:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Risiken und Lösungen Cybersecurity während der Coronakrise
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
In Zeiten vielfältiger wirtschaftlicher Herausforderungen, die die Coronakrise mit sich bringt, dürfen die Unternehmen ihren Fokus auf die IT-Sicherheit nicht verlieren. Mit der einhergehenden Veränderung der Arbeitswelt entstehen neue Gefahren. Um welche es sich dabei handelt und wie Unternehmen sich nachhaltig schützen können, wird im folgenden Artikel beschrieben.
Seit dem Ausbruch der COVID-19-Pandemie hat sich das Arbeitsumfeld vieler Menschen stark verändert. Laut einer Erhebung des Digitalverbandes Bitkom e.V. im März 2020 arbeitete während des Lockdowns jeder zweite Berufstätige in Deutschland im Homeoffice. Die im Juni 2020 erschienene IBM Security Studie „Work From Home“ verdeutlicht zudem, dass vor der Coronakrise in 37 % der Unternehmen lediglich begrenzt und zu 46% überhaupt nicht von Zuhause aus gearbeitet werden durfte. Noch immer und vermutlich bis auf nicht absehbare Zeit wird in vielen Unternehmen im Homeoffice gearbeitet. So bietet Mastercard, der zweitgrößte Zahlungsabwickler der Welt, seinen Mitarbeitern an, erst mit der Verfügbarkeit eines Covid-19-Impfstoffs an ihre Büroarbeitsplätze zurückzukehren.
Infolge des plötzlichen Anstiegs der Telearbeit müssen Arbeitgeber ihre Mitarbeiter mit Geräten, wie Laptops, Tablets und Smartphones, versorgen. Der IBM-Studie zufolge arbeiten 53 Prozent der Befragten, die sich aufgrund der aktuellen Situation erstmalig im Homeoffice befinden, mit einem privaten Laptop oder PC. Da Corona bereits diverse Lieferketten unterbrochen hat, stellt die Neuanschaffung der Endgeräte für zahlreiche Mitarbeiter die Unternehmen vor finanzielle und logistische Probleme. Aufgrund dieser Hürden setzt das Management häufig auf eine Bring-your-Own-Device (BYOD) Strategie, bei der jedoch nicht auf grundlegende Sicherheitsmaßnahmen verzichtet werden darf, wie die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister anmerkt.
Die private IT-Infrastruktur weist im Vergleich zur Unternehmens-IT meist ein deutlich schlechteres Sicherheitsniveau auf: Häufig werden zuhause weniger sichere WLAN-Standards genutzt, z. B. WPA2-Phase-Shift-Key (PSK) statt WPA2-Enterprise, sodass kein zentraler Authentifizierungsserver existiert. Zudem werden oft Sicherheitsupdates für einzelne Geräte zu spät oder gar nicht installiert. Werksseitig vorkonfigurierte Router-Passwörter, mit denen die Hersteller eine möglichst schnelle und einfache Inbetriebnahme ermöglichen, werden nicht immer angepasst. Die Abwesenheit gehärteter Bastion-Hosts in einer von zwei Firewalls abgesicherten neutralen entmilitarisierten Zone (Demilitarized-Zone – kurz: DMZ) zwischen dem Internet und dem eigenen Netz verhindert zudem eine tiefergehende Analyse verdächtiger Pakete.
Aufbau einer VPN-Infrastruktur
Ein weiterer Stolperstein ist der Fernzugriff auf das Firmennetz. Mit der Einrichtung eines Virtual-Private-Networks (VPN) wird meist der gesamte Datenverkehr durch das Unternehmensnetzwerk geleitet, die Nutzung von Cloud-Anwendungen mit eingeschlossen. Der gesteigerte Anteil der Telearbeit in Coronazeiten führt somit schnell zu einer Überlastung der verfügbaren Bandbreiten, was wiederum Dienste und Anwendungen lähmt und die Produktivität der Mitarbeiter verringert.
Deshalb sollte zuerst ein eigenes Netzwerksegment für die VPN-Infrastruktur angelegt werden. Danach gilt es, die Ressourcen der Infrastruktur auf die neue Last auszulegen. Hierbei kann ein Load-Balancer verwendet werden, um die Last eines VPN-Gateways auf mehrere Server aufzuteilen. Zudem kann durch Overprovisioning die verfügbare Bandbreite des internen Netzes an die höchste Auslastung angepasst werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, direkte Verbindungen außerhalb des Tunnels zu nichtvertrauenswürdigen Systemen (“Split-Tunneling”) während einer VPN-Sitzung vollständig zu unterbinden.
