Neue Risiken und Lösungen Cybersecurity während der Coronakrise
Anbieter zum Thema
In Zeiten vielfältiger wirtschaftlicher Herausforderungen, die die Coronakrise mit sich bringt, dürfen die Unternehmen ihren Fokus auf die IT-Sicherheit nicht verlieren. Mit der einhergehenden Veränderung der Arbeitswelt entstehen neue Gefahren. Um welche es sich dabei handelt und wie Unternehmen sich nachhaltig schützen können, wird im folgenden Artikel beschrieben.

Seit dem Ausbruch der COVID-19-Pandemie hat sich das Arbeitsumfeld vieler Menschen stark verändert. Laut einer Erhebung des Digitalverbandes Bitkom e.V. im März 2020 arbeitete während des Lockdowns jeder zweite Berufstätige in Deutschland im Homeoffice. Die im Juni 2020 erschienene IBM Security Studie „Work From Home“ verdeutlicht zudem, dass vor der Coronakrise in 37 % der Unternehmen lediglich begrenzt und zu 46% überhaupt nicht von Zuhause aus gearbeitet werden durfte. Noch immer und vermutlich bis auf nicht absehbare Zeit wird in vielen Unternehmen im Homeoffice gearbeitet. So bietet Mastercard, der zweitgrößte Zahlungsabwickler der Welt, seinen Mitarbeitern an, erst mit der Verfügbarkeit eines Covid-19-Impfstoffs an ihre Büroarbeitsplätze zurückzukehren.
Infolge des plötzlichen Anstiegs der Telearbeit müssen Arbeitgeber ihre Mitarbeiter mit Geräten, wie Laptops, Tablets und Smartphones, versorgen. Der IBM-Studie zufolge arbeiten 53 Prozent der Befragten, die sich aufgrund der aktuellen Situation erstmalig im Homeoffice befinden, mit einem privaten Laptop oder PC. Da Corona bereits diverse Lieferketten unterbrochen hat, stellt die Neuanschaffung der Endgeräte für zahlreiche Mitarbeiter die Unternehmen vor finanzielle und logistische Probleme. Aufgrund dieser Hürden setzt das Management häufig auf eine Bring-your-Own-Device (BYOD) Strategie, bei der jedoch nicht auf grundlegende Sicherheitsmaßnahmen verzichtet werden darf, wie die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister anmerkt.
Die private IT-Infrastruktur weist im Vergleich zur Unternehmens-IT meist ein deutlich schlechteres Sicherheitsniveau auf: Häufig werden zuhause weniger sichere WLAN-Standards genutzt, z. B. WPA2-Phase-Shift-Key (PSK) statt WPA2-Enterprise, sodass kein zentraler Authentifizierungsserver existiert. Zudem werden oft Sicherheitsupdates für einzelne Geräte zu spät oder gar nicht installiert. Werksseitig vorkonfigurierte Router-Passwörter, mit denen die Hersteller eine möglichst schnelle und einfache Inbetriebnahme ermöglichen, werden nicht immer angepasst. Die Abwesenheit gehärteter Bastion-Hosts in einer von zwei Firewalls abgesicherten neutralen entmilitarisierten Zone (Demilitarized-Zone – kurz: DMZ) zwischen dem Internet und dem eigenen Netz verhindert zudem eine tiefergehende Analyse verdächtiger Pakete.
Aufbau einer VPN-Infrastruktur
Ein weiterer Stolperstein ist der Fernzugriff auf das Firmennetz. Mit der Einrichtung eines Virtual-Private-Networks (VPN) wird meist der gesamte Datenverkehr durch das Unternehmensnetzwerk geleitet, die Nutzung von Cloud-Anwendungen mit eingeschlossen. Der gesteigerte Anteil der Telearbeit in Coronazeiten führt somit schnell zu einer Überlastung der verfügbaren Bandbreiten, was wiederum Dienste und Anwendungen lähmt und die Produktivität der Mitarbeiter verringert.
Deshalb sollte zuerst ein eigenes Netzwerksegment für die VPN-Infrastruktur angelegt werden. Danach gilt es, die Ressourcen der Infrastruktur auf die neue Last auszulegen. Hierbei kann ein Load-Balancer verwendet werden, um die Last eines VPN-Gateways auf mehrere Server aufzuteilen. Zudem kann durch Overprovisioning die verfügbare Bandbreite des internen Netzes an die höchste Auslastung angepasst werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, direkte Verbindungen außerhalb des Tunnels zu nichtvertrauenswürdigen Systemen (“Split-Tunneling”) während einer VPN-Sitzung vollständig zu unterbinden.
