Home Office (Bild: Paige Cody auf Unsplash.com)

Die Massnahmen zur Kontaktbeschränkung aufgrund der Pandemie führten in der ersten Jahreshälfte 2020 weltweit zu einem raschen Anstieg der Telearbeit. In den meisten Fällen waren Unternehmen gezwungen, nach pragmatischen Lösungsansätzen für den Fernzugang zu greifen, um die Produktivität der Mitarbeiter aus dem Home-Office am Laufen zu halten. Kriterien, wie Leistungsfähigkeit und Sicherheit standen dabei vielfach nicht im Vordergrund.

Gastbeitrag von Gregor Keller, Director Sales Engineering CEUR bei Zscaler

Nachdem sich die ersten Wogen der Corona-Krise in Europa zu glätten beginnen, sollte nun ein Check-up der ergriffenen Massnahmen hinsichtlich Performanz und Cybersicherheit die nötige Aufmerksamkeit erhalten. Denn immerhin arbeitete nach einer Erhebung des deutschen IT-Branchenverbandes Bitkom von Mitte März 2020 infolge der Corona-Pandemie jeder zweite Berufstätige (49 Prozent) ganz oder zumindest teilweise im Home Office. Durch den Lock down stieg allerdings auch das Malware-Infektionsrisiko für Firmennetzwerke. Ursache dafür sind einerseits Schwachstellen älterer Fernzugriffstechnologien, und andererseits Rückkehrer an den Arbeitsplatz, wenn diese mit Malware infizierte Geräte zurück ins Unternehmensnetz bringen. Eine Risikobewertung der neuen Arbeitssituation ist auch deshalb zum jetzigen Zeitpunkt noch angeraten, da viele Unternehmen ihren Mitarbeitern aufgrund der positiven Erfahrungen auch zukünftig die Flexibilität des mobilen Arbeitens aus dem Home-Office ermöglichen wollen.

Aufgrund des erhöhten Gefahrenpotenzials durch den Heimarbeitsplatz sollten IT-Abteilungen einen genaueren Blick auf die vorhandene Infrastruktur für den Fernzugriff auf Anwendungen und Daten werfen, Schwachstellen erkennen und beheben. Technologie, Sicherheit und die Aufrechterhaltung des Betriebs müssen effektiver aufeinander abgestimmt werden, um den Malware-Akteuren einen Schritt voraus zu sein. IT- und Sicherheitsverantwortliche tun dementsprechend gut daran, einen Gesundheitscheck der Telearbeitsplätze durchzuführen. Die folgenden sechs Punkte können dabei helfen:

Punkt #1: Skalierbarkeit für die Aufrechterhaltung des Geschäftsbetriebs:
Als das Ausmass der Pandemie deutlich wurde und damit einhergehend die Anzahl der Belegschaft im Home-Office rasch anstieg, verfügten viele Unternehmen nicht über die nötige Bandbreite, um dem Bedarf gerecht zu werden. In aller Regel mussten sie feststellen, dass ihre Infrastruktur nicht dafür ausgelegt war, um einer fast vollständigen Umstellung auf Telearbeit standzuhalten. Da immer mehr Anwender eine Fernverbindung zum Firmennetz benötigten, zeigten sich Performance-Engpässe beim Zugriff auf das Netzwerk mit damit einhergehender Latenz, eingeschränkte Zuverlässigkeit der Anbindung und in der Folge höhere Kosten durch den steigenden MPLS-Datenverkehr.

Anstatt auf die Krise mit der Implementierung von höherer Netzwerkkapazität zu reagieren, bietet sich auch die Evaluierung von alternativen Ansätzen an. Eine Cloud-native Lösung wächst flexibel mit der steigenden Anzahl mobiler Mitarbeiter mit und sollte in der Telework-Score Card aufgrund der Skalierbarkeit eine höhere Bewertung erhalten, als das Aufstocken der Kapazität vorhandener Architektur.

Punkt #2: Offenlegung der Infrastruktur und damit Gefährdung durch externe Angriffe:
Unternehmen sollten die Anzahl der Ports und Protokolle der Geräte evaluieren, die sie durch die Anbindung an das Internet dort offenlegen. Eine Ausweitung des traditionellen Ansatzes für den Fernzugriff geht damit einher, dass durch mehr Sicherheits-Appliances auch mehr Ports, Protokolle und IP-Adressen exponiert und damit im Internet sichtbar sind. Je mehr sich das Unternehmen dadurch dem Internet öffnet, desto grösser wird seine Angriffsfläche.

Bei der Erstellung einer Risikobewertungen sollten Lösungsansätze, die lediglich einen Outbound-Port in Form einer HTTPS-Verbindung haben, welche nur für ein Subset an IP-Adressen geöffnet wird (z.B. über einen Security Service Provider) eine höhere Priorität erhalten. Inbound Ports, eine grössere Anzahl von Outbound Ports und eine Range an IP-Adressen gehen mit niedrigerem Score einher.

Punkt #3: Verwaltung von Benutzerrechten durch moderne und einheitliche Authentifizierung, Autorisierung und Abrechnung (AAA)
IT-Administratoren müssen Richtlinien zur Authentifizierung, Autorisierung und Abrechnung (AAA) von Remote Access umsetzen. Je komplexer der Prozess und die dazu verwendeten Tools sind (unterschiedliche Schnittstellen, Methoden und Terminologie), desto grösser ist die Wahrscheinlichkeit, dass sich Fehler einschleichen, die durch Malware-Akteure ausgenutzt werden können.

