Home-Offices und Remote-Mitarbeiter lassen sich mannigfaltig via VPN, Cloud-App oder ZTNA integrieren. Netzpalaver stellte Mario Zimmler, Senior System Engineer bei Netskope, drei Fragen zu Work from Home in Bezug auf die Sicherheit und Nachhaltigkeit der unterschiedlichen Lösungen.
Netzpalaver: Welche Möglichkeiten haben Unternehmen (auch kurzfristig), Mitarbeitern das Arbeiten von Zuhause aus zu ermöglichen?
Mario Zimmler: Im Wesentlichen gibt es hier drei Wege: über VPN, published Apps, also Anwendungen, die in einer öffentlichen Cloud gehostet werden, und einen Zero-Trust-Network-Access (ZTNA).
Derzeit setzen viele Unternehmen (noch) auf VPN. Der Vorteil dabei ist, dass zahlreiche Unternehmen diese Technologie schon vor Jahren angeschafft haben und sie entsprechend etabliert ist. Schwierig wird es jedoch in Zeiten wie diesen, da sich die Appliances nicht ohne Weiteres skalieren lassen. Ein weiterer Nachteil aus Sicherheitssicht ist, dass VPN das Firmennetzwerk für private beziehungsweise mobile Geräte öffnet. Geraten dann die Zugangsdaten in die falschen Hände, etwa durch Phishing, erhält der Angreifer Zugang zum Firmennetzwerk und kann sich dort lateral bewegen, seine Berechtigungen eskalieren und Zugriff auf sensible Daten und Applikationen erhalten.
Ähnlich sieht es bei den in der öffentlichen Cloud-gehosteten Anwendungen aus. Vorteil: Sie sind für die Mitarbeiter leicht von überall aus zugänglich, aber eben auch für Angreifer. Kommen sie an die Nutzername-Passwort-Kombination, erhalten sie Zugang zu den entsprechenden Applikationen und Daten.
Beim Zero-Trust-Netzwerkzugang gilt jeder Benutzer zunächst als Fremder und jede Ressource muss in einem eigenen geeigneten Verfahren zunächst „entsperrt“ werden. Nutzer bekommen also nur ganz gezielt Zugriff auf die Applikationen und Daten, die für sie definiert sind. Netskope-Private-Access vereinfacht diese Methodik durch die Integration in den Standard-Agenten, der bereits installiert ist, und der dann einen verschlüsselten Tunnel nur zu den freigeschalteten Applikationen und nur für berechtigte Benutzer ermöglicht.
Netzpalaver: Welche Gefahren gehen von privaten, also nicht gemanagten Rechnern aus und wie kann man diese reduzieren?
Mario Zimmler: Eines der Hauptprobleme infolge der schnellen flächendeckenden Zunahme von Homeoffice-Arbeitsplätzen ist der Mangel an entsprechender Hardware für die Mitarbeiter. Diese nutzen dann häufig ihre privaten Geräte für die Arbeit, also Geräte, auf die die IT-Abteilung keinerlei Einfluss hat und über die sie nichts weiß. Diese „Bring Your Own“-Geräte befinden sich also in einem nicht definierten Zustand, sowohl was den Stand der Software-Applikationen als auch was eventuelle Viren und Schadsoftware angeht. Natürlich kann man hier im Bereich Awareness einiges bewegen, aber sicher sein, ob auch alles umgesetzt wird, kann man eben leider nicht.
Eine gute Lösung ist es, hier mittels dynamischer Policies den Mitarbeitern bei eigenen Geräten den Zugang zu nur weniger sensibel Applikationen zu ermöglichen, während auf die „Kronjuwelen“ der Firma nur über gemanagte Geräte zugegriffen werden kann.
Netzpalaver: Die Nutzung von Cloud-Apps nimmt unabhängig vom Arbeitsplatz prinzipiell zu. Welche Auswirkungen hat dies auf die IT-Sicherheit?
Mario Zimmler: Durch die zunehmende Nutzung von Cloud-Applikationen ist die klassische Trennung von Sicherheitslösungen in Netzwerksicherheit und in Sicherheit für Applikationen und Onpremise-Server nahezu obsolet geworden. So hat der Cloud & Threat Report 2020 gezeigt, dass die überwältigende Mehrheit von 89 Prozent der Unternehmensanwender in der Cloud ist und täglich mindestens eine Cloud-App aktiv nutzt. Insofern ist Cloud-Zugriff längst an der Tagesordnung – auch im klassischen Büro.
In der momentanen Situation sehen wir, dass nach wie vor viele Benutzer auf private Cloud-Apps von Firmengeräten aus zugreifen, vermehrt aber auch von privaten Geräten. Hier hilft es nur, Sicherheitslösungen zu implementieren, die aus der Cloud erbracht werden, und so in Bezug auf Gefahren aus der Cloud, aber auch in Bezug auf die Verhinderung des Verlusts sensibler Daten maximalen Schutz ermöglichen – ganz egal von wo der Benutzer zugreift und wo sich die Ressourcen und Services befinden. Dies hat auch den Vorteil, dass es sich dabei nicht um Schnellschuss-Lösungen speziell für die aktuelle Situation handelt, sondern dass diese sich nahtlos in die Sicherheitsstrategie des Unternehmens integrieren lassen und auch im „regulären Betrieb“ sinnvoll eingesetzt werden können.
#Netskope