Neue Angriffsvektoren durch Homeoffice
Eine Auswahl möglicher Angriffsketten, die die neue Homeoffice-Situation ausnutzt, ist in nebenstehendem Bild dargestellt. Im ersten Schritt sucht der Angreifer nach einem geeigneten Angriffspunkt, um Schadcode auf dem Arbeitsrechner zu platzieren. Das können Hardware-Komponenten aller Art sein, die sich im Heimnetzwerk befinden. Sicherheitsforscher von Palo Alto Networks haben beispielsweise herausgefunden, dass der Router DIR-865L des Herstellers D-Link bekannte Sicherheitslücken aufweist und über sechs verschiedene Wege angreifbar ist. Jeder unautorisierte Zugriff auf den Router des Mitarbeiters im Homeoffice kann dazu genutzt werden, eine Verbindung mit dem Arbeitsrechner aufzubauen und diesen ebenso mit Schadsoftware zu infizieren. So nutzt aktuell die Krypto-Malware „Lucifer“ eine Liste bekannter Sicherheitslücken aus, um in das Unternehmensnetzwerk einzudringen. Danach wird eine Verbindung zu verschiedenen Command-and-Control (C2) Servern aufgebaut, um den erfolgreichen Eintritt in das System zu kommunizieren. Diese C2-Server laden über ein professionell aufgezogenes Botnetz weitere Schadsoftware in das betroffene System, welche sich auf der Suche nach den für die Angreifer relevanten Daten lateral verbreitet.
VDI als Alternative zum VPN
Um IT-Sicherheitsvorfälle zu unterbinden, muss die Angriffskette unterbrochen werden. Dies kann beispielsweise durch einen verstärkten Schutz des VPN-Gateways oder der Arbeitsrechner der Mitarbeiter über Host-Intrusion-Prevention-Systeme (HIPS) erfolgen. Eine weitere Möglichkeit besteht in der Verwendung einer Virtual-Desktop-Infrastructure (VDI). Für die Umsetzung wird ein Baseline-Image erstellt. In diesem sind das Betriebssystem sowie wichtige Programme vorinstalliert und konfiguriert. Für die Nutzung selbst wird für jeden Mitarbeiter ein eigenes Image vom Baseline-Image abgeleitet und dieses auf einem Server im Unternehmen gespeichert. Daraufhin kann der Mitarbeiter über einen Client, zum Beispiel eine Software auf dem eigenen Laptop, auf das Image und somit auf die Daten und Anwendungen des Unternehmens zugreifen.
Vorteile einer Virtual-Desktop-Infrastructure (VDI):
- Zentrale Administration der virtuellen Images, d. h. im Falle einer BYOD-Strategie muss nicht auf die Sicherheit der Arbeitsrechner der Mitarbeiter vertraut werden.
- Vereinfachtes Patch- und Update-Management
- Zeit- und Geldersparnis durch Ableitung von neuen Images aus dem Baseline-Image statt Beschaffung von Hardware für Mitarbeiter
- Mitarbeiter können von beliebigen Geräten, zum Beispiel von Thin-Clients aus, auf die virtuelle Maschine (VM) zugreifen.
- Die VM wird auf dem Server ausgeführt, was zu einer Abkapselung der unternehmenskritischen Daten vom Client führt.
- Bei Verlust des zur Arbeit genutzten Endgerätes befinden sich darauf keine unternehmensspezifischen Daten
Ob sich eine VDI finanziell mittelfristig rechnet, hängt primär von der Anzahl der Mitarbeiter ab. Denn auch die Hardware und Lizenzkosten für die virtuellen Umgebungen und Betriebssysteme sollten berücksichtigt werden. Zudem bringt eine virtuelle Desktop-Infrastruktur auch gewisse Nachteile mit sich. Je nach Nutzerprofil kann die Last auf dem Server unterschiedlich ausfallen. Ein Endgerät mit mehreren hochauflösenden 4K-Monitoren benötigt beispielsweise mehr Ressourcen des Servers und Bandbreite als ein 15 Zoll Laptop-Display. Darüber hinaus ist die Performance der VM von der Qualität der Anbindung des Clients an das Firmennetzwerk abhängig. Denn für die Rechenoperationen, die bei der VPN-Lösung auf dem Endgerät ausgeführt werden, ist bei der VDI hingegen der Server zuständig. Das bedeutet, dass die VM träge erscheint, wenn das Delay zwischen Client und Server hoch ist. Ein weiterer Nachteil der virtuellen Desktopinfrastruktur offenbart sich bei vermehrten Netzausfällen. Mit einer VDI können Mitarbeiter ausschließlich arbeiten, wenn eine stabile Verbindung zum Internet besteht. Bei einer VPN-Lösung ist es hingegen auch während eines Netzausfalls möglich, an den lokal auf dem Laptop gespeicherten Dokumenten zu weiterzuarbeiten. Somit empfiehlt es sich, die Vor- und Nachteile gegeneinander abzuwägen. Zur Erhöhung der Sicherheit kann mit Blick auf die Anzahl der Authentifizierungsfaktoren sogar eine Kombination von VPN und VDI genutzt werden.
