Endpoint Management und Zero Trust Mobile Security nach der Pandemie

Von Dr. Götz Güttich und Dr. Götz Güttich

Aufgrund der Corona-Pandemie arbeiten viel mehr Menschen als früher hybrid oder remote. Diese Entwicklung ist unumkehrbar. Homeoffice und vergleichbare Arbeitsmethoden werden zum normalen Bestandteil des Arbeitslebens. Deswegen ist es für Unternehmen wichtig, in Zukunft auf Umgebungen zurückgreifen zu können, die ein hybrides Arbeiten möglich machen. Dabei gibt es aber eine große Zahl an Herausforderungen.

Anbieter zum Thema

Welche Schritte müssen Unternehmen ergreifen, um die Herausforderungen von Remote Work zu bestehen, welche Werkzeuge gibt es dazu und wie nutzt man sie richtig.
Welche Schritte müssen Unternehmen ergreifen, um die Herausforderungen von Remote Work zu bestehen, welche Werkzeuge gibt es dazu und wie nutzt man sie richtig.
(Bild: fizkes - stock.adobe.com)

Das mobile Arbeiten hat sich nicht nur auf viel mehr Bereiche als früher ausgeweitet, sondern ist auch in sich selbst komplizierter geworden: Verwendeten die Mitarbeiter früher außerhalb der Büros fast ausschließlich Notebooks, so kommen heute viele unterschiedliche Geräte zum Einsatz, wie beispielsweise Smartphones und Tablets. Außerdem landen die Unternehmensdaten nicht mehr nur auf unternehmenseigenen Devices, sondern auch auf Geräten, die den Anwendern selbst gehören (Bring your own Device – BYOD).

Die heute gebräuchlichen Mobilgeräte bringen zudem üblicherweise eine deutlich größere Angriffsfläche als traditionelle PCs mit sich und gelten damit auch als entsprechend große Bedrohung für die Unternehmenssicherheit. Da mobile Geräte an den unterschiedlichsten Orten zum Einsatz kommen, müssen sich die Administratoren mit diversen weiteren Herausforderungen herumschlagen. So gibt es Bedrohungen durch unsichere Netze, Datenverluste durch verlorene und gestohlene Geräte, Gefahren, die durch Drittanbieteranwendungen entstehen, unsichere Browser, Probleme, die durch die Pflicht der Einhaltung der Datenschutzgrundverordnung (DSGVO) zutage treten und vieles mehr.

Bildergalerie
Bildergalerie mit 6 Bildern

All das lässt sich nur lösen, indem die zuständigen Mitarbeiter in die Lage versetzt werden, einen einheitlichen Patch-Stand in den verteilten Netzen herzustellen, ein einheitliches Niveau in Bezug auf die Endgerätesicherheit zu garantieren und für das IT-Management der Umgebungen zu sorgen. Die Unternehmen müssen angesichts des Wildwuchses der eingesetzten Devices ihr Daten zudem auch dann absichern können, wenn sie sich ihrer physischen Kontrolle entziehen.

Wie ging es los?

Richard Melick, Director Product Strategy for Endpoint Security bei Zimperium.
Richard Melick, Director Product Strategy for Endpoint Security bei Zimperium.
(Bild: Zimperium)

In der letzten Zeit hat sich im IT-Bereich viel verändert. Als die COVID-Pandemie begann, mussten die Unternehmen für das Remote Work auf Dienste zurückgreifen, die nicht richtig skalierten. So kam es beispielsweise vor, dass Organisationen ihre Mitarbeiter ins Home Office schickten und ihnen via VPN Zugänge auf die Unternehmensressourcen einrichteten. Das hatte in der Vergangenheit problemlos funktioniert, da die VPNs immer nur von ein paar Angestellten gleichzeitig genutzt wurden. Jetzt kam es aber zu riesigen Performance-Problemen, gerade in größeren Unternehmen, da die VPN-Infrastrukturen nicht dazu in der Lage waren, parallele Zugriffe von mehreren tausend Anwendern zu realisieren. In manchen Netzen fielen die angebotenen Dienste sogar komplett aus. Die Mitarbeiter aus dem Homeoffice führten also unfreiwillig eine Art DDoS-Angriff gegen ihr eigenes Unternehmen durch.

