Wie Fernzugriff sicherer geht

Virtual Private Networks (VPNs) bildeten die Grundlage, um Remote-Mitarbeiter abzusichern, als die Mehrheit der Mitarbeiter noch innerhalb der traditionellen Bürogrenzen arbeitete. Der durch die Pandemie Anfang 2020 eingeleitete Übergang zur massenhaften Fernarbeit veränderte die Lage dramatisch. Seitdem ist es für eine große Zahl von Mitarbeitern zur Norm geworden, regelmäßig aus dem Home-Office zu arbeiten, ins Büro gehen viele inzwischen nur noch sporadisch - wenn überhaupt.

Für Remote-Work-Initiativen im großen Stil und hybride Arbeitsszenarien sind VPNs unzureichend, wie Joseph Carson, Chief Security Scientist und beratender CISO bei ThycoticCentrify, erklärt: "Ursprünglich nutzten Unternehmen VPNs, um einigen wenigen Mitarbeitern oder Drittanbietern Remote-Zugriff auf bestimmte Systeme zu ermöglichen. Das hat sich jedoch auch negativ auf die Produktivität der Mitarbeiter und die Benutzererfahrung ausgewirkt, was wiederum die Reibungsverluste erhöht hat."

Noch deutlicher wird Matthew Gracey-McMinn, Leiter Threat Research beim Sicherheitsanbieter Netacea: "Der VPN-Einsatz in so großem Umfang war nicht absehbar und hat sich zum Security-Alptraum für IT-Teams entwickelt, weil die Angriffsfläche vergrößert wurde. Dass der Zwang zur schnellen Umstellung auf Remote Work keine positiven Effekte hatte, davon ist auch Felipe Duarte, Sicherheitsforscher bei Appgate, überzeugt: "In manchen Fällen wurden einfach generische VPN-Lösungen eingesetzt und den Geräten der Mitarbeiter blind vertraut."

Weil Remote- und Hybrid Work in absehbarer Zukunft die Norm sein werden, ist es für Unternehmen von entscheidender Bedeutung, nicht nur die Unzulänglichkeiten und Risiken von VPNs im Zeitalter der Remote-Arbeit anzuerkennen, sondern auch zu verstehen, welche alternativen Optionen es gibt, um ihren Mitarbeitern, Kunden und Partnern sicher(er)en Fernzugriff zu ermöglichen.

Virtual Private Networks: Remote-Mängel

Virtual Private Networks erweitern in der Regel das Netzwerk des Unternehmens. Wenn das Netzwerk, in dem sich der User aufhält, unsicher ist, steigt das Potenzial für Angriffe, wie Sean Wright, Application Security Lead bei Immersive Labs weiß: "Heimnetzwerke weisen im Regelfall mehr Sicherheitsschwachstellen auf, was das Risiko zusätzlich erhöht."

Dominic Grunden, CISO beim Finanzdienstleister WaveMoney, weist auf ein weiteres Manko hin: "Die Tatsache, dass VPNs nur den Datenverkehr zwischen zwei Punkten verschlüsseln, erfordert einen eigenständigen und vollständigen Sicherheits-Stack, der den Datenverkehr überprüfen muss. Das ist eine Anforderung, die immer schwieriger zu erfüllen ist, wenn Unternehmensressourcen zunehmend in der Cloud gehostet werden und Remote-Mitarbeiter darauf zugreifen. VPNs bieten auch keine Möglichkeit, den Zugriff von Drittanbietern abzusichern, was vielleicht das größte Manko darstellt."

