Home Office: Remote-Zugriffe schnell absichern

Die Corona-Pandemie sorgt dafür, dass sich Unternehmen und Behörden intensiv mit der Leistungsfähigkeit ihrer IT-Infrastrukturen im Remote-Modus auseinandersetzen müssen: Laut einer Bitkom-Umfrage hat infolge der Krise bereits fast jeder zweite Berufstätige in Deutschland ganz oder zumindest teilweise sein Büro ins Home Office verlegt. Die meisten Organisationen trifft das völlig überraschend – wenn überhaupt, arbeitete meist nur ein kleiner Anteil der Mitarbeiter „remote“, also von unterwegs, an unterschiedlichen Unternehmensstandorten, beim Kunden oder eben im Home Office. Nun gilt das für den größten Teil der Belegschaft – ohne Vorwarnzeit müssen Arbeitsprozesse und die technologischen Infrastrukturen unter Hochdruck angepasst oder neu eingerichtet werden.

In puncto Informationssicherheit stellt das Thema Remote Working allerdings auch außerhalb des Krisenmodus eine einzigartige Herausforderung dar. Denn im Büro sorgen im Idealfall umfassende Schutzmaßnahmen der IT Security dafür, dass die digitale Kommunikation der Mitarbeiter mit mehreren Sicherheitszonen bestmöglich vor externen Angriffen abgeschirmt ist. Sind Desktop-PC, Smartphone oder Laptop jedoch außerhalb dieser Netzwerkinfrastruktur installiert und mit anderen Netzwerken verknüpft, entstehen zusätzliche Angriffsflächen für Cyber-Krmininelle. Um diese Risiken auszuschalten, sollten IT-Security-Verantwortliche bereits beim Wechsel in Remote-Working-Strukturen die folgenden Handlungsfelder priorisieren:

Eine VPN-Verbindung zwischen den Endgeräten des Nutzers und dem Firmennetzwerk verschlüsselt den gesamten Datenverkehr im Internet und macht ihn unlesbar für jeden, der ihn abfängt. Wir empfehlen die Verwendung eines VPN auf IPsec-Basis unter Nutzung des aktuellen IKEv2-Protokolls. Da alle Betriebssysteme einen „Native Client“ mitbringen, ist man nicht auf Programme von Drittanbietern angewiesen. Diese können aber dennoch sinnvoll sein, da sie die Usability erhöhen und der IT-Abteilung eine einfache Verwaltung ermöglichen. Der sicherste Weg ist, den kompletten Datenverkehr der Remote-Mitarbeiter über das VPN des Arbeitgebers zu leiten. Je nach Anbindung der Firma/Zentrale kann es notwendig sein, die VPN-Zentrale extern zu betreiben oder nur einen Teil des Datenverkehrs über das VPN zu leiten.

Generell sollte man darauf achten, auch außerhalb der Firmen- bzw. Behördennetzwerke streng abgeschirmte IT-Infrastrukturen aufzubauen und permanent zu schützen. Das setzt zwingend voraus, dass jeder Mitarbeiter nur Geräte verwendet, die von der IT Security des Arbeitgebers administriert werden – jeder private Rechner, über den Arbeitsdaten kommuniziert werden, ist ein Sicherheitsrisiko.

Wir empfehlen den Einsatz von Laptops, die bereits bei der Aushändigung an die Mitarbeiter über die optimale IT-Security-Ausstattung verfügen. Das ideale Leistungsspektrum veranschaulicht das Security Laptop vs-top von genua: Es verfügt nicht nur über eine Firewall und ein VPN-Gateway, sondern auch über zwei getrennte Arbeitsumgebungen. Eine davon ist gängigen Windows- oder Linux-Programmen vorbehalten, hier können die Mitarbeiter Texte erstellen, E-Mails schreiben, im Internet surfen etc. Die zweite dient ausschließlich der Bearbeitung und verschlüsselten Übertragung sensibler Daten, sie wird von einem Separationssystem strikt von der ersten getrennt. Zusätzlich sind diese besonders geschützten Daten per Zwei-Faktor-Authentifizierung zuverlässig verschlüsselt, ein Zugriff ist nur mittels zugehöriger Smartcard und PIN möglich. Andere Personen im Home Office können auf das gesicherte Gerät also ebenso wenig zugreifen wie Dritte, falls das Laptop einmal unterwegs gestohlen oder verloren wird.

Viele Arbeitgeber ermöglichen ihren Mitarbeitern den Zugang zu ihren Arbeitsnetzwerken über Remote-Desktop-Protokolle (wie RDP, Citrix, VNC). Dies ist per se nicht verkehrt, aber bei einigen der beliebtesten RDP-Tools für Linux und Windows wurden 2019 Sicherheitsprobleme festgestellt. RDP-Zugänge sollten keinesfalls offen im Internet erreichbar sein.

Dies ist z. B. für Industrieunternehmen wichtig, die per Remote-Desktop-Infrastruktur Fernwartungen und weitere Zugriffe auf den Maschinenpark von außerhalb zulassen. In diesem Fall sollte man unkompliziert eine starke Verschlüsselung und Autorisierung hinzufügen, gerade wenn nicht die aktuellen Softwareversionen eingesetzt werden. Dazu hat genua mit genubox eine „Rendezvous-Lösung“ für Industrie und Anlagenbau entwickelt. Unser Ansatz ist hier, keine einseitigen Zugriffe vom Fernwartungs-Service in Kundennetze zuzulassen. Stattdessen laufen alle Wartungsverbindungen über einen Rendezvous Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall installiert ist, beim Dienstleister oder bei Kunden.

Die Kommunikation der Teams im Home-Office-Modus findet in erster Linie via E-Mail, Telefonat, Chat und Videokonferenzen statt. Im letzteren Fall sollten sich IT-Verantwortliche nicht nur auf die Frage konzentrieren, wie hohe Bandbreiten für einen gute Übertragungsqualität sichergestellt werden. Ebenso wichtig ist die Verschlüsselung von Videokonferenzen gegen den Zugriff ungeladener Gäste: Alle Daten sind im gespeicherten Zustand und während der Übertragung zu schützen, was auch unbedingt die Chat-Funktion der Videokonferenz umfassen muss.

Idealerweise führen die Mitarbeiter jede Videokonferenz über ein bereits hochgesichertes Laptop (siehe Punkt 2). Ist dies nicht der Fall, sollten nicht nur Administrator-Passwörter hochsicher eingerichtet werden, um einen Angriff wie im Falle des Mirai-Botnets zu verhindern, welches dank unveränderter Standard-Passwörter auf Webcams zugreifen konnte. Als IoT-Malware infiziert Mirai Devices wie Webcams, Router oder andere „smarte“ Systeme und zwingt sie zur Meldung an einen Befehls- und Steuerungsserver. Mit ebensolchen Attacken ist jetzt und in Zukunft verstärkt zu rechnen.