Sicheres Netzwerkmanagement in Zeiten von Homeoffice und Remote Work Best Practices für Netzwerksicherheit bei Remote-Arbeit
Anbieter zum Thema
Praktisch über Nacht mussten die Netzwerk- und Sicherheitsteams in Unternehmen den Großteil ihrer Belegschaft im März letzten Jahres ins Homeoffice verabschieden und dabei gleichzeitig bewährte Sicherheitspraktiken, die einem schnellen und reibungslosen Übergang in die Remote-Arbeit im Wege standen, hinter sich lassen. Dies betraf insbesondere Sicherheitsprozesse bei den Änderungen der Netzwerkkonfiguration und dem Gewähren von Netzwerkzugriffen.

Allmählich und mit der Erkenntnis, dass das Arbeiten jenseits der geschützten Unternehmensumgebung auch zukünftig fester Teil unserer Arbeitskultur sein wird, beginnen die Teams, Sicherheitskonzepte zu entwickeln und Best Practices umzusetzen, die ein sicheres Netzwerkmanagement – unabhängig vom Standort der Nutzer – ermöglicht.
Überstürzte Änderungen der Netzwerkkonfiguration führen zu Sicherheitslücken
Als Folge des dramatischen Anstiegs der Fernarbeit in den Unternehmen sahen sich die Netzwerkteams in den vergangenen 12 Monaten mit einem enormen Anstieg von Zugriffsänderungsanfragen konfrontiert. So mussten viele Abteilungen plötzlich 30 bis 50 Prozent mehr Anfragen bearbeiten und dementsprechenden Mehraufwand bewältigen.
Der Großteil der IT-Abteilungen stützte sich dabei zunächst auf bestehende, etablierte Technologien, um Remote-Konnektivität zu ermöglichen: Einige Unternehmen setzten dabei auf ihre älteren VPN-Lösungen, andere nutzten VPN-Solutions für den Fernzugriff, die von ihren Firewall-Herstellern angeboten wurden, wieder andere verwendeten für einen kleinen Teil ihrer Mitarbeiter VDI-Technologien (Remote Virtual Desktop). In den meisten Fällen behielten die Unternehmen jedoch einen einzigen bzw. eine kleine Anzahl von Fernzugriffs-IP-Pool(s) und behandelten alle IPs in diesem Pool gleich, was bedeutet, dass alle sich verbindenden Fernmitarbeiter den gleichen internen Netzwerkzugang erhalten.
Überraschend war, dass selbst Unternehmen, die zuvor bereits auf Firewalls der nächsten Generation (NGFW) aufgerüstet hatten, diese aus Angst vor Geschwindigkeitseinbußen jetzt nicht eingesetzt und die Sicherheit und Kontrolle ihrer Remote-Worker, die sich über VPN verbinden, dadurch reduziert haben. Das heißt, dass Zugriffe grundsätzlich unabhängig von der Rolle und den ursprünglichen Berechtigungen einer Person gewährt wurden und Zugangskontrollen allein den anwendungsspezifischen Benutzer-berechtigungen und der Authentifizierung überlassen wurden. Dieses Vorgehen hebt jedoch sowohl die eigentlich notwendige Segmentierung als auch den Zero-Trust-Grundsatz auf und widerspricht bewährten Sicherheitsverfahren, da es laterale Bewegungen potenzieller Eindringlinge im Netzwerk begünstigt. Zusammengefasst kann man sagen, dass die Angriffsfläche dadurch vergrößert und die Unternehmenssicherheit geschwächt wurde – zugunsten einer schnellen und unkomplizierten Verwaltung von Remote-Mitarbeitern.