Laut Gracey-McMinn bieten die meisten VPNs durch die Verschlüsselung des Datenverkehrs nur eine minimale Sicherheit und erzwingen oft auch keine Multi-Faktor-Authentifizierung: "Wenn der Computer eines Mitarbeiters bei der Arbeit zu Hause kompromittiert wurde, könnte das dazu führen, dass ein böswilliger Akteur über das VPN mit den Anmeldeinformationen des Mitarbeiters Zugang zum Unternehmensnetzwerk erhält, was ihm vollen vertrauenswürdigen Zugriff gewährt. Eine Aktivität, die von einem Sicherheitsteam sehr wahrscheinlich nicht entdeckt wird, da bei der Remote-Arbeit keine vollständige Sicherheitsschicht vorhanden ist."

Exakt dieses Vorgehen wurde laut Duarte auch beim schlagzeilenträchtigen Ransomware-Angriff auf Colonial Pipeline beobachtet: "In diesem Fall verschafften sich die Angreifer Zugang zum internen Netzwerk, indem sie einfach kompromittierte Benutzernamen und Passwörter für eine unsichere VPN-Appliance verwendeten." Der Security-Experte weist auch auf Fälle hin, in denen Angreifer bekannte Schwachstellen solcher Appliances gezielt ausnutzen.

Ein weiteres wichtiges Problem seien mit Malware infizierte und nicht gepatchte Geräte: "Dieses Szenario steht in der Regel im Zusammenhang mit manuell gesteuerter Malware, wie Botnets, Backdoors und Remote-Access-Trojanern. Der Angreifer stellt eine Remote-Verbindung mit dem Gerät her - nachdem die VPN-Verbindung steht, kann sich die Malware als Benutzer ausgeben, auf alle erreichbaren Systeme zugreifen und sich im internen Netzwerk ausbreiten." Wright stimmt zu und merkt an, dass Geräte nur dann ausreichend sicher sind, wenn sie aktiv aktualisiert werden: "Sie können die sicherste VPN-Verbindung der Welt haben - wenn ein Device nicht ausreichend gepatcht ist, stellt es ein Risiko für Ihr Unternehmen dar. Eine VPN-Verbindung macht dann keinen Unterschied."

WaveMoney-CISO Grunden zufolge sind Virtual Private Networks auch aus Sicht der Benutzerfreundlichkeit und Mitarbeiterproduktivität mit Nachteilen behaftet: "Häufig gibt es Probleme mit der Netzwerkgeschwindigkeit, da VPNs Anfragen über einen anderen Server umleiten. Daher lässt es sich nicht vermeiden, dass die Verbindungsgeschwindigkeit wegen der erhöhten Latenzzeit im Netz niedriger ausfällt. Außerdem treten manchmal andere Leistungsprobleme im Zusammenhang mit der Verwendung von Kill Switches und DHCP auf. Die von VPNs gebotene Sicherheit ist zwar notwendig, bringt aber oft eine unangemessene Komplexität mit sich, insbesondere für Organisationen, die Unternehmens-VPNs verwenden."

VPN-Alternativen: 7 Wege zum sicheren Fernzugriff

Unternehmen sollten sich also mit alternativen Methoden auseinandersetzen, um Remote-Mitarbeiter mit den Unternehmensressourcen zu verbinden - unabhängig davon, ob VPN vollständig ersetzt werden oder ergänzende Maßnahme bleiben soll. Folgende VPN-Alternativen sollten Unternehmen auf dem Zettel haben, wenn sie massenhafte Fernarbeit sicher realisieren wollen:

1. Zero Trust Network Access

Zero Trust Network Access (ZTNA) stellt im Wesentlichen einen verwalteten ("brokered") Zugang zu Anwendungen und Daten im Netzwerk dar. Benutzer und Geräte werden dabei überprüft und bestätigt, bevor der Zugriff gewährt wird. "Sie müssen eine Zero-Trust-Mentalität einnehmen und immer davon ausgehen, dass ein Gerät oder ein Mitarbeiterkonto kompromittiert sein könnte", empfiehlt Duarte.