Neue Angriffsvektoren durch Homeoffice
Eine Auswahl möglicher Angriffsketten, die die neue Homeoffice-Situation ausnutzt, ist in nebenstehendem Bild dargestellt. Im ersten Schritt sucht der Angreifer nach einem geeigneten Angriffspunkt, um Schadcode auf dem Arbeitsrechner zu platzieren. Das können Hardware-Komponenten aller Art sein, die sich im Heimnetzwerk befinden. Sicherheitsforscher von Palo Alto Networks haben beispielsweise herausgefunden, dass der Router DIR-865L des Herstellers D-Link bekannte Sicherheitslücken aufweist und über sechs verschiedene Wege angreifbar ist. Jeder unautorisierte Zugriff auf den Router des Mitarbeiters im Homeoffice kann dazu genutzt werden, eine Verbindung mit dem Arbeitsrechner aufzubauen und diesen ebenso mit Schadsoftware zu infizieren. So nutzt aktuell die Krypto-Malware „Lucifer“ eine Liste bekannter Sicherheitslücken aus, um in das Unternehmensnetzwerk einzudringen. Danach wird eine Verbindung zu verschiedenen Command-and-Control (C2) Servern aufgebaut, um den erfolgreichen Eintritt in das System zu kommunizieren. Diese C2-Server laden über ein professionell aufgezogenes Botnetz weitere Schadsoftware in das betroffene System, welche sich auf der Suche nach den für die Angreifer relevanten Daten lateral verbreitet.
VDI als Alternative zum VPN
Um IT-Sicherheitsvorfälle zu unterbinden, muss die Angriffskette unterbrochen werden. Dies kann beispielsweise durch einen verstärkten Schutz des VPN-Gateways oder der Arbeitsrechner der Mitarbeiter über Host-Intrusion-Prevention-Systeme (HIPS) erfolgen. Eine weitere Möglichkeit besteht in der Verwendung einer Virtual-Desktop-Infrastructure (VDI). Für die Umsetzung wird ein Baseline-Image erstellt. In diesem sind das Betriebssystem sowie wichtige Programme vorinstalliert und konfiguriert. Für die Nutzung selbst wird für jeden Mitarbeiter ein eigenes Image vom Baseline-Image abgeleitet und dieses auf einem Server im Unternehmen gespeichert. Daraufhin kann der Mitarbeiter über einen Client, zum Beispiel eine Software auf dem eigenen Laptop, auf das Image und somit auf die Daten und Anwendungen des Unternehmens zugreifen.
Vorteile einer Virtual-Desktop-Infrastructure (VDI):
- Zentrale Administration der virtuellen Images, d. h. im Falle einer BYOD-Strategie muss nicht auf die Sicherheit der Arbeitsrechner der Mitarbeiter vertraut werden.
- Vereinfachtes Patch- und Update-Management
- Zeit- und Geldersparnis durch Ableitung von neuen Images aus dem Baseline-Image statt Beschaffung von Hardware für Mitarbeiter
- Mitarbeiter können von beliebigen Geräten, zum Beispiel von Thin-Clients aus, auf die virtuelle Maschine (VM) zugreifen.
- Die VM wird auf dem Server ausgeführt, was zu einer Abkapselung der unternehmenskritischen Daten vom Client führt.
- Bei Verlust des zur Arbeit genutzten Endgerätes befinden sich darauf keine unternehmensspezifischen Daten
Ob sich eine VDI finanziell mittelfristig rechnet, hängt primär von der Anzahl der Mitarbeiter ab. Denn auch die Hardware und Lizenzkosten für die virtuellen Umgebungen und Betriebssysteme sollten berücksichtigt werden. Zudem bringt eine virtuelle Desktop-Infrastruktur auch gewisse Nachteile mit sich. Je nach Nutzerprofil kann die Last auf dem Server unterschiedlich ausfallen. Ein Endgerät mit mehreren hochauflösenden 4K-Monitoren benötigt beispielsweise mehr Ressourcen des Servers und Bandbreite als ein 15 Zoll Laptop-Display. Darüber hinaus ist die Performance der VM von der Qualität der Anbindung des Clients an das Firmennetzwerk abhängig. Denn für die Rechenoperationen, die bei der VPN-Lösung auf dem Endgerät ausgeführt werden, ist bei der VDI hingegen der Server zuständig. Das bedeutet, dass die VM träge erscheint, wenn das Delay zwischen Client und Server hoch ist. Ein weiterer Nachteil der virtuellen Desktopinfrastruktur offenbart sich bei vermehrten Netzausfällen. Mit einer VDI können Mitarbeiter ausschließlich arbeiten, wenn eine stabile Verbindung zum Internet besteht. Bei einer VPN-Lösung ist es hingegen auch während eines Netzausfalls möglich, an den lokal auf dem Laptop gespeicherten Dokumenten zu weiterzuarbeiten. Somit empfiehlt es sich, die Vor- und Nachteile gegeneinander abzuwägen. Zur Erhöhung der Sicherheit kann mit Blick auf die Anzahl der Authentifizierungsfaktoren sogar eine Kombination von VPN und VDI genutzt werden.