Mit Awareness-Trainings gegen Phishing-Angriffe
Cyberkriminelle nutzen häufig ausgeklügelte Social-Engineering-Methoden, um ihre Opfer zur Preisgabe von vertraulichen Informationen zu bewegen. So berichtet Verizon in seinem aktuellen Data Breach Investigations Report 2020, dass Phishing mit 22 Prozent der am meisten verwendete, (i.S.v. Datenabfluss) erfolgreiche Angriffsvektor ist. Durch das erhöhte Risiko der Ablenkung im Homeoffice dürfte dieser Wert in Zukunft weiter ansteigen.
Über das vermeintliche Angebot von Produkten und Dienstleistungen zur Lösung von Corona-bezogenen Problemen werden Internetnutzer beispielsweise auf kompromittierte Internetseiten gelockt und dort zur Eingabe personenbezogener Daten verleitet. Häufig findet auch ein unbemerkter Drive-by-Download von Schadcode statt oder der Nutzer wird dazu aufgefordert, aktiv ein Programm zu installieren, das beispielsweise als Sicherheitsupdate getarnt ist. So gelangen unter anderem sensible Login-Informationen zu Firmenaccounts in falsche Hände.
Eine kostengünstige und wirkungsvolle Maßnahme gegen solche Phising-Angriffe ist ein gezieltes Security-Awareness-Training. Darin lernen Mitarbeiter, die Auswirkungen von IT-Sicherheitsvorfällen für ihr Unternehmen einzuschätzen und Verantwortung zu übernehmen. Infolgedessen erkennen sie betrügerische E-Mails an bestimmten Merkmalen, klicken auf keine Links und geben keine personenbezogenen Daten an, bis sie überprüft haben, dass die Nachricht tatsächlich von dem angegebenen Absender stammt. Verdächtige E-Mails werden an ein dafür eingerichtetes „Report-Phishing“-Postfach gemeldet, damit diese von Spezialisten eingehend analysiert werden können. In jeder Hinsicht sollten sich die Inhalte an den für die Zielgruppe maßgeblichen Fragestellungen orientieren. Zusätzlich empfiehlt es sich, die bei den Mitarbeitern erzielten Lerneffekte in kurzen Abschlusstests messbar zu validieren und die Lernkurve durch regelmäßige Weiterbildungsangebote aktiv zu steuern.
Fazit
Weltweit sind die Unternehmen während der Coronakrise gezwungen, sich an eine Vielzahl neu entstandener Herausforderungen anzupassen. Angesichts finanzieller Engpässe, der vermehrten Arbeit im Homeoffice, weniger Personal und häufigeren Unterbrechungen in den Lieferketten für IT-Geräte entstehen neue Risiken für die IT-Sicherheit. Dabei ist eine Versorgung der Mitarbeiter mit unternehmenseigener und IT-Standard-konformer Hardware und deren sichere Anbindung an das Unternehmensnetz über eine tragfähige VPN-Infrastruktur essentiell. Alternativ rechnet sich ab einer bestimmten Mitarbeiterzahl eine VDI. In jedem Falle müssen die Mitarbeiter in speziell auf sie zugeschnittenen Security-Awareness-Trainings geschult werden. Wer nicht selbst über die notwendigen Ressourcen verfügt, sollte sich an ausgewiesene Experten wenden.
Über die Autoren:Sascha Alder (M.Sc.) ist Security Consultant, CompTIA Security+ certified bei CGI Deutschland. René Kurmann (M.Sc.) ist Senior Consultant Information Security, Certified Information Security Manager (CISM) und ISO/IEC 27001 Lead Auditor / Lead Implementer bei CGI Deutschland.
(ID:46847747)