Es ist also klar, dass verteiltes Arbeiten heutzutage Technologien voraussetzt, die skalieren können. In den Corona-Jahren hat sich deshalb viel verändert. Über dieses Thema sprachen wir unter anderem mit Richard Melick, Director Product Strategy for Endpoint Security bei Zimperium. Er sagte dazu: “Wegen der Pandemie haben wir unsere Adaption von Remote-Arbeit sowie verteilten und hybriden Workforces in kürzester Zeit sehr schnell vorangebracht. Normalerweise hätten wir den Punkt, an dem wir heute stehen, erst in fünf bis zehn Jahren erreicht.”

Viele Technologien, die wir heute einsetzen, waren vor zwei Jahren noch nicht vorhanden. Deswegen ist die Zahl der Bedrohungen auch im Jahr 2020 so stark angestiegen. Es kam zu Contact Tracing, Überwachung der Kommunikation und der Textnachrichten und Ähnlichem.

Das zugrundeliegende Problem

Das Problem beim Absichern von hybriden und mobilen Arbeitsplätzen liegt – wie gesagt – darin, dass die Geräte in unterschiedlichsten Umgebungen zum Einsatz kommen. Wenn eine Angestellte nach Hause kommt und ihren Unternehmens-Laptop hochfährt und mit dem WLAN verbindet, integriert sie das Unternehmensgerät in ein Netzwerk, auf das die IT-Abteilung ihres Arbeitgebers keinen Einfluss hat. Arbeitet ihr Mann auch von zu Hause aus und benutzt ebenfalls ein Unternehmens-Notebook, so befindet sich in diesem Netz noch mindestens ein zweites Gerät, das von einer ganz anderen IT-Abteilung verwaltet wird. Dazu kommen dann noch Produkte, die mit der Arbeit überhaupt nichts zu tun haben, wie Spielekonsolen und persönliche Devices wie Smartphones und Tablets. All das stellt aus Sicht der IT-Verwaltung einen Albtraum dar. In öffentlichen Netzen ist die Lage oftmals noch unübersichtlicher.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die IT-Verantwortlichen in den Unternehmen haben folglich keine Ahnung, wie die Umgebungen aufgebaut sind und sie kennen nur das eine Gerät, das zum Unternehmen gehört. Aus Sicht der IT-Security ist es demzufolge unverzichtbar, einen Sicherheitsparameter um dieses eine Gerät zu schaffen. Deswegen gibt es heute ausgefeiltere Lösungen zum Patch Management und zum Verwalten mobiler Geräte als noch vor zwei Jahren.

Schwierigkeiten durch BYOD

Noch komplizierter wird es, wenn BYOD-Geräte – wie etwa Smartphones – für die Arbeit zum Einsatz kommen. In diesem Fall liegen die Unternehmensdaten zusammen mit vielen anderen Informationen auf einem fremden Device und müssen dort besonders geschützt werden. Folglich muss das Device Management nicht nur Endpoints wie Notebooks, sondern auch Smartphones unterstützen.

Dabei gibt es aber ein Problem: Wenn eine IT-Abteilung Management-Software auf einem BYOD-Gerät installiert, hat das Auswirkungen auf den Besitz und die Privatsphäre der betroffenen Person. Demzufolge weigern sich auch viele Mitarbeiter, eine solche Software auf ihren Geräten zuzulassen. Sie wollen ja schließlich nicht, dass irgendein unbekannter Unternehmensmitarbeiter kontrollieren kann, was sie auf ihren Geräten machen können und was nicht.

Das IT-Management verwaltet die Endpoints direkt

Es handelt sich also um einen Balanceakt, ein Gleichgewicht zwischen Sicherheit und Privatsphäre herzustellen. Aufgrund dieser Problematik konzentrieren sich viele Unternehmen darauf, ihre traditionellen Endpoints abzusichern. Deswegen sind auch Patch-Management-Lösungen stark im Kommen. Unternehmen wie Automox, Ivanti und Jamf bieten ihre Dienste an. Diese Lösungen können die Endpoints direkt patchen.

“Die IT-Abteilungen in Unternehmen investieren jetzt in Lösungen zur Endpoint Detection Response (EDR) und in weit entwickelte Endpoint-Sicherheitsprodukte”, so Richard Melick weiter. “Wir sehen immer häufiger Produkte im Einsatz, die keine große Bandbreite benötigen, um die Endpoints abzusichern.”

