Homeoffice: Wie sichern Sie den Fernzugriff ins Unternehmensnetzwerk richtig ab?

Mit zunehmender Digitalisierung und der ausserordentlichen Zeit infolge der anhaltenden Corona-Pandemie steigt das Bedürfnis, von zu Hause aus zu arbeiten. Doch mit der Bereitstellung eines Fernzugriffs gehen auch Gefahren einher. Dieser Blog-Artikel greift relevante Gefahren auf, die mit der Bereitstellung und der Nutzung von Fernzugängen entstehen und empfiehlt fünf Massnahmen, mit denen ein Unternehmen den Fernzugang sicher implementieren kann.

Gefahren bei der Bereitstellung von Fernzugängen fürs Homeoffice

Ausgehend von verschiedenen Szenarien können Vorfälle, welche den Ursprung bei der Fernzugangs-Infrastruktur haben, entstehen. Wir haben fünf mögliche Szenarien (nicht abschliessend) für Sie zusammengefasst:

1. Unkontrollierter Einsatz von Anwendungen

Ein unkontrollierter Einsatz von Anwendungen auf Geschäftscomputern ermöglicht die Umgehung der bereitgestellten, offiziellen Firmen-Fernzugangsinfrastruktur und ist damit ein gern genutztes Eingangstor für Eindringlinge.

2. Benutzernamen und Passwörter

Cyberkriminelle verwenden erratene oder gestohlene Benutzernamen und Passwörter, um einen Zugang ins Unternehmensnetzwerk zu erlangen.

3. Schwache IT-Architektur

Wegen einer schwach gewählten Architektur der Fernzugangsinfrastruktur können Cyberkriminelle mit dem Ausnutzen einer einzigen Software-Schwachstelle einen Zugang ins Unternehmensnetzwerk erhalten. Denkbar wäre auch ein Denial-of-Service-Angriff auf die Fernzugangsinfrastruktur, welcher den Betrieb von internen Ressourcen beeinträchtigen könnte.

4. Uneingeschränkte VPN-Verbindung

Eine uneingeschränkte VPN-Verbindung von Geräten ins Unternehmensnetzwerk begünstigt eine Infektion und Ausbreitung von Computerviren/Würmern im Unternehmensnetzwerk.

5. Einsatz von unsicheren Geräten

Ausgehend von der Nutzung des Fernzugangs mit potentiell unsicheren Geräten, die nicht von der Firma verwaltet werden, können Gefahren entstehen. Beispielsweise der Diebstahl von Benutzernamen und Passwörtern mittels Keylogger oder Verbreitung von Computerviren/Würmern.

Auf Geräten, welche von der Firma verwaltet sind, wird idealerweise ein Minimalstandard hinsichtlich der IT-Sicherheit angewandt. Gewöhnlich sind solche Geräte auch in einen Vulnerability- und Patchmanagement-Prozess eingebunden, erhalten über Richtlinien eine sichere Firmenkonfiguration und sind darüber hinaus mittels eines zentral verwalteten Antiviren-Programms geschützt.

Mit diesen 5 Massnahmen optimieren Sie den sicheren Fernzugriff

Eine sichere Fernzugangsinfrastruktur sollte sowohl auf organisatorischer als auch auf technischer Ebene Massnahmen enthalten, um den aufgeführten Gefährdungen angemessen zu begegnen. Dabei sollte insbesondere auf folgende Punkte bei der Fernzugangsinfrastruktur geachtet werden:

1 Aufbau einer einzigen Fernzugangsinfrastruktur

Das Unternehmen sollte nicht mehrere, sondern eine einzige Fernzugangsinfrastruktur aufbauen. Somit kann einerseits sichergestellt werden, dass die sicherheitsrelevanten Funktionen flächendeckend und effektiv sind, andererseits können keine unkontrollierten Zugänge ohne etablierte Sicherheitsfunktionen das Unternehmensnetzwerk bedrohen. In diesem Zusammenhang sind insbesondere Internet-Kategorien von Fernwartungsanbietern zu blockieren oder auch die Ausführung von portablen Programmen auf den Geschäftscomputern einzuschränken.

2. Kommunikation ist in Sachen Sicherheit das A und O

In einer Weisung zum Umgang mit den Informatikmitteln müssen Benutzer über die sichere Nutzung der Fernzugangsinfrastruktur orientiert werden. Lesen Sie hier die Empfehlungen für die Kommunikation gegenüber Mitarbeitenden im Home Office.

3. Mehrere Authentifizierungsstufen einbauen

Der Zugang in das Unternehmensnetzwerk sollte mit einer Mehr-Faktor-Authentisierung abgesichert werden. Konkret werden neben dem Geheimnis, also Benutzername und dem Passwort, noch weitere Merkmale (der Besitz eines Geräts/Smartphones oder ein biometrisches Merkmal) abgefragt. Dies kann beispielsweise ein sogenanntes One-Time-Password (OTP) sein. Es wird somit sichergestellt, dass sich ausschliesslich bekannte Benutzer, deren Identität zweifelsfrei festgestellt werden kann, über den Fernzugang erfolgreich ins Unternehmensnetzwerk verbinden können.

4. Mehrstufiges Firewall-Konzept zum Internet

Es muss sichergestellt sein, dass das Fernzugangsportal oder der VPN-Dienst, welcher übers Internet erreichbar ist, innerhalb eines Perimeter Netzwerks (DMZ) terminiert wird. Erst nachdem eine erfolgreiche Authentisierung erfolgt ist, dürfen Zugriffsrechte auch auf Netzwerkebene erteilt werden, um auf interne Unternehmensressourcen zuzugreifen. Auch wenn ein Cyberkrimineller mit dem Ausnützen einer Softwarelücke die Kontrolle über das Fernzugangssystem erhalten sollte, dürfen interne Netzwerkressourcen weder zugänglich sein noch beeinträchtigt werden können.

5. Zugriff über virtuelle Clients bei Nutzung unbekannter Geräte

Insbesondere bei der Nutzung der Fernzugriffsinfrastruktur, ausgehend von potentiell unsicheren Geräten wie bspw. privaten Computern, sollte auf die Nutzung von transparenten VPN Tunnels verzichtet werden. Hingegen sollte nach dem erfolgreichen Anmelden am Fernzugangsportal, der Zugang beispielsweise über HTML5 oder über RDP auf einen virtuellen Client erfolgen, um schliesslich auf interne Ressourcen zuzugreifen.

Sichern Sie Ihre Fernzugriff-Infrastruktur

Da ein Fernzugang weltweit in Richtung Internet exponiert ist, muss er verbreiteten Angriffen standhalten. Bei steigender Anzahl der Nutzer ist auch die Exposition höher. Einem Cyberkriminellen reicht nämlich eine einzige gültige Identität, um das Unternehmensnetzwerk zu infiltrieren. Die sorgfältige Planung, Inbetriebnahme und eine sporadische Kontrolle von Massnahmen beim implementierten Fernzugang sind daher wichtige Aspekte.

Sollten Sie zu den publizierten Empfehlungen Fragen haben, kontaktieren Sie uns gerne.

Portrait Philipp Zihler

Autor dieses Beitrags: Philipp Zihler

- Security Consultant und Partner bei B-SECURE GmbH - Seit 1997 in der IT tätig - Seit 2007, nach dem Abschluss des Informatik Studiums an der Hochschule Luzern im Bereich der Informationssicherheit tätig. Ausbildungen: - Dipl. Inf. Ing. FH Informatik, HSLU - CAS Information Security, HSLU