Mit Awareness-Trainings gegen Phishing-Angriffe
Cyberkriminelle nutzen häufig ausgeklügelte Social-Engineering-Methoden, um ihre Opfer zur Preisgabe von vertraulichen Informationen zu bewegen. So berichtet Verizon in seinem aktuellen Data Breach Investigations Report 2020, dass Phishing mit 22 Prozent der am meisten verwendete, (i.S.v. Datenabfluss) erfolgreiche Angriffsvektor ist. Durch das erhöhte Risiko der Ablenkung im Homeoffice dürfte dieser Wert in Zukunft weiter ansteigen.
Über das vermeintliche Angebot von Produkten und Dienstleistungen zur Lösung von Corona-bezogenen Problemen werden Internetnutzer beispielsweise auf kompromittierte Internetseiten gelockt und dort zur Eingabe personenbezogener Daten verleitet. Häufig findet auch ein unbemerkter Drive-by-Download von Schadcode statt oder der Nutzer wird dazu aufgefordert, aktiv ein Programm zu installieren, das beispielsweise als Sicherheitsupdate getarnt ist. So gelangen unter anderem sensible Login-Informationen zu Firmenaccounts in falsche Hände.
Eine kostengünstige und wirkungsvolle Maßnahme gegen solche Phising-Angriffe ist ein gezieltes Security-Awareness-Training. Darin lernen Mitarbeiter, die Auswirkungen von IT-Sicherheitsvorfällen für ihr Unternehmen einzuschätzen und Verantwortung zu übernehmen. Infolgedessen erkennen sie betrügerische E-Mails an bestimmten Merkmalen, klicken auf keine Links und geben keine personenbezogenen Daten an, bis sie überprüft haben, dass die Nachricht tatsächlich von dem angegebenen Absender stammt. Verdächtige E-Mails werden an ein dafür eingerichtetes „Report-Phishing“-Postfach gemeldet, damit diese von Spezialisten eingehend analysiert werden können. In jeder Hinsicht sollten sich die Inhalte an den für die Zielgruppe maßgeblichen Fragestellungen orientieren. Zusätzlich empfiehlt es sich, die bei den Mitarbeitern erzielten Lerneffekte in kurzen Abschlusstests messbar zu validieren und die Lernkurve durch regelmäßige Weiterbildungsangebote aktiv zu steuern.
Fazit
Weltweit sind die Unternehmen während der Coronakrise gezwungen, sich an eine Vielzahl neu entstandener Herausforderungen anzupassen. Angesichts finanzieller Engpässe, der vermehrten Arbeit im Homeoffice, weniger Personal und häufigeren Unterbrechungen in den Lieferketten für IT-Geräte entstehen neue Risiken für die IT-Sicherheit. Dabei ist eine Versorgung der Mitarbeiter mit unternehmenseigener und IT-Standard-konformer Hardware und deren sichere Anbindung an das Unternehmensnetz über eine tragfähige VPN-Infrastruktur essentiell. Alternativ rechnet sich ab einer bestimmten Mitarbeiterzahl eine VDI. In jedem Falle müssen die Mitarbeiter in speziell auf sie zugeschnittenen Security-Awareness-Trainings geschult werden. Wer nicht selbst über die notwendigen Ressourcen verfügt, sollte sich an ausgewiesene Experten wenden.
Über die Autoren:Sascha Alder (M.Sc.) ist Security Consultant, CompTIA Security+ certified bei CGI Deutschland. René Kurmann (M.Sc.) ist Senior Consultant Information Security, Certified Information Security Manager (CISM) und ISO/IEC 27001 Lead Auditor / Lead Implementer bei CGI Deutschland.
(ID:46847747)
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a0/5e/a05e74d3a58b9a9cda9d0f2f3a4109c7/0115034563.jpeg "Mobiles Arbeiten stellt andere Anforderungen an die IT-Sicherheit als ein fester PC-Arbeitsplatz in einem Büro. (Bild: tippapatt - stock.adobe.com)")