Privilegierter Fernzugriff: Alle VPN-Zugänge sind gleich, aber einige sind gleicher als andere

Mit überraschend wenig Gepolter haben große Teile der Wirtschaft in Deutschland und anderswo das Büroleben vor Ort mit einem Büroleben zu Hause getauscht. Teams, Zoom, Jitsi und wie sie alle heißen, ersetzen den Blick zum Kollegen auf der anderen Seite des Tisches, virtuelle Coffee-Breaks sorgen für quasi-heimelige Stimmung und die ersten cleveren Hersteller bieten Fake-Hintergründe für die Videokonferenz an. Dass sich so viele Arbeitsplätze in so kurzer Zeit von Vor-Ort auf Remote umstellen ließen, deutet entweder auf einen deutlich besseren Stand der Digitalisierung hin, als allgemein geunkt wurde oder darauf, dass vorher nur der Wille fehlte. Wie auch immer, die nun um den Faktor X gewachsenen Remote-Verbindungen der Mitarbeiter stellen zwar eine Herausforderung in punkto Technik dar, zumeist geht es dabei aber nur um die Skalierung. Das lässt sich über mehr Bandbreite, mehr Logistik für den 2-Faktor Versand und mehr Ports an den Remote-Gateways lösen.

Allerdings haben sich auch die Sicherheitsanforderungen verändert. Viele Mitarbeiter haben zum ersten Mal aus dem Home-Office gearbeitet. Sie waren anfällig für angebliche Anrufe oder E-Mails des Supports, der wichtige Einstellungen durchgehen wollte und hinter persönlichen Daten und Credentials her war. Hakte der Datenaustausch über die vorgesehenen Wege, wurden ad-hoc Lösungen – unverschlüsselt und über öffentliche Netze – verwendet. Videokonferenz verlangten keinen Zugangscode und waren für Mithörer offen. Solche Probleme wurden in den ersten Tagen des Corona-Lockdown schnell identifiziert und adressiert. Nicht ganz so einfach sieht die Lage bei Zugriffen mit hohen Privilegien aus. Administratoren, seien sie intern oder von einem Drittanbieter, benötigen ebenfalls Zugriff auf die IT-Systeme im Unternehmen und deren Accounts stellen einen besonders hohen Wert für Angreifer dar.

Wenn Administratoren schon immer die Berechtigung für Fernzugriffe hatten, werden sie auch (hoffentlich) schon immer ein VPN mit 2-Faktor Authentifizierung eingesetzt haben. Anders könnte es bei neuen ad-hoc Zugängen aussehen, wo aus der Not heraus ein schneller Zugriffsweg über Portweiterleitungen geschaffen und auf ein VPN verzichtet wurde – HTTPS wird schon reichen. Für eine echte Notsituation mag das akzeptabel sein, die sollte aber wirklich nur einmalig und für sehr kurze Zeit, maximal einige Stunden, gelten. Selbst wenn die Admins ein VPN nutzen, haben Angriffe durch die nun deutlich erhöhten Mengen an VPN-Zugängen größere Chancen. So berichtete das Magazin Wired, dass vor kurzem US-Energieunternehmen über Passwort-Spraying und VPN-Hacking attackiert wurden. Password-Spraying nutzt Brute-Force Angriffe gegen eine große Zahl von Accounts, so dass die üblicherweise nach drei Fehlversuchen einsetzende Account-Sperre umgangen wird.

Bei hoch privilegierten Zugängen sollte daher sowohl im LAN, aber vor allem auch über Remote-Wege ein erweitertes Rechtekonzept eingesetzt werden, das die Möglichkeiten der Berechtigten einschränkt und überwacht. Multi-Faktor-Authentifizierung ist selbstverständlich, aber gerade bei Fernzugängen ist auch ein Privileged Access Management-System (PAM) notwendig. Voraussetzung dafür sind vorher festgelegte, durchdachte Prozesse. So muss ein Rollen- und Rechtekonzept umgesetzt worden sein, das Admins eben nicht alle Rechte auf alles einräumt. Abgesehen von sehr kleinen Firmen sollte „Segregation of Duties“ für die Administratoren Pflicht sein. Ein Datenbank-Admin muss nicht auch das Betriebssystem darunter verwalten dürfen. In der aktuellen Sondersituation können vorübergehend manche Vorgaben aufgeweicht werden, dann aber nur mit einer erhöhten Protokollierung. Entweder über ein SIEM oder zumindest mit einem Sammel-Log, das nur durch einen separaten Administrator eingesehen und verändert werden darf. Unter normalen Umständen sollten Admin-Zugriffe über eine Fernverbindung einem erhöhten Risikolevel zugeordnet sein und daher entweder in ihrer Funktion eingeschränkt oder nur mit Vier-Augen-Überwachung gestattet sein. Inzwischen gibt es eine große Zahl von VPN-Lösungen, einige davon auch Cloud-basierend, die in kurzer Zeit und auch nur für eine begrenzte Zeit eingeführt und genutzt werden können. Doch unabhängig davon, wie sich die Lockdown-Situation in den nächsten Wochen präsentieren wird, privilegierter Access ist ein Dauerbrenner, den jede Organisation umfassend betrachten und adressieren sollte.