Homeoffice in Krisenzeiten? Aber sicher!

Homeoffice in Krisenzeiten? Aber sicher!

Covid-19 hat uns auf erschreckende Art und Weise bewusst werden lassen, wie machtlos wir als Menschen, Unternehmen und Staaten doch sein können. An dieser Stelle wünschen wir allen Lesern und Leserinnen weiterhin viel Kraft und Gesundheit in dieser schwierigen und ungewissen Situation. Der Coronavirus beeinflusst nicht nur den Gesundheitssektor und das soziale Leben massiv, sondern hat außerdem enorme Auswirkungen auf unsere Wirtschaft und Existenz.

“Außergewöhnliche Zeiten erfordern außergewöhnliche Maßnahmen” lautet ein in diesen Tagen viel zitierter Satz. Eine dieser Maßnahmen: Homeoffice. Um die Infektionsketten des Virus zu unterbrechen und die Ausbreitung einzudämmen haben viele Unternehmen – auf raten der Bundesregierung – nahezu vollständig auf Homeoffice umgestellt. 

Das Homeoffice hält unsere Wirtschaft zumindest in weiten Teilen noch aufrecht und am Laufen. Diese Tatsache bleibt aber (leider) auch den Kriminellen im Internet nicht verborgen. Der Schritt zur vollständigen Remote-Arbeit ist für viele Unternehmen und ihre Mitarbeiter häufig mit einem hohen digitalen Risiko verbunden: Der Cyberkriminalität. Denn mit dem steigenden Anteil an Homeoffice, das zweifelsohne unvermeidbar und richtig ist, ist auch ein steiler Anstieg an Cyberangriffen zu verzeichnen.

 

Was bisherige Ansätze à la Firewall und VPN leisten und nicht leisten können

Traditionelle Firewalls und VPNs setzen auf die strikte Trennung von unternehmensinternem Netz und dem Internet (externem Netzwerk). Diese Methode der Abschottung ist zunächst naheliegend und war in den letzten Jahrzehnten ein bewährtes Mittel. Heute, in Zeiten von Homeoffice, Cloud-Applikationen, mobilen Endgeräten und Bring your own Device (BYOD) Ansätzen liegen Daten nicht mehr nur im unternehmensinternen Netz und der Zugriff passiert von überall, sodass diese Herangehensweise aber nicht mehr sicher ist. 

Die nachfolgende Analogie verdeutlicht dies sehr anschaulich. Zum Schutz vor Eindringlingen wurden früher Mauern um Städte gebaut (Abbildung 1). Ferner gab es Stadttore, an denen nur Berechtigten der Zugang gewährt wurde. Schaffte es ein Betrüger bspw. durch eine falsche Identität, ein trojanisches Pferd oder einen Tunnel in die Stadt, so konnte er sich dort relativ frei bewegen und sein Unwesen in der gesamten Stadt treiben. Die Zeit hat also gezeigt, dass dieser Ansatz nicht zielführend ist – schon gar nicht in einer hochvernetzten und globalisierten Welt.

Abbildung 1: Funktionsweise von Perimeter-Firewalls und VPN-Tunneln

Doch in der digitalen Welt folgen viele Organisationen noch in weiten Teilen genau diesem altmodischen Ansatz: Es wird eine Firewall um das gesamte Unternehmensnetzwerk installiert und Virtual Private Networks (VPNs) als Stadttore und Zugang zum gesamten Netzwerk genutzt. Dies bedeutet auch, dass kein feingranularer Verbindungsaufbau zu einzelnen Applikationen stattfindet. Vielmehr wird man mit dem gesamten Netzwerk verbunden und die Probleme sind vergleichbar mit den aus der realen Welt im Mittelalter.

Einmal im internen Netzwerk (hinter der Firewall) stehen Nutzern und damit auch Angreifern nahezu alle Ressourcen offen. Ein Angreifer kann dadurch Zugriff auf große Teile des internen, kritischen Netzwerks erhalten und sämtliche Netzwerkkommunikation und IT-Systeme identifizieren, manipulieren und schädigen. Noch komplexer wird die Situation, wenn beispielsweise externe Cloud-Dienste via einer Vielzahl von Schnittstellen integriert werden. Dadurch ähnelt die Firewall (Stadtmauer) dann zunehmend einem löchrigen Schweizerkäse. Kurzum: Viele Organisationen versuchen mit Ansätzen aus dem Mittelalter neuartige und auf neuster Technologie basierende Cyberattacken abzuwehren. Das kann auf Dauer nicht gut gehen.

Schwachstellen von Firewalls und VPNs

  1. Perimeter-Firewalls ermöglichen keine feingranulare Absicherung, Administration und Gewährung von Zugriffen.
  2. VPN-Lösungen sind nur bedingt skalierbar (nur via Hardware) und weisen häufig Limitationen hinsichtlich des Durchsatzes auf.
  3. Bei der Integration von Cloud-Lösungen und externen Geräten (z.B. Remote-PCs im Homeoffice) in das interne Netzwerk werden diese Teil des Netzwerks, inklusive IP-Adresse aus dem Netz, wodurch ihnen eine große Angriffsfläche offenbart wird.
  4. Keine ganzheitliche Perspektive und Lösung für unterschiedliche Infrastrukturen (On-Premise, Cloud und IoT), wodurch keine zentrale und konsistente Identitäts- und Rechteverwaltung möglich ist.

