Warum selbst die Multi-Faktor-Authentifizierung angreifbar ist
Cookie-Diebstahl, Realtime-Phishing und MFA-Fatigue-Attacken bedrohen die lange Zeit als unangreifbar geltende Multi-Faktor-Authentifizierung.
Wie Unternehmen ihre VPN-Neuausrichtung planen sollten
Remote Work über sichere VPN-Zugänge ist wichtiger denn je. Neue Technologien, die zunehmende Vernetzung und flexible Arbeitsmodelle verändern die Art und Weise, wie wir arbeiten. Firmen, die stets einsatzfähig bleiben müssen, sind zudem durch äußere Umstände wie Unwetter oder Pandemien gefährdet. Höchste Zeit also für eine strategische VPN-Neuausrichtung!
Laut der Unternehmensberatung Deloitte wollen langfristig 66 Prozent aller deutschen Firmen vermehrt auf Remote Work setzen. Angesichts der stark zunehmenden Fernzugriffe über mobile Arbeitsplätze und aus dem Homeoffice planen dabei 43 Prozent der befragten CFOs zudem den Ausbau der Cyber-Absicherung. Aus gutem Grund: Spätestens die befristete Homeoffice-Pflicht ab Januar 2021 zwang viele Unternehmen zu Remote-Work-Szenarien. Eilig installierte Interimslösungen brachten dabei allerdings unzählige Sicherheitslücken und Risiken am Endpoint Homeoffice zum Vorschein.
Laut der ESET-Studie „Quo Vadis, Unternehmen?“ gilt jeder zweite Arbeitsplatz im Homeoffice als unsicher. Deshalb spielt die frühzeitige Implementierung einer geeigneten Remote-Access-Lösung für Firmen eine entscheidende Rolle. Vor allem dann, wenn sie unabhängig von äußeren Umständen stets einsatzfähig und produktiv bleiben wollen.
Mehr Sicherheit durch strategische VPN-Neuausrichtung
Ganz gleich, ob Unternehmen eine interimsmäßig eingeführte VPN-Lösung überarbeiten oder einen Neuaufbau ihrer gesamten Remote-Access-Infrastruktur planen: Nur eine solide, strategisch geplante VPN-Neuausrichtung garantiert dauerhaft die Vertraulichkeit und Integrität der übertragenen Daten. Für die dabei zu treffenden Entscheidungen schafft eine Analyse der Ist-Situation ein stabiles Fundament. Diese sollte die Empfehlungen des IT-Grundschutz-Kompendiums vom Bundesamt für Sicherheit in der Informationstechnik (BSI) berücksichtigen und vor allem folgende Fragen beantworten:
- Wurde das vorhandene VPN-Gateway nach internen Richtlinien implementiert?
- Verfügen Administratoren nur über die geringsten benötigten Berechtigungen?
- Leitet das VPN-Gateway seine Logs an Verantwortliche oder eine SIEM-Lösung weiter?
- Ist das VPN-Gateway durch eine Firewall geschützt, um potenzielle Attacken zu verhindern?
- Wurden vorhandene Sicherheitslücken im VPN-Gateway geschlossen, bevor es live ging?
- Sind die Zugänge durch eine sichere Multi-Faktor-Authentifizierung geschützt?
- Wie verfügbar, skalierbar und anpassbar sind die genutzten VPN-Dienste?
Mithilfe dieses Fragenkatalogs stellen Unternehmen existierende VPN-Dienste zunächst komplett auf den Prüfstand, um sie anschließend im Hinblick auf Performance, Sicherheit und Skalierbarkeit zu optimieren. Eine derartige Ist-Analyse dient dabei als Basis für die weitergehende VPN-Planung.
Hardware- oder Software-Produkte für den VPN-Zugang wählen
Nach der Lageeinschätzung sollten die Verantwortlichen die Vorteile und Nachteile einer Hardware- oder Software-Lösung abwägen. Von der Entscheidung für eine geeignete Plattform bis zum passenden Lizenzmodell der VPN-Lösung spielen hier zahlreiche Kriterien eine Rolle. Rein softwarebasierte Installationen bieten bei der strategischen VPN-Neuausrichtung eines Unternehmens einige grundsätzliche Vorteile:
- Keine Lieferengpässe: Bei hardwarebasierten VPN-Lösungen kam es wiederholt zu Lieferschwierigkeiten, Verzögerungen in der Bereitstellung und steigenden Preisen.
- Kurze Implementierungszeit: VPN-Software-Lösungen lassen sich schnell und unkompliziert auf standardisierter Hardware einsetzen oder vollumfänglich virtualisieren.
- Hohe Skalierbarkeit: Softwarebasierte VPN-Lösungen sind besser skalierbar und eignen sich ohne größere Probleme für Umsetzungen mit tausenden von Nutzern.