Fehlende Transparenz in den Änderungsprozessen und vermehrte Fehlkonfigurationen
Die Netzwerksicherheit in Unternehmen steht seit den letzten Monaten vermehrt unter Beschuss, denn bestehende Sicherheitsrisiken wurden durch die vielen freizügigen Zugriffe und den daraus resultierenden Anstieg von Angriffspunkten nochmal verstärkt. Gleichzeitig haben Cyberkriminelle die allgemeine Verunsicherung und Hektik der Corona-Krise genutzt, um über Social Engineering und vor allem Phishing viel Geld zu verdienen. Bedenkt man, dass Menschen noch immer das schwächste Glied in der Sicherheitskette sind und nach wie vor anfällig für das Anklicken und Herunterladen potenziell bösartiger Webseiten und Dateien, wird deutlich, wie riskant es ist, allen Remote-Benutzern den gleichen Netzwerkzugang zu gewähren. Denn in dem Moment, in dem ein Phishing-Angreifer die Kontrolle über ein Gerät übernimmt, das eine Fernverbindung zum Büro herstellen kann, gewährt dieses Gerät dem Angreifer unbegrenzte Möglichkeiten zur Lateralbewegung innerhalb des Netzwerks. Ein großangelegter Angriff mit weitreichenden Folgen kann hier seinen Anfang nehmen.
Unternehmen stehen nun vor der Herausforderung, die Risiken, die durch die Änderungen der Netzwerkkonfiguration hervorgerufen wurden, zu bewältigen. Dabei stehen sie vor dem Problem, dass ihnen oftmals die Transparenz und das Wissen darüber fehlen, welche Änderungen vorgenommen wurden, da angesichts der damals gebotenen Eile Prüfpfade oder Dokumentationsprozesse umgangen wurden. Selbst für den Fall, dass eine Firewall-Konfigurationsverwaltungsansicht oder ein Multivendor-Tool diese Sichtbarkeit liefert, können dennoch wichtige Informationen etwa zum Eigentümer der Änderung oder der Änderungsgrund im Dunkeln liegen, vor allem dann, wenn die Workflows für Änderungsanforderungen nicht befolgt wurden. Auch sollte man bedenken, dass die Änderungen, sofern sie keinen Risikoanalyseprozess durchlaufen haben, möglicherweise den Unternehmensstandards widersprechen. Hinzu kommt, dass viele von ihnen manuell durchgeführt wurden, was eine höhere Wahrscheinlichkeit von menschlichen Fehlern und Fehlkonfigurationen bedeutet.
Was nun? Kurzfristige Verfahren zur Risikominderung
Soll die Netzwerksicherheit wieder erhöht, die Cyberangriffsfläche reduziert und die Erfüllung der Compliance sichergestellt werden, müssen sämtliche Änderungen, die im Laufe der letzten Monate vorgenommen wurden, neu bewertet und identifizierte Sicherheitslücken priorisiert werden. Hier empfiehlt sich ein schrittweises Vorgehen:
- Gewinnen Sie Sichtbarkeit über alle Zugriffsänderungen hinweg: Dazu gehört das Verständnis, welche Änderungen vorgenommen wurden, wer diese beantragt hat, welchen Zweck die Änderung erfüllt sowie die Art des Netzzugangs, den der entsprechende Remote-Mitarbeiter jetzt hat.
- Prüfen Sie, ob alle Zugriffsänderungen notwendig waren: Bei Zonen oder Assets, die mit einem höheren Risiko einhergehen, sollte eine geschäftliche Rechtfertigung für den Zugang vorliegen. Zudem gilt es zu überprüfen, ob die zuvor definierten Zugangsrichtlinien angewendet wurden.
- Bewerten Sie das Risiko von Änderungen: Ordnen Sie die Zugriffsregeln der jeweiligen Sicherheitsrichtlinie des Unternehmens zu, um mögliche Auswirkungen auf die Einhaltung der Compliance sichtbar zu machen.
Fünf Best Practices für ein sicheres Netzwerkmanagement
Wurden sämtliche Schwachstellen identifiziert und die damit verbundenen Risiken abgeschätzt, müssen in einem zweiten Schritt Security Policy-Best Practices umgesetzt werden, um eine sichere Netzwerkverwaltung zu ermöglichen. Dazu gehören:
1. Regeloptimierung oder -bereinigung zur Reduzierung der Angriffsfläche
- Nicht genutzte oder redundante Regeln müssen umgehend stillgelegt werden. Denken Sie dabei vor allem an Regeln, die möglicherweise mit der Absicht, einem Fernmitarbeiter schnell Zugang zu gewähren, überstürzt oder aufgrund von Unkenntnis, welcher Zugang zum Zeitpunkt der Änderung wirklich erforderlich war, unnötigerweise umgesetzt wurden.
