Neuer SySS-Pentest "HOMEOFFICE"

Viele Unternehmen setzen aufgrund der aktuellen Lage verstärkt auf Homeoffice ihrer Mitarbeiter. Dies geschieht über einen Fernzugriff auf ausgewählte interne Ressourcen. Gängige technische Lösungen hierfür sind Citrix XenApp, Microsoft Remote Desktop Gateway oder VMware Horizon View sowie diverse Webapplikationen. Da diese Technologien eine aus dem Internet erreichbare Schnittstelle des eigenen Unternehmensnetzwerks darstellen, sollte deren Sicherheitsniveau eine hohe Bedeutung beigemessen werden, insbesondere weil die Einhaltung bestimmter Sicherheitsrichtlinien im Homeoffice (siehe auch Secutorial "Homeoffice: Zur Sicherheit" im Pentest Blog) nicht geprüft werden kann und Angreifer somit leichter an Zugangsdaten gelangen könnten.

Im Rahmen des HOMEOFFICE-Pentests wird aus der Sicht eines Nutzers mit Standard-Homeoffice-Rechten geprüft, inwieweit das Unternehmensnetzwerk kompromittiert oder auf kritische Unternehmensressourcen zugegriffen werden kann. Hierzu wird beispielsweise der Versuch unternommen, die Authentisierung zu umgehen, definierte Nutzerrichtlinien auszuhebeln, aus dem Kontext einzelner Anwendungen auszubrechen oder eine sonstige Rechteeskalation zu erreichen. Auch die verwendeten Webapplikationen werden auf mögliche Sicherheitslücken überprüft. Wird der SySS GmbH ein Firmenlaptop zur Verfügung gestellt, kann dieser auf Härtungsmaßnahmen wie Festplattenverschlüsselung und Nutzerrechte getestet werden.

Der Schwerpunkt bei diesem Test kann ganz individuell gesetzt werden, etwa auf die Untersuchung der eingesetzten Serversysteme oder auf mögliche Auswirkungen eines kompromittierten Accounts. Die Details werden im Kick-off-Gespräch mit dem durchführenden IT Security Consultant der SySS besprochen.

Die SySS GmbH benötigt für diesen Test alle Zugangsdaten, die ein Mitarbeiter im Homeoffice nutzt, sowie eventuell ein eingerichtetes Clientsystem, von dem aus die Nutzerrechte geprüft und wenn möglich ausgeweitet werden.

Ein typisches HOMEOFFICE-Projekt erfordert etwa vier Personentage. Je nach Anforderung sprechen wir Umfang und Dauer des Tests selbstverständlich ab und beraten eingehend. Gerne liefert die SySS GmbH auch eine Checkliste zur IT-Sicherheit für Mitarbeiter im Homeoffice, die unter anderem auf die Konfiguration eines sicheren WLAN eingeht.

Darüber hinaus ist es empfehlenswert, die gegenwärtig verstärkt zum Einsatz kommenden Kollaborations- und Kommunikationswerkzeuge – wie z. B. Microsoft Teams, Zoom, Cisco Webex oder GoToMeeting – zu prüfen. Insbesondere sollte deren Schnittstellen ins (Unternehmens-)Netzwerk Beachtung geschenkt werden, um zuverlässig sicher arbeiten zu können.