Homeoffice: Zur Sicherheit

Ein Secutorial der IT-Sicherheitsexperten Christoph Ritter und Matthias Deeg

Aktuell müssen viele Unternehmen, Institutionen und Behörden ihren Betrieb auf Homeoffice umstellen. Angesichts der Geschwindigkeit, mit der diese Maßnahmen umgesetzt werden müssen, sind nicht alle Firmen und Einrichtungen ausreichend für eine vollumfänglich sichere Einrichtung der Heimarbeitsplätze gewappnet. Es besteht die Gefahr, aufgrund von Dringlichkeit und fehlender Expertise gravierende Sicherheitslücken in das (Unternehmens-)Netzwerk zu reißen. Für die Sicherheit von Homeoffice-Lösungen sind sowohl deren technische Umsetzung als auch ihre Nutzung durch die Mitarbeiterinnen und Mitarbeiter relevant. Für ein sicheres Homeoffice gibt die SySS GmbH folgende Empfehlungen:

1. Multi-Faktor-Authentifizierung

Setzen Sie eine Multi-Faktor-Authentifizierung ein, um den Zugriff auf das (Unternehmens-)Netzwerk und schützenswerte Ressourcen besser gegenüber Angriffen zu verteidigen. Dabei sollten zwei oder mehr unabhängige Authentifizierungsmerkmale gefordert werden, die folgende Kategorien erfüllen:

  • Wissen (etwas, das nur der Benutzer weiß),
  • Besitz (etwas, das nur der Benutzer besitzt) und
  • biometrische Merkmale (etwas, das nur der Benutzer ‚ist‘)

Die am häufigsten eingesetzte Form der Multi-Faktor-Authentifizierung ist die Zwei-Faktor-Authentifizierung, bei der – wie der Name verrät – zwei Faktoren, z. B. ein Passwort oder eine Passphrase (Wissen), und eine Smartcard (Besitz) verwendet werden. Im Kontext von VPN-Lösungen, wie sie für den Fernzugriff auf (Unternehmens-)Netzwerke genutzt werden, sind private Schlüssel für zertifikatbasierte Authentifizierungen sowie Einmal-Passwort-Generatoren (One-Time Password Generator) sichere Optionen. Der Einsatz einer Zwei-Faktor-Authentifizierung mit sicheren Authentifizierungsmerkmalen erschwert Angreifern das Leben erheblich im Vergleich zur Nutzung einer rein passwortbasierten Anmeldung. Auch Zugangsdaten, die ein Angreifer möglicherweise durch einen erfolgreichen Phishing-Angriff in Erfahrung bringen konnte, können dadurch nicht unmittelbar für einen Zugriff auf das (Unternehmens-)Netzwerk genutzt werden.

2. Verwendung eines VPN-Tunnels

Verwenden Sie einen VPN-Tunnel als sicheren Kommunikationskanal zwischen Homeoffice und (Unternehmens-)Netzwerk. Für die reibungslose und effiziente Arbeit im Homeoffice ist in der Regel Zugriff auf mehrere Dienste nötig, wie etwa E-Mail, Intranet, CRM-Software, Dateiablage oder das Warenwirtschaftssystem. Um nicht für jeden einzelnen dieser Dienste eine eigene Authentifizierung über das Internet implementieren zu müssen, gibt es zwei Möglichkeiten:

a) Einrichtung eines Terminalservers, über den auf alle benötigten Dienste zugegriffen werden kann

b) Verwendung eines VPN-Tunnels, über den ein gesicherter Zugriff auf die jeweiligen Dienste möglich ist

Wie die jüngste Vergangenheit bei Citrix gezeigt hat, ist es ratsam, den Zugriff auf Terminalserver noch zusätzlich über einen VPN-Tunnel abzusichern. Damit wird eine zusätzliche Sicherheitsschicht implementiert, die für Angreifer eine weitere Hürde darstellt und zugleich die Angriffsfläche verringert.