Neben diesen strategischen Aspekten kann aber auch der Geheimhaltungsgrad der verarbeiteten Daten die Wahl der passenden VPN-Lösung entscheidend beeinflussen. Arbeiten beispielsweise vom Geheimschutz betreute Unternehmen mit Verschlusssachen, sollten sie auf entsprechend qualifizierte VPN-Produkte achten. So ist etwa die VPN-Softwarelösung NCP VS GovNet Connector für die Verarbeitung von Daten der Geheimhaltungsstufen „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) sowie „RESTREINT UE/EU RESTRICTED“ und „NATO RESTRICTED“ zugelassen.
Auf Administration und Bedienung der VPN-Lösungen achten
Bei Routinearbeiten (Management der Nutzerrechte, Verwaltung von Zertifikaten oder der VPN-Schulung aller Mitarbeiter) lässt sich mit komfortablen VPN-Lösungen jede Menge Zeit sparen. Unternehmen sollten bei der Auswahl ihrer VPN-Produkte deshalb darauf achten, dass der IT eine zentrale Administrationskomponente zur Verfügung steht, die VPN-Lösung einfach zu konfigurieren ist und sie letztlich allen Angestellten eine möglichst intuitive Bedienung ermöglicht.
Eine essenzielle Rolle spielt dabei ein zentrales Remote-Access-Management mit Konsole und Management-Server, das alle gängigen VPN-Technologien wie IPsec oder Secure Sockets Layer (SSL) unterstützt. Die Konsole dient dem Administrator dabei als Frontend, um Nutzerdaten abzurufen, Konfigurationseinstellungen zu ändern oder Zertifikate zu speichern. Die Konsole sollte zudem eine skriptgesteuerte Eingabe der Daten ermöglichen, um bei Roll-outs beispielsweise Benutzerdaten oder Lizenzschlüssel für jedes Remote-System automatisch einzuspielen.
Der Management-Server automatisiert hingegen die Überprüfung und Einhaltung der Sicherheitsrichtlinien sowie alle für den Roll-out und Betrieb erforderlichen Aktivitäten, also beispielsweise Software- und Konfigurations-Updates oder die Verwaltung von Usern, Lizenzen und Zertifikaten. Hier sollte es auch möglich sein, Systeme mit unterschiedlichen Betriebssystemen zentral zu verwalten, etwa Windows, macOS, Linux, iOS und Android. Plug-ins für spezielle Aufgaben erleichtern zudem Aufgaben wie die Konfiguration der Clients, der Network-Access-Control-Funktionen oder der Client-Firewalls.
Weitere VPN-Anforderungen einer Remote-Work-Umgebung
Zu den wichtigsten VPN-Aufgaben zählen die gesicherte Kommunikation und der Schutz sensibler Daten. Im Mittelpunkt stehen dabei die unterstützten Sicherheitsstandards, der Umfang der Sicherheitsfunktionen sowie die Flexibilität der VPN-Lösung:
- Standards: Bei VPN-Netzen im Enterprise-Umfeld gilt IPsec als das zentrale Protokoll. Proprietäre Erweiterungen der VPN-Anbieter führen Firmen aber oft in Sackgassen. IT-Verantwortliche sollten deshalb auf einen IPsec-Protokoll-Stack achten, der den Standards IETF, RCF und FIPS für USA und Kanada entspricht.
- Funktionsumfang: Einige Techniken müssen moderne VPN-Lösungen unterstützen. Dazu zählen etwa die Multifaktor-Authentifizierung, Netzwerkzugriffskontrollen, die Entlastung der Server durch Split-Tunneling und VPN-Bypass sowie ein Quality of Service (QoS) innerhalb des verschlüsselten Tunnels.
- Flexibilität: VPN-Lösungen müssen sich dem Bedarf des Unternehmens anpassen – und nicht umgekehrt. Nur dann lässt sich ein zeitweise erhöhter Bedarf an VPN-Zugängen aufgrund äußerer Umstände zeitnah und vorübergehend decken. Flexible und skalierbare Lizenzmodelle wie „Pay per Use“ oder „For Temporary Use“ spielen dabei eine wichtige Rolle.
Detaillierte Informationen zu diesen Aspekten sowie weitere Ratschläge und Empfehlungen finden Sie im kostenlosen Whitepaper „Sicherer Fernzugriff per VPN“. In sechs Schritten führt Sie dieser praxisorientierte Ratgeber zu durchdachten Remote-Access-Lösungen, die ebenso sicher wie flexibel und kosteneffizient sind.
Das könnte Sie auch interessieren:
Zero Trust – Vom Buzzword zur regulatorischen Realität
Zero Trust Architecture ist in aller Munde und spielt langsam auch in den regulatorischen Vorgaben eine Rolle –in den USA, auf EU-Ebene und auch in Deutschland. Grund genug, Zero Trust einmal unter die Lupe zu nehmen. Was genau hat es damit auf sich? Was planen die Gesetzgeber in ...
Überblick über die verschiedenen VPN-Arten
Unternehmen haben die Wahl zwischen Remote-Access-VPNs, Site-to-Site-VPNs, Cloud-VPNs und hybriden Architekturen. Doch wo liegen die Unterschiede?