Zero Trust als sichere Basis für Zeitalter von Homeoffice, Cloud und IoT

Einen zukunftssicheren und innovativen Lösungsansatz zur Lösung des “Mittelalterproblems” (Firewalls und VPNs) bietet das sogenannte Zero Trust Konzept. Einfach formuliert folgt dieses Konzept einem sehr einfachen aber fundamental anderen Paradigma: Vertraue niemandem und verifiziere jeden Zugriff – “Never trust, always verify”.

Eine Umsetzung dieses Konzept bringt insbesondere die nachfolgenden inhärenten Vorteile gegenüber den klassischen Absicherungsmechanismen mit:

1) Gleichbehandlung aller Zugriffsanfragen, ob von intern oder extern
Die Unterscheidung zwischen unternehmensintern und -extern wird konzeptionell aufgehoben und der zugreifende Benutzer sowie das zugreifende Gerät in den Mittelpunkt gestellt. Es wird jeder Zugriff zu jeder Zeit, von jedem Ort authentifiziert.

2) Feingranular Administration von Zugriffen auf Applikations- statt Netzwerkebene
Anstatt auf eine “große” Firewall um das gesamte Unternehmensnetz zu setzen, wird jede Applikation individuell abgesichert. Dadurch kann auch der Zugriff individuell und benutzerzentriert erteilt werden – anders als bei VPN, welches einen Verbindungsaufbau in ein gesamtes Netzwerk realisiert. 

3) Kein Verbindungsaufbau ohne Authentifizierung – Authenticate first
In bisherigen Konzepten werden Benutzer und Gerät zunächst zur gewünschten Applikation verbunden und dort werden dann die Authentifizierung sowie Autorisierung durchgeführt. Beim Zero Trust Konzept wird dieses Vorgehen umgekehrt: Es werden zunächst durch eine unabhängige Controller-Instanz die Authentifizierung und Autorisierung durchgeführt und nur im Erfolgsfall die Verbindung zur Applikation aufgebaut. Unautorisierte und nicht authentifizierte Benutzer und Geräte können Applikationen gar nicht erreichen. 

4) 1:1 Verbindung statt Vergabe von IP-Adresse aus dem Unternehmensnetzwerk
Die feingranulare Zugriffssteuerung ermöglicht die direkte Verbindung von zugreifendem Gerät (+ Benutzer) mit der gewünschten Applikation. Dadurch erhält das zugreifende Gerät keine IP-Adresse aus dem Unternehmensnetzwerk – anders als bei Zugriff via VPNs – und wird dadurch kein Teil des internen Netzwerks und somit ist auch kein potentieller interner Angriff möglich.

5) Ganzheitliche Verwaltung aller Zugriffe im Unternehmen (On-Premise, Cloud und IoT)
Durch die vorgelagerte Authentifizierung und Autorisierung am Controller, ist dort eine zentralisierte und konsistente Verwaltung sowie Überwachung der Identitäten und Rechte möglich. Im Vergleich dazu ist die Verwaltung von VPN-Zugängen aufwändig und regelt nur den Zugang zum Netzwerk, nicht aber den Zugang zu Anwendungen.

 

Wie das umgesetzt werden kann? Mit qbound!

Bei qbound haben wir basierend auf dem Zero Trust Konzept eine Access Management Lösung entwickelt, die auf neuesten Technologien beruht und infrastrukturübergreifend für On-Premise, Cloud und das IoT nutzbar ist. Mit unserer Lösung erhöhen wir das Sicherheitslevel und erleichtern die Administration von Zugriffsrechten und IT-Netzwerken. Die Funktionsweise der in Abbildung 2 dargestellten qbound Architektur lässt sich in vier Schritte einteilen: 

1) Authentifizierung und Autorisierung von Benutzer und Gerät (Client)

2) Aufbau des Daten Channels zwischen Client und Gateway 

3) Verbindung des Client und Ziel-Applikation via Gateway und Outbound-Verbindung

4) Echtzeitanalyse des Zugriffs und Datenaustauschs

Abbildung 2: Funktionsweise der Zero Trust Lösung von qbound
Gerne helfen wir auch Ihnen bei der Absicherung Ihrer Applikationen und Daten, um auch in Zeiten von stark erhöhtem Homeoffice-Aufkommen, Ihr Unternehmen vor Cyberkriminalität zu schützen. Vereinbaren Sie direkt einen Termin für weiterführende Rückfragen und Diskussionen mit uns:

Dr. André Schweizer ist Geschäftsführer der qbound GmbH und besitzt langjährige Industrie- und Forschungserfahrung. Ferner ist Dr. André Schweizer Forscher am Centre for Blockchain Technologies des University College London (UCL). Zuvor war er am Fraunhofer FIT und an der Universität Bayreuth tätig.

Kontakt:

Homeoffice in Krisenzeiten? Aber sicher!
Nach oben scrollen