3. Prinzip der geringsten Berechtigung

Folgen Sie dem Principle of Least Privilege! Das Einrichten einer Homeoffice-Lösung mit einem Terminalserver ist eine komplexe Angelegenheit. Viele Administratoren neigen dazu, im Fall von Fehlern bei Fernzugriffen von Nutzern auf Unternehmensressourcen zuerst zu testen, ob der Fehler noch auftritt, wenn ein betroffenes Benutzerkonto mit mehr Berechtigungen ausgestattet wird. In vielen Fällen lösen die erhöhten Berechtigungen das Problem. Jedoch ist auch hier Vorsicht geboten. Denn werden diese Rechte nicht fein auf das jeweilige Anwendungsszenario und die Rollen des Nutzers abgestimmt, ermöglichen sie diesem oftmals den Zugriff auf Daten oder Systemfunktionen, welche nicht für ihn bestimmt sind. Daher ist stets akribisch darauf zu achten, dass ein Nutzer nur diejenigen Berechtigungen besitzt, die er für seine Arbeit auch wirklich benötigt.

4. Penetrationstests

Lassen Sie Ihre Homeoffice-Lösung mit einem Penetrationtest auf mögliche Sicherheitsschwachstellen überprüfen. In der aktuellen Situation ist davon auszugehen, dass viele Unternehmen, Institutionen und Behörden zur schnellen Einrichtung von Heimarbeitsplätzen zum Teil auf Notlösungen setzen. Penetrationstests können nicht nur Schwachstellen erkennen, sondern auch zu deren Behebung beitragen. Bestimmte kritische Schwachstellen lassen sich bereits mit geringem Aufwand zuverlässig identifizieren und beheben. (Unternehmens-)Netzwerke sollten nur für einen berechtigten Personenkreis zugänglich sein, etwa für Mitarbeiterinnen und Mitarbeiter sowie ggf. für Dienstleister – nicht aber für Angreifer aus dem Internet, die permanent nach Schwachstellen Ausschau halten. Schadsoftware wie Emotet hat bereits die Funktionalität integriert, fehlerhaft konfigurierte Terminalserver automatisiert zu suchen und anzugreifen. Penetrationstests helfen, derartigen Angriffen vorzubeugen.

5. Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter

Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter für IT-Sicherheit! Deren Bewusstsein für IT-Sicherheitsthemen (IT Security Awareness) ist besonders gefragt, wenn sie im Homeoffice tätig und die Kommunikationswege dadurch länger sind. Wird beispielsweise eine Phishing-Mail an mehrere Mitarbeiter versandt, so wird dies im Regelbetrieb meist schnell per sog. ‚Flurfunk‘ an andere Kollegen kommuniziert, noch bevor die IT-Abteilung per offizieller E-Mail davor warnt. Diese Art des Informationsflusses ist im Homeoffice nicht unmittelbar vorhanden. Entsprechend wichtig ist es, dass die Mitarbeiterinnen und Mitarbeiter ausreichend für IT-Sicherheitsthemen wie Phishing-Angriffe sensibilisiert sind und mögliche Angriffe dieser Art schnell erkennen und entsprechend reagieren können. Moderne Spear Phishing-Kampagnen zielen darauf ab, auch einen zweiten Faktor wie Einmalpasswörter von OTP-Generatoren abzugreifen. Hier ist besondere Vorsicht geboten, denn verschiedene Angreiferwerkzeuge haben für dieses Angriffsszenario bereits entsprechende Vorlagen für Microsoft Office 365 oder Google G Suite. Schulungen und andere Awareness-Maßnahmen wie beispielsweise simulierte Phishing-Kampagnen können entscheidend zur Sicherheit von Homeoffice-Lösungen beitragen.

Zur Sicherheit ist derzeit Homeoffice angesagt. Zur Sicherheit des Homeoffice sollen diesen Empfehlungen beitragen.


Termine

14.07.2020
Hack5: Exploit Development

15.07.2020
Secu6: IT-Sicherheit kennenlernen

15.07.2020
Secu6: IT-Sicherheit kennenlernen

16.07.2020
Secu7: Phishing Awareness

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99