"Zero-Trust-Methoden decken die grundlegenden VPN-Funktionen, wie etwa die Zugriffsmöglichkeit auf bestimmte Systeme und Netzwerke ab - jedoch mit zusätzlichen Sicherheitsebenen in Form des Least-Privilege-Prinzips, Identitätsauthentifizierung, Employment Verification und Credential Storage", erklärt Grunden. Gelingt es einem Angreifer, ein System zu infizieren, sei der Schaden auf das beschränkt, worauf dieses System Zugriff hat, weiß Duarte und fügt hinzu: "Sie sollten außerdem Netzwerk-Monitoring-Lösungen implementieren, um verdächtige Vorgänge erkennen und Gegenmaßnahmen einleiten zu können."

2. Secure Access Service Edge

Zero Trust sei jedoch nur ein Teil der Problemlösung und könne nicht den gesamten Datenverkehr von einem Endpunkt zum anderen überwachen, meint Gracey-McQuinn und merkt an: "Secure Access Service Edge - SASE - löst dieses Problem. Als Cloud-basiertes Modell kombiniert es Netzwerk- und Sicherheitsfunktionen in einem Architektur-Service, der es Unternehmen ermöglicht, ihr Netzwerk zu vereinheitlichen."

Dem Manager zufolge handle es sich bei SASE um eine moderne Lösung, die den aktuellen Leistungs- und Sicherheitsanforderungen im Unternehmensumfeld gerecht wird: "SASE bietet eine vereinfachte Verwaltung und einen vereinfachten Betrieb, realisiert niedrigere Kosten sowie eine erhöhte Transparenz und ein verbessertes Sicherheitsniveau. Letztendlich gibt SASE sowohl den IT-Teams als auch der gesamten Belegschaft eines Unternehmens die nötige Flexibilität, um die Herausforderungen der Post-COVID-Arbeitswelt zu bewältigen."

3. Software-defined Perimeter

Ein softwaredefinierter Perimeter (SDP), der häufig im Rahmen umfassenderer Zero-Trust-Strategien implementiert wird, ist eine Netzwerkgrenze, die auf Software statt auf Hardware basiert. Laut Security-Experte Duarte stellt SDP einen effektiven Ersatz für klassische VPN-Lösungen dar: "Damit können Sie nicht nur eine Multi-Faktor-Authentifizierung implementieren und Ihr Netzwerk segmentieren, sondern auch ein Profil der Benutzer und Geräte erstellen, die sich verbinden. Außerdem lassen sich Regeln erstellen, um nur die Zugriffsrechte zu gewähren, die wirklich nötig sind."

SDP erleichtere es auch, den Zugriff auf Ressourcen zu sperren, sobald ein verdächtiges Verhalten innerhalb des Netzwerks erkannt wird. So könnten potenzielle Bedrohungen effektiv isoliert werden, der Schaden von Angriffen minimiert und die Produktivität im Falle eines Fehlalarms aufrechterhalten werden, so Duarte.

4. SD-WAN

VPNs basieren auf einem Router-zentrierten Modell zur Verteilung der Kontrollfunktion über das Netzwerk. Dabei leiten Router den Datenverkehr auf der Grundlage von IP-Adressen und Zugangskontrolllisten (ACLs) weiter. Software-definierte Wide Area Networks (SD-WANs) hingegen basieren auf einer Software und einer zentralisierten Kontrollfunktion, die den Datenverkehr intelligenter über das WAN lenken kann. Dazu werde dieser auf Grundlage von Anforderungen des Unternehmens, was Priorisierung, Security und Servicequalität anbelangt, verarbeitet, so Grunden.

"SD-WAN-Produkte sind so konzipiert, dass sie die herkömmlichen physischen Router durch virtualisierte Software ersetzen, die Richtlinien auf Anwendungsebene steuern und ein Netzwerk-Overlay bieten. Außerdem kann SD-WAN die laufende Konfiguration von WAN-Edge-Routern automatisieren und den Datenverkehr über eine Mischung aus öffentlichen Breitband- und privaten MPLS-Verbindungen leiten", so der CISO. Auf diese Weise entstehe ein Unternehmensnetzwerk auf Edge-Ebene mit geringeren Kosten, weniger Komplexität, mehr Flexibilität und besserer Sicherheit.