Stattdessen sollten Unternehmen ihre IT- und Sicherheitsabteilung mit einem modernen, auf Zero Trust basiertem Ansatz für den Fernzugriff in die Lage versetzen, eine nahtlose Benutzererfahrung zur Verfügung zu stellen. Gleichzeitig erhalten IT-Administratoren volle Transparenz für die Verwaltung der Benutzeraktivitäten über eine zentrale Administrationskonsole. Da durch eine einheitliche Benutzeroberfläche für die Verwaltung und das Logging weniger Fehlerpotenzial besteht, wird dafür beim Gesundheitscheck eine höhere Bewertung vergeben im Unterschied zu mehr Komplexität für unterschiedliche Tools.

Punkt #4: Segmentierung der Zugriffsrechte für remote Anwender
Mitarbeiter, die aus der Ferne arbeiten, benötigen Zugang zu den notwendigen Ressourcen und Anwendungen für ihren jeweiligen Tätigkeitsbereich. Der Zugang zu unnötigen Ressourcen sollte jedoch aus Sicherheitsgründen begrenzt werden. Die Remote Access-Technologie muss dementsprechend sowohl den Zugriff auf die Ebene der einzelnen Anwendung beschränken können, als auch den Benutzer verifizieren, bevor der Zugang gewährt wird. Zero Trust-Ansätze bieten das erforderliche Mass an Verifizierung und Authentifizierung, das für die sichere Gewährung des Zugriffs erforderlich ist. Dadurch wird ebenfalls eine granulare Segmentierung auf Anwendungsebene ermöglicht und damit lässt sich die Angriffsfläche verringern, sowie das Risiko einer lateralen Ausbreitung von Angriffen innerhalb des Sicherheitsperimeters eliminieren. Organisationen die ihre Anwender verifizieren und diesen nicht das gesamte Netzwerk durch den Remote Access öffnen erhalten einen höheren Check-up Score im Vergleich mit herkömmlichen Remote Access Technologien, die ihre Anwender aus der Ferne ins Netzwerk platzieren, so als wären sie vor Ort im Büro.

Punkt #5: Administrationsaufwand zur Aufrechterhaltung der Fernzugriffsinfrastruktur
Unternehmen, die Appliance-basierte Remote Access-Lösungen unterhalten, müssen fortlaufend Firmware, Software, Sicherheit und Richtlinien aktualisieren, um sich permanent auf dem aktuellsten Sicherheitsniveau zu befinden und damit Angriffen vorzubeugen. Darüber hinaus verlangt die Anforderung der permanenten Verfügbarkeit nach einer Architektur, die redundant und mit Skalierbarkeit für alle Standorte aufgebaut sein sollte. Der Aufwand für die Aufrechterhaltung einer Appliance-basierten Infrastruktur für den Remote Access steigert sich dadurch. Wenn Unternehmen ein Software-as-a-Service (SaaS)-Modell einsetzen, können sie den erforderlichen Wartungsaufwand reduzieren. Cloud-Ansätze sind skalierbar und in der Lage den Geschäftsbetrieb kontinuierlich aufrechtzuerhalten. Ein Cloud-native SaaS-Modell erhält in der Sicherheitsbeurteilung höhere Werte, da der interne Wartungsaufwand entfällt. Eine verteilte, vor Ort vorgehaltene Hardware/Software-Infrastruktur, die spezielle Kenntnisse für die Aufrechterhaltung erfordert, wird mit einem niedrigeren Health-Score versehen.

Punkt #6:  Verhindern, dass Remote-Anwender ungeschützt im Internet surfen
VPNs und herkömmliche Architekturen wurden vor der Einführung der Cloud und Mitarbeitermobilität entwickelt und skalieren nicht, um den modernen Anforderungen an flexiblen und agilen Zugriff bei gleichzeitig hoher Sicherheit gerecht zu werden. Wenn Benutzer über herkömmliche VPNs eine Verbindung zum Netzwerk herstellen und dann wieder ins Internet zurückzukehren müssen, um vom Home-Office aus zu arbeiten, kommt es zu erhöhten Latenzzeiten und damit einhergehend zu einem mangelhaften Anwendererlebnis.

Als Folge umgehen viele Remote-Benutzer das VPN und alle damit verbundenen Sicherheitsmassnahmen, und greifen direkt auf das Internet zu, öffnen dadurch allerdings das Netzwerk für Angriffe. Als Alternative bietet sich ein Lösungsansatz an, der die Performance-Probleme von vorneherein durch den direkten Zugriff auf das Internet umgeht und die Sicherheitsfunktionen über einen Cloud-basierten Plattformansatz zur Verfügung stellt, um allen Benutzern einen schnellen und sicheren Zugang zu ermöglichen. Bei der Evaluierung des Gesundheits-Checks erhalten direkt-to-Internet Ansätze die höhere Sicherheitsbewertung gegenüber dem Umweg des Datenverkehrs durch ein VPN.

Die Cloud richtets

Wenn die Telearbeit zur vielgepriesenen neuen Normalität wird, und Unternehmen nach Best Practices für die Business Kontinuität einer verteilt agierenden Belegschaft suchen, kann das aufgezeigte Rahmenwerk für die Gesundheits-Bewertung des Telearbeitsplatzes als Grundlage dienen. Damit lassen sich Risikopotenziale evaluieren und die dringlichsten Handlungsbereiche aufzeigen. Ein Zero-Trust-basierter Ansatz für den Fernzugriff und Cloud-native Sicherheitsplattform schneiden beim Gesundheitscheck besser ab durch höhere Skalierbarkeit und umfassende Sicherheit. Zeitgleich wird der Belegschaft aus dem Home-Office oder mobilen Mitarbeitern die nötige Performanz geboten, um gefährliche Praktiken der Umgehung von Sicherheitsmassnahmen zu vermeiden.

Sechs-Punkte-Checkliste (Tabelle: Zscaler)
Sechs-Punkte-Checkliste (Tabelle: Zscaler)