Skip to main content
Dark background with blue code overlay
Blog
RSS

Anpassung der Sicherheit an die Remotearbeit

Akamai blue wave

Written by

Akamai

„Arbeit im Homeoffice 2021“ war der Titel meines Vortrags beim Cyber Security Summit im Januar. Hierbei ist es wichtig, dass „im Homeoffice“ durchgestrichen ist. Nach einer massiven Verlagerung weg von gemeinsamen Arbeitsbereichen als Reaktion auf die globale Pandemie gibt es heute keine Remotearbeit und kein Homeoffice mehr, sondern nur noch Arbeit. Die Maxime „Arbeit ist, was man tut, nicht wohin man geht“ war noch nie so wahr wie heute.

Die Möglichkeit, dass Mitarbeiter standortunabhängig arbeiten, ist jetzt Realität. Wir werden nie wieder in eine Umgebung zurückkehren, in der Mitarbeiter fünf Tage die Woche von neun bis fünf im Büro sitzen. Und wir werden auch nicht das heimelige Konzept von 2020 beibehalten, in der alle versuchen, zu Hause irgendwie produktiv zu arbeiten. Auf jede Führungskraft, die das Immobilienbudget reduzieren und gleichzeitig weniger Zeit auf dem Arbeitsweg und mehr Zeit mit ihrer Familie verbringen möchte, kommen mehrere Mitarbeiter, die auf Laptops am Rand ihrer Betten blicken und sich ihr ohnehin schon schlechtes WLAN mit Mitbewohnern teilen. Und diese Mitarbeiter können es kaum erwarten, wieder im Büro zu sein. Daher werden wir in Zukunft eine hybride Arbeitsumgebung schaffen, was gut ist.

Die unmittelbare Notwendigkeit, den Anstieg der Remotearbeit zu unterstützen, der durch COVID-19 ausgelöst wurde, führte zu einem enormen Dilemma für technische Teams auf der ganzen Welt. Der VPN-Zugriff (Virtual Private Network) war für 5 % der Mitarbeiter vorgesehen, nicht für 100 %. Und die Sicherheit wurde eigentlich für Mitarbeiter im Büro entwickelt. Unternehmen waren nicht auf diese plötzliche Umstellung vorbereitet. Als Sicherheitsstratege hier bei Akamai habe ich erlebt, dass Unternehmen in drei Phasen auf die Herausforderungen bei der Unterstützung und beim Schutz von Remotemitarbeitern reagiert haben.

Phasenweise Umstellung auf Remote

Die erste Phase war Panik: Bis zum Wochenende mussten 5.000 Personen das Büro verlassen und stattdessen von zu Hause aus arbeiten! In dieser Phase wurde die bisher verwendete Methode für den Fernzugriff, in der Regel VPN, schnell aus der reinen Notwendigkeit heraus hochskaliert.

Die nächste Phase war die Erkenntnis, dass das einstmals sichere Netzwerk nun einem Flickenteppich ähnelte – mit Lücken, die von Cyberbedrohungen als Einstiegspunkt ausgenutzt werden konnten. Der Remotezugriff – der ursprünglich dafür ausgelegt war, dass Mitarbeiter gelegentlich nach E-Mails schauen oder Systemadministratoren Serverneustarts durchführen konnten – wurde jetzt von allen verwendet. Und diese neuen Nutzer hatten nicht die gleichen Sicherheitskenntnisse wie das IT-Team. Der Schutz all dieser Remoteverbindungen wurde zu einer Priorität – mit besserem Endpoint-Schutz, einer stärker verteilten DDoS-Abwehr (Denial of Service) für VPN-Gateways (die plötzlich zum Dreh- und Angelpunkt des gesamten Unternehmens wurden) und der Aktualisierung von Anti-Phishing-Tools.

Die letzte Phase war die Erkenntnis, dass es einen intelligenteren Weg geben musste. Ein gesamtes Unternehmen, das VPN für seine Arbeit verwendet, war aus Performance- oder Sicherheitsperspektive nicht tragbar. Viele IT-Transformationsinitiativen wurden bereits im Jahr 2020 umgesetzt oder beschleunigt, standen aber nun vor der Herausforderung, Daten und Nutzer von überall aus zu vernetzen. Sie waren jedoch daran gebunden, Traffic über virtuelle Tunnel, feste Standorte und durch Engpässe zu senden. Mit der Wiedereröffnung der Welt wird eine hybride Arbeitsumgebung zum Standard werden. Aber wie können Unternehmen Flexibilität ermöglichen, ohne Kompromisse bei der Sicherheit einzugehen? 

