigen eine sichere Methode zur Verwaltung ihrer Auftragnehmer und anderer Drittparteien. Komplizierte On- und Off-Boarding-Prozesse können die Vorteile der externen Unterstützung untergraben. Es muss sichergestellt werden, dass Mitarbeiter, Auftragnehmer und Lieferanten nur so lange auf Daten und Tools zugreifen können, wie sie diese benötigen. Moderne Authentifizierungslösungen ermöglichen es den Auftragnehmern, sich mit bereits vorhandenen Konten anzumelden – wie Gmail, Facebook oder LinkedIn. Dennoch müssen sie dasselbe Maß an Sicherheit, Protokollierung und detaillierten Berechtigungen bieten wie eine Anmeldung mit einem neuen, auf den eigenen Systemen erstellen Konto.

Single Sign-On (SSO)-Authentifizierungsmethode

Ein ideales System ist die Single Sign-On (SSO)-Authentifizierungsmethode. Sie ermöglicht es Mitarbeitern wie Drittparteien, sich auf sichere Weise bei mehreren Anwendungen und Webseiten zu authentifizieren und dabei nur einmal ihre Anmeldedaten einzugeben. Besonders sicher ist die Verwendung eines Einmalkennworts (OTP), welches oft in Kombination mit einem normalen Passwort als zusätzlicher Authentifizierungsmechanismus verwendet wird. Gerne wird auch die Zwei-Faktor-Authentifizierung verwendet, also die Kombination von zwei korrekten Faktoren wie Bank-App auf sicherem Smartphone + TAN, Passwort + Fingerabdruck oder Passwort + Zahlencode übers Smartphone. Mittels solchen Methoden wird eine dynamische Zugangs- und Zugriffsberechtigung etabliert, mit der sich Mitarbeiter an alle Ressourcen anmelden kann, die er für seine Aufgabenerledigung benötigt.

Monitoring an Spezialisten auslagern

Je besser das Monitoring funktioniert, desto sicherer wird der Datenverkehr. Die dynamische Entwicklung bei Cybersecurity-Bedrohungen lässt regelmäßig technische Probleme, Abdeckungslücken und neue Schwachstellen im Unternehmen auftauchen. Deshalb gilt es Schritt zu halten mit der Erkennung immer neuer Varianten und Methoden. Und deswegen ist es ratsam, das Monitoring an einen externen Spezialisten auszulagern, der stets die aktuellen Entwicklungen im Auge hat. Auch der Einsatz von Cyber-Graphen ist äußerst nützlich, um immer raffiniertere und gezieltere Bedrohungen zu erkennen. Durch das Verständnis der Beziehungen und Verbindungen zwischen Absendern und Empfängern, einschließlich der Stärke oder Nähe der Beziehungen, können anormale Verhaltensweisen erkannt, Mitarbeiter gewarnt und Angriffe verhindert werden. Der Cyber-Graph entfernt auch eingebettete E-Mail-Tracker, die Angreifern Informationen für gezielte Angriffe liefern können, und macht Mitarbeiter auf potenziell falsch adressierte E-Mails aufmerksam, um Datenverluste zu vermeiden.

Secure Web-Gateways (SWGs) inklusive Richtlinien einrichten

Sichere Web-Gateways (SWGs) werden meist als SaaS-Sicherheitsplattformen angeboten, die den Datenverkehr von Mitarbeitergeräten abfangen. Sobald der Datenverkehr abgefangen wird, wendet das Gateway Filterregeln auf den ein- und ausgehenden Datenverkehr an. Mit demselben Filtermechanismus können Administratoren auch Richtlinien festlegen, die kontrollieren, wie ein Benutzer mit Unternehmensdaten interagiert. So könnte ein Administrator beispielsweise Secure-Web-Gateway-Richtlinien einrichten, um:

• Websites zu blockieren, die als Phishing-Betrug gekennzeichnet sind,
• Aktivitäten innerhalb von SaaS-Anwendungen zu protokollieren und zu überwachen,
• Mitarbeiter der Marketingabteilung daran zu hindern, das Verwaltungsportal einer CRM-Anwendung des Unternehmens zu besuchen,
• Datei-Uploads und -Downloads von nicht genehmigten Cloud-Speicher-Sites wie Dropbox zu begrenzen.

SWGs sind zwar leistungsstark, aber sie sind darauf angewiesen, dass die Administratoren Regeln und Richtlinien zum Schutz ihres Unternehmens konfigurieren.

Browser-Isolierungsdienste nutzen

Ein Webbrowser, der die Benutzer mit dem Internet verbindet, verbindet ihn auch mit allen potenziell schädlichen Teilen des Internets. Er ist ein offenes Tor zu fast jedem vernetzten System auf dem Planeten, was mächtig und erschreckend zugleich ist. Um die Daten zu schützen, die auf den Geräten gespeichert sind oder auf die sie zugreifen, haben Unternehmen damit begonnen, Browser-Isolierungsdienste einzusetzen, bei denen der Browser selbst nicht auf dem Gerät ausgeführt wird. Stattdessen wird der Browser auf einer virtuellen Maschine bei einem Cloud-Anbieter ausgeführt. Da er nicht auf dem Gerät läuft, bleiben die vom Browser ausgehenden Bedrohungen auf diesem virtuellen Rechner in der Cloud.

Schon mit den oben skizzierten Maßnahmen, die gern auch Bestandteil einer umfassenden Security-Strategie sein können, werden schnell die kritischsten Schwachstellen behoben, die Unternehmens-Security nachhaltig und wirksam aufgestellt und den Mitarbeitern ein Einfaches, sicheres und schnelles Arbeiten (remote, hybrid, on-premise) geboten. Bei der Umsetzung entsprechender Security-Ansätze sollten externe Spezialisten, zum Beispiel von Rackspace, hinzugezogen werden. Die Experten führen zunächst einen Security Discovery Workshop zur Bestandsaufnahme und Entwicklung einer passgenauen Security-Roadmap durch und begleiten in der Regel das Unternehmen während der gesamten Umsetzung.

Autor: Kristof Riecke, CISO bei Rackspace Technology