Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Zeit für stabiles und sicheres VPN
Je nach Meinungsforscher fallen die Antworten über pro und contra Home-Office unterschiedlich aus. Während die einen die überwältigende Mehrheit der Mitarbeiter als beinharte Home-Office Fans outen, die nie wieder suppigen Automatenkaffe in der Etagen-Teeküche trinken wollen, können es die anderen kaum erwarten, wieder durch die Drehtüren des Arbeitsgebers zu strömen. Doch ganz egal, wie am Ende Arbeitnehmer und Arbeitgeber mit der Situation nach Corona umgehen werden, im Moment ist das Work-from-Home-Modell – wo es geht – die sicherste Alternative. Damit werden Organisationen auch noch die nächsten Wochen und Monate auf die digitale Verlängerung des Schreibtisches angewiesen sein. Höchste Zeit, um sich die Basis der meisten Remote Verbindungen genauer anzusehen.
Als plötzlich von einem auf den anderen Tag die Devise „Bleibt zu Hause“ ausgegeben wurde, musste alles schnell gehen. Verständlicherweise ging Funktion vor sauber befolgtem Prozess. So manches Ad-hoc VPN-System dürfte nicht ganz so streng an den internen Richtlinien orientiert sein, wie das eigentlich nötig wäre. Jetzt, wo sich der Staub etwas gelegt hat, ist es daher an der Zeit, das Remote-Access-Konstrukt nochmals zu prüfen und wenn nötig Änderungen vorzunehmen. Wenn es Richtlinien über die Ausgestaltung des Remote-Zugangs gibt – und die sollten in einem Unternehmen mit einem ISMS auf alle Fälle vorhanden sein – besteht das nächste Ziel darin, alle dort aufgeführten Vorgaben umzusetzen. Wurde das VPN-Gateway nach den internen Richtlinien implementiert und konfiguriert? Sind alle Rechte für die Administratoren prozessgerecht und nach Least-Privilege vergeben? Ist das Gateway an ein zentrales Management angebunden, werden alle Logs zum SIEM oder zumindest zum Event-Verantwortlichen weitergeleitet? Je nach Infrastruktur sollten auch Firewalls vor dem Gateway das Grundrauschen an Angriffen wegfiltern, eventuell wurde das versäumt und die Public IP des Gateways direkt nach Außen freigegeben. Es gibt zahlreiche Sicherheitsmaßnahmen, die meisten organisatorischer oder prozessorientierter Natur, die bei einem VPN-System auf Seiten des Gateways beachtet werden sollten.
Ganz wichtig ist es natürlich, Schwachstellen in der Firmware zu schließen, bevor die Gateways live gehen. Das wurde im Eifer des Gefechts gern übersehen. Doch genau darauf bauen viele Angreifer, die automatisiert nach VPN-Zugängen scannen und auf bekannte, ungepatchte Schwachstellen testen. Firmen im Gesundheitswesen wurden ebenso verstärkt angegriffen wie Regierungsstellen. Die Mitarbeiter wurden zum Teil ebenfalls ins kalte Wasser geworfen. Je nach Unternehmenskultur ist Home-Office ein mehr oder weniger geübtes Vorgehen. Während vor allem IT-Unternehmen mit deutschlandweit verteilten Standorten Home-Office als täglich Brot kennen, war das Arbeiten von zu Hause aus für kleinere mittelständische Firmen und Organisationen aus Non-IT-Branchen Neuland, mit allen damit verbundenen Problemen. Netzzugänge klappten nicht, der Umgang mit den, lobenswerter Weise eingesetzten, 2-Faktor Authentisierungen war ungewohnt und fehleranfällig, Support-Mitarbeiter konnten durch Überlastung nicht erreicht werden – die Liste der Kinderkrankheiten ist endlos. Und auch hier nutzten die Angreifer die allzu menschlichen Schwächen zu ihrem Vorteil. Die Bandbreite reichte von Anrufen durch angebliche Hotline-Mitarbeiter, die Zugangsdaten ausspähen wollten, über Phishing-Mails, die den Besuch einer Schadsoftware-verseuchten Website propagierten bis hin zu angeblich kostenlosen VPN-Clients, die eine Backdoor oder Ransomware enthielten.
In vielen Fällen waren die internen Perimeter der Firmen nicht genügend abgegrenzt, so dass Schadsoftware auf dem Client auch interne Systeme im LAN erreichen und von dort seitwärts durchs Netz springen konnte. Auch hier sollte eine gut eingestellte IT keine Probleme haben, schließlich arbeiten Nutzer normalerweise ohne lokale Admin-Rechte und ein Endanwender-Laptop darf keinen Zugang zu administrativen Schnittstellen an Servern haben. Zu guter Letzt sollten sich Firmen auch Gedanken zur Verfügbarkeit des VPN-Service machen. Während früher ein Gateway ausreichend war, um eine Handvoll Vertriebsmitarbeiter abzudecken, hängt nun die komplette Belegschaft von der Erreichbarkeit und Funktion des Remote-Zugangs ab. Clustering und Schutz vor DDoS-Angriffen ist daher weit wichtiger als vor Corona und auch die damit verbundenen Mehrkosten wert. Wie immer zeigt sich: Wer Informationssicherheit ernst nimmt und als ganzheitlichen Prozess betrachtet, hat auch bei Krisen wenig zu befürchten und kommt selbst unter hohem Druck nicht ins Schwitzen.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.