Eine intelligentere Arbeitsweise

Der neue Ansatz muss gleichzeitig das Nutzererlebnis und die Sicherheit verbessern. Er muss die Möglichkeit bieten, effektiv zu arbeiten, ohne mehrere VPN-Verbindungen zu managen, wenn Anwendungen von Rechenzentren in die Cloud migrieren. Außerdem muss die zusätzliche Latenz beseitigt werden, die durch „Tromboning“ (die Zusammenführung des gesamten externen Traffics an einem Punkt im Unternehmen) und „Hairpinning“ des Traffics entsteht. Bei Letzterem wird der Traffic über ein zentrales Sicherheitssystem geroutet, nur um dann wieder in die Cloud übertragen zu werden, anstatt den Datenverkehr direkt in die Cloud zu senden.

Mitarbeiter greifen neben mehreren Geräten – z. B Laptops, Fernseher, intelligente Waschmaschinen und mehr – auf das Unternehmensnetzwerk zu, das jedoch oft nur ein fragwürdiges Maß an Sicherheit aufweist, was zu einer höheren Angriffswahrscheinlichkeit führt. Darüber hinaus stellen offen liegende RDP-Ports (Remote Desktop Protocol) und VPN-Portale ein höheres Risiko dar. RDP-Cyberangriffe haben 2020 um 768 % zugenommen. Viele Sicherheitsverletzungen entstehen durch kompromittierte Endpoints oder Anmeldeinformationen. Dann bewegen sich Angreifer durch das Netzwerk, finden nicht gepatchte Server, nutzen Systeme aus und erweitern ihre Zugriffsrechte, bis sie wertvolle Daten zur Extraktion erreichen. Dieses Risiko bestand bereits in traditionellen Büroumgebungen, ist jedoch deutlich größer, wenn Unternehmen ihre Netzwerke öffnen.

Die intelligentere Lösung ist klar: Statt Maschinen direkt mit Netzwerken zu verbinden, sollten wir uns darauf konzentrieren, Nutzer mit Anwendungen zu verbinden. Durch die Nutzung des Internets als Kanal können wir Risiken drastisch reduzieren und die Performance verbessern.

Nutzer mit Anwendungen verbinden

In einem herkömmlichen Szenario haben Nutzer, sobald sie sich über VPN verbunden haben, im Wesentlichen die gleichen Zugriffsrechte wie im Büro – mit der Ausnahme, dass das Netzwerk, in dem sich die Remotenutzer tatsächlich befinden (mit seinen potenziell unsicheren Endpoints und dem schlechten Passwortmanagement), möglicherweise unsicher ist. Beispielsweise kann ein Techniker über ein VPN zu den Buchhaltungsservern navigieren, selbst wenn dieser Nutzer nicht über die entsprechenden Anmeldedaten verfügt. Und wenn die Verbindung kompromittiert wird, hat ein Bedrohungsakteur jetzt Zugriff auf die Netzwerkebene, wo er Angriffsziele identifizieren kann, wie z. B. IP-Adressen, offene Ports oder nicht behobene Schwachstellen. 

Zero Trust ist ein Netzwerksicherheitsmodell, das auf einer strengen Identitätsüberprüfung basiert und bereits auf viele verschiedene Tools angewendet wurde. Und Zero Trust ist auch eine perfekte Lösung für den Remotezugriff. Erstens erfolgt die Authentifizierung, bevor der Nutzer tatsächlich mit der Anwendung verbunden wird. Die Multi-Faktor-Authentifizierung (MFA) ist für die meisten Unternehmen eine Voraussetzung, kann aber dennoch anfällig für Man-in-the-Middle-Angriffe sein, bei denen ein Angreifer den Traffic zwischen zwei Parteien abfängt oder verändert – so geschehen beim Angriff auf Twitter. Die Verwendung eines FIDO2-Token-Generators, der mit dem Laptop des Nutzers verbunden ist, bietet zusätzliche Sicherheit. Ohne ordnungsgemäße Authentifizierung wird die Anfrage verworfen und es besteht keinerlei Verbindung zwischen dem Client und der Anwendung.

Anschließend gewährt die Autorisierung Zugriff mit den geringstmöglichen Berechtigungen – ein Prinzip, das Zero Trust übernommen hat und das das Risiko weiter reduziert, indem Nutzer nur den Zugriff erhalten, der für ihre Aufgaben erforderlich ist. Wenn eine Anwendung vor der Verbindung autorisiert werden muss, verringert sich die Angriffsfläche – manchmal erheblich, je nach Anzahl der Anwendungen in einem Unternehmen.

Und schließlich, was vielleicht am wichtigsten ist, müssen wir das Gerät nicht mit dem Server verbinden, auf dem die Anwendung ausgeführt wird. Da der Zero-Trust-Netzwerkzugriff Nutzern Anwendungen über einen cloudbasierten Service bereitstellt, stellen wir die Verbindung per Proxy her und ermöglichen es dem Gerät, direkt mit der Anwendung zu kommunizieren, ohne dass ein physischer Netzwerkzugriff erforderlich ist. Wenn das Gerät des Nutzers kompromittiert wird, wird nur die IP-Adresse des Cloud-Proxys angegeben, nicht die des Servers.  Dieser Ansatz ermöglicht mehr Flexibilität auf dem Gerät, z. B. wenn ein Mitarbeiter, der in der Regel im Büro am Desktop arbeitet, zu Hause einen persönlichen Laptop verwenden möchte.