- Ersetzen Sie übermäßig freizügige Regeln durch granulare Regeln, wobei übermäßig freizügig hier bedeutet, dass Zugriffe zugelassen werden, die eigentlich nicht genutzt werden.
2. Durchsetzen spezifischer Kontrollen für bestimmte Benutzer für mehr Nutzerkontrollen
- Erstellen Sie eine grundlegende Segmentierung unter Verwendung verschiedener IP-Pools für verschiedene Benutzerrollen bzw. -gruppen.
- Verfolgen Sie einen Least Privilege-Ansatz und stellen Sie sicher, dass Remote-Benutzer nur den Zugang erhalten, den sie tatsächlich benötigen.
3. Entwicklung einer Segmentierungsrichtlinie für den Fernzugriff, um laterale Bewegung zu begrenzen
- Wenden Sie für Remote-Benutzer unbedingt die gleichen Segmentierungsprinzipien an, die in den on-premises-Segmenten zum Einsatz kommen.
4. Umsetzen einer Sicherheitsevaluierung für risikoreiche Änderungen
- Stellen Sie sicher, dass die Änderungen, die sensible Daten oder wertvolle Assets betreffen, die von Ihnen definierten Risikoanalyse-, Verifizierungs- und Genehmigungsprozesse durchlaufen.
5. Ordnungsgemäße Rezertifizierung
- Stellen Sie sicher, dass die Regeln gemäß Ihren Sicherheitsstandards regelmäßig neu bewertet werden.
Sichere Remote-Arbeit langfristig planen
Unternehmen, die mobiles Arbeiten und Homeoffice langfristig in ihrer Unternehmenskultur etablieren wollen, können ihre komplexen, hybriden Netzwerke nicht dauerhaft mit Insellösungen und manuellen Prozessen verwalten, sondern brauchen nachhaltige Netzwerkmanagement-Konzepte, wenn sie in Sachen Sicherheit keine Abstriche machen wollen. Dies erfordert Sicherheitspraktiken, die die Zusammenarbeit innerhalb der Teams beschleunigen, um so die Einhaltung von Vorschriften zu gewährleisten, und gleichzeitig Netzwerkerkenntnisse in die Sicherheitsstruktur integrieren, um die Effektivität und den ROI zu verbessern. Hierfür empfiehlt sich die Einführung eines zentralisierten, herstellerunabhängigen Multi-Cloud-Systems zur Orchestrierung von Sicherheitsrichtlinien, um automatische Sichtbarkeit und Leitplanken für die Einhaltung von Richtlinien im gesamten Netzwerk zu schaffen. Dies kombiniert man idealerweise mit granularen Zugriffstechnologien unter Nutzung von Benutzeridentitäten mit NGFW sowie moderneren Cloud-basierten Remote Connectivity Lösungen. Auf diese Weise profitieren die Netzwerkteams von skalierbaren sicheren Lösungen, die keine größeren Änderungen an der on-prem-Infrastruktur oder die Implementierung zusätzlicher Sicherheitskontrollen erfordern.
Unternehmen müssen heute mehr denn je in der Lage sein, mit Ressourcenknappheit, einem sich schnell verändernden Umfeld und einem hohen Maß an Unsicherheit umzugehen. Vor allem unter herausfordernden und einzigartigen Umständen, wie es die plötzliche Zunahme der Remote im März für viele gewesen ist, ist es unerlässlich, über verständliche, gut dokumentierte und wiederholbare Prozesse zu verfügen, die ein Minimum an manuellen Eingriffen erfordern. Durch die Implementierung bewährter, hochsicherer Verfahren zur Beschleunigung von Veränderungsprozessen sind Unternehmen auch im Falle der Ausdehnung der Homeoffice-Periode gut gerüstet.
Über den Autor: Thorsten Geissel ist Director Sales Engineering EMEA bei Tufin Technologies.
(ID:47140934)