Bildergalerie
Bildergalerie mit 6 Bildern

Zero Trust schützt Unternehmensdaten auf den Geräten der Mitarbeiter

Die Lage bei der Endpoint-Sicherheit ist also im Moment gar nicht so schlecht. Was kann man aber nun tun, um auch die BYOD-Geräte beziehungsweise die darauf gespeicherten Unternehmensdaten abzusichern? Hier kommt nun die Zero-Trust-Architektur ins Spiel.

Die Zero-Trust-Architektur lässt sich nicht durch einzelne Softwarelösungen umsetzen, es handelt sich dabei um ein Konglomerat an Ideen. Im Wesentlichen müssen die IT-Sicherheitsspezialisten dafür sorgen, dass alle Personen, die Zugriff auf die Unternehmensdaten haben, immer klar identifiziert werden. Nur diejenigen, die ihre Identität unter Beweis gestellt haben, können mit den Daten arbeiten, alle anderen gelten als nicht vertrauenswürdig. Damit das funktioniert, müssen die Identitäten ständig überprüft werden.

Hierzu ein Beispiel: Eine Angestellte ist mit ihrem Telefon unterwegs und befindet sich in einem anderen Land, als ihr Desktop. Besteht die Möglichkeit, einem dieser beiden Geräte zu vertrauen? Ohne weitere Informationen nicht. Die Frau befindet sich ja nicht in der Nähe des Desktops, deswegen können Anfragen von diesem Rechner nicht legitim sein. Es gibt aber umgekehrt auch die Option, dass das Smartphone gestohlen wurde, also stellt es auch keine Option dar, ihm Zugriff zu gewähren. Erst wenn die Mitarbeiterin belegt hat, wo sie sich befindet, beispielsweise mit Gesichtserkennung, Fingerabdruck und ähnlichen Authentifizierungsmaßnahmen, kann man sie auf ihre Daten zugreifen lassen. In diesem Zusammenhang sind Lösungen zur Multi-Faktor-Authentifizierung unverzichtbar.

Unternehmen wie Ping Identity bieten Produkte an, die solche Szenarien umfassend nachbilden. Diese Lösungen können es sogar zur Pflicht machen, die Identität auf beiden Geräten nachzuweisen, bevor der Zugriff auf Salesforce und ähnliche Unternehmensanwendungen und Daten, die für die tägliche Arbeit erforderlich sind, freigeschaltet wird.

Laut Richard Melick ist der Zero-Trust-Ansatz wesentlich für mobile Sicherheit. Er sagt, er würde momentan im großen Stil auf traditionellen Endpoints umgesetzt, auf mobilen Geräten wäre die Einführung aber eher langsam. Zero Trust hat aber den Vorteil, dass es keine Einschränkungen der Privatsphäre der Mitarbeiter gibt, sie müssen lediglich ihre Identität bestätigen, um die Zugriffskontrollen aufzuheben.

Man braucht also zum heutigen mobilen Arbeiten leistungsfähige Zugriffskontrollen für kritische Daten und Anwendungen. Diese machen VPNs überflüssig und die damit verbundenen Performance-Probleme sind dadurch ein Ding der Vergangenheit. Es ist jetzt egal, von wo aus man sich mit den Unternehmensdiensten verbindet, solange man nur seine Identität beweisen kann. Der Nachteil dieses Ansatzes liegt aber darin, dass jemand, der beispielsweise sein Smartphone für die Identifikation verwendet und dieses zu Hause vergessen hat und zu einem Kunden fährt, dann dort nicht arbeiten kann, da er keinen Zugriff erhält. Jeder muss also immer sicherstellen, dass er stets die Möglichkeit hat, sich zu identifizieren.

Fazit

Die Anforderungen, die durch die Entwicklungen der letzten Jahre an Umgebungen für verteiltes Arbeiten gestellt wurden, haben dazu geführt, dass sich diese Umgebungen stark verändert haben. Griffen früher ein paar Mitarbeiter via VPN auf die Unternehmensressourcen zu, die in der Unternehmenszentrale on-premises gehostet wurden, sehen wir heute eine sehr viel dezentralere Struktur. Viele Dienste, wie beispielsweise Kundendatenbanken laufen in der Cloud und werden über unterschiedliche Verbindungen genutzt. Die Sicherheit der Unternehmens-Endpoints wird durch Management-Werkzeuge realisiert, die diese Endpoints direkt verwalten können, unabhängig von ihrem Einsatzort. Die Sicherheit der Daten auf BYOD-Geräten lässt sich aber nur durch die Verwendung von Zero-Trust-Maßnahmen verwirklichen.

(ID:48309374)