Sicherer cloudbasierter Anwendungszugriff im öffentlichen Sektor

Sichere Remotearbeit ist in allen Branchen von entscheidender Bedeutung, insbesondere bei der Arbeit mit Kundenkontakt. Das NHS Forth Valley ist Teil des National Health Service (NHS) in Großbritannien und bietet Gesundheitsversorgung für eine von 14 Regionen von NHS Scotland. Zu Beginn der COVID-19-Krise mussten viele Mitarbeiter plötzlich remote arbeiten. Doch die vorhandene VPN-Infrastruktur war nicht in der Lage, entsprechend zu skalieren und Zugriff auf alle erforderlichen Anwendungen zu gewähren. 

Um während COVID-19 einen schnellen sicheren Zugriff auf seine Anwendungen zu ermöglichen, arbeitete NHS Forth Valley mit dem Akamai-Team zusammen. Gemeinsam implementierten sie eine einfache, cloudbasierte Lösung, die MFA verwenden konnte, um sicheren Zugriff zu gewährleisten und die vollständige Kontrolle und Transparenz über alle Nutzer und Anwendungen hinweg zu ermöglichen. So konnte NHS Forth Valley seine VPN-Herausforderungen beseitigen, ein zuverlässiges Nutzererlebnis schaffen und sensible Anwendungen schützen. Wenn Sie mehr darüber erfahren möchten, wie NHS Forth Valley den Remotezugriff inmitten einer globalen Gesundheitskrise schützen konnte, besuchen Sie unseren Webcast.

Das neue Arbeitsmodell 2021 und darüber hinaus

Mithilfe der Cloud können wir den Netzwerkrand, also die Edge, besser definieren und sicherstellen, dass Authentifizierung, Autorisierung und Zugriff nicht durch ältere Modelle und Netzwerkarchitekturen eingeschränkt werden, die für die Arbeit heute und in Zukunft nicht mehr relevant sind. Mit der Cloud können Nutzer wesentlich schneller auf Anwendungen zugreifen, die überprüft, validiert, gesichert und optimiert wurden, als über VPN allein.

Der On-Premises-Sicherheitsstack der alten Tage existiert nun in der Cloud, in der Nähe von Nutzern, sodass das Nutzererlebnis nicht durch unnötige Latenzen beeinträchtigt wird. Darüber hinaus werden wertvolle Ressourcen vor Angreifern geschützt, die sich im Netzwerk bewegen, da Nutzer über einen Proxy auf die Anwendung zugreifen, nicht über das Netzwerk. Wenn Nutzer nicht tatsächlich mit dem Server verbunden sind, auf dem die Anwendung ausgeführt wird, besteht keine Möglichkeit für weitere Exploits. 

Da die Mitarbeiter nicht mehr standortabhängig sind, gibt es keinen besseren Zeitpunkt, die Cloud zu nutzen, um die Zukunft der Arbeit zu unterstützen. Akamai kann Ihnen dabei helfen, einen flexiblen, sicheren Arbeitsplatz zu schaffen – mit Enterprise Application Access, einer Cloudarchitektur, die sicherstellt, dass autorisierte Nutzer und Geräte nur Zugriff auf die von ihnen benötigten internen Anwendungen haben und nicht auf das gesamte Netzwerk. Durch die Nutzung der Akamai Intelligent Edge Platform können Unternehmen Nutzern die sichere Arbeit ermöglichen, egal wo sie sich befinden.

Über den Autor

Richard Meeus ist EMEA Director of Security Technology and Strategy bei Akamai. Mit mehr als 20 Jahren Erfahrung ist Meeus für die Entwicklung sicherer Lösungen für einige der einflussreichsten Organisationen der Welt verantwortlich. Als Hardwaretechniker hat er seine Karriere in der Technologiebranche vorangetrieben und währenddessen seinen Fokus von der Hard- auf die Software verlagert.

Meeus ist Branchenexperte in den Bereichen Cloud Computing, Unternehmenssoftware und Netzwerksicherheit. Während seiner Zeit bei Akamai, Mirapoint und Prolexic hatte er eine strategische Rolle in einer Vielzahl von Projekten inne, einschließlich der Bereitstellung von DDoS-Lösungen für multinationale Unternehmen zum Schutz kritischer Infrastrukturen und sensibler Daten. Er ist eingetragenes Mitglied von BCS und CISSP und gilt als Vordenker in der Branche.



Written by

Richard Meeus

April 14, 2021

Richard Meeus is the Director of Security Technology and Strategy in the ATG Global Security department at Akamai Technologies.