5. Identity und Access Management

Im Vergleich zu herkömmlichen VPNs bieten Lösungen, die die Validität von Login-Versuchen (die normalerweise nur ein Passwort erfordern) umfassend überprüfen, ein höheres Schutzniveau.

"Ein Sicherheitsmerkmal von IAM ist, dass Sitzungsaktivitäten und Zugriffsprivilegien mit dem jeweiligen Benutzer verbunden sind. Netzwerkmanager können also sicher sein, dass jeder Benutzer autorisierten Zugriff hat - und können darüber hinaus jede Netzwerk-Session nachverfolgen", meint Grunden. "IAM-Lösungen bieten oft auch zusätzliche Zugriffsebenen, so dass Benutzer nur auf die Ressourcen zugreifen können, für die sie berechtigt sind."

Während diese VPN-Alternative Identitätsprotokolle verwalte und eine genauere Überwachung der Aktivitäten ermögliche, biete sie keinen zusätzlichen Schutz für privilegierte Anmeldedaten, so der WaveMoney-CISO weiter: "Um die Anmeldeinformationen für privilegierte Konten sicher zu verwalten, ist Privileged Access Management (PAM) erforderlich. Das Identitätsmanagement legt die Identität einzelner Benutzer fest und autorisiert sie - PAM-Tools fokussieren auf die Verwaltung privilegierter Zugangsdaten, die für kritische Systeme und Anwendungen mit einem höheren Maß an Sorgfalt und Kontrolle zum Einsatz kommen."

Solche hochrangigen Accounts müssten wegen des Risikopotenzials sorgfältig gemanagt und überwacht werden: "Zu den wichtigsten Vorteilen einer PAM-Lösung gehören die erweiterte Sicherheit von Anmeldeinformationen - etwa durch häufig wechselnde, komplexe Passwörter, Password Obfuscation, kontrollierten System- und Datenzugriff und die Überwachung der Benutzeraktivitäten. Diese Funktionen verringern die Gefahr der unbefugten Nutzung privilegierter Zugangsdaten und machen es für IT-Manager einfacher, verdächtige oder riskante Vorgänge zu erkennen."

6. UEM Tools

Conditional Access über Unified Endpoint Management (UEM)-Tools könne eine VPN-freie Erfahrung bieten, wobei ein auf dem Gerät laufender Agent verschiedene Bedingungen auswertet, bevor er einer Person den Zugriff auf eine bestimmte Ressource ermöglicht, erklärt Andrew Hewitt, Senior Analyst bei Forrester: "Die Lösung kann beispielsweise die Gerätekonformität, Identitätsinformationen und das Benutzerverhalten auswerten, um festzustellen, ob die betreffende Person tatsächlich auf Unternehmensdaten zugreifen darf. Für zusätzlichen Schutz integrieren UEM-Anbieter ihre Lösungen häufig mit denen von ZTNA-Anbietern."

7. VDI oder DaaS

Eine Virtuelle Desktop-Infrastruktur (VDI) oder Desktop-as-a-Service (DaaS) -Lösungen "streamen im Wesentlichen Rechenleistung aus der Cloud oder von einem Server vor Ort, so dass sich nichts lokal auf dem Gerät befindet", erklärt der Analyst.

Manche Unternehmen verwendeten diese Lösungen als VPN-Alternativen - dabei müssten jedoch immer noch Kontrollen auf Geräteebene mit Benutzerauthentifizierung stattfinden, um den Zugriff abzusichern. "Der Vorteil ist jedoch, dass im Gegensatz zum herkömmlichen VPN keine Daten von der virtuellen Sitzung auf einen lokalen Client kopiert werden können." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.