Langfristige Sicherheit für Unternehmen mit mobiler Belegschaft

Das Ende der Behelfslösungen zur Absicherung der Remote-Arbeit

Die Covid-19-Pandemie zwang Unternehmen, die Sicherheit ihrer Remote-Mitarbeiter zu erhöhen. So stieg beispielsweise die Akzeptanz der Zwei-Faktor-Authentifizierung und Fernzugriffslösungen wie VPNs.

Diese Verbesserungen erhöhen zwar das Sicherheitsniveau eines Unternehmens, aber sie allein ergeben noch keine Strategie für eine mobile Belegschaft. Angesichts des hohen Pandemiedrucks und der knappen Ressourcen fehlte IT- und Sicherheitsteams oft die Zeit oder das Budget für die Entwicklung langfristiger Strategien zur Anbindung von Remote-Mitarbeitern an selbstgehostete Anwendungen in hybriden Cloud-Umgebungen, SaaS-Anwendungen und im Internet. Also haben Unternehmen nur die Investitionen und Änderungen vorgenommen, die sie vornehmen konnten.

Leider führen Notlösungen oft zu Transparenz- und Sicherheitslücken. Diese Lücken machen die Computer von Remote-Mitarbeitern sowie Cloud-Lösungen zu einem verlockenden und anfälligen Ziel für Cyberangreifer.

Hier sind die fünf häufigsten Covid-19-Notlösungen und die damit verbundenen langfristigen Sicherheitsprobleme. Später zeigen wir, wie wir diese Lösungen hinter uns lassen und eine langfristig effektivere Sicherheitsstrategie für die Belegschaft einführen können.

Häufige Notlösungen für das mobile Arbeiten:

1. Mehr VPN-Nutzung

Als die Covid-19-Pandemie ausbrach, nutzten viele Unternehmen bereits virtuelle private Netzwerkverbindungen (VPN), um Remote-Mitarbeitern einen sicheren Zugriff auf das Unternehmensnetzwerk zu ermöglichen.

VPNs können eine effektive Fernzugriffslösung sein, aber sie sind für einen bestimmten Anwendungsfall konzipiert: periodische, kurzfristige Verbindungen durch wenige Systeme. Sie haben mehrere Einschränkungen, die sie für den Dauereinsatz durch eine völlig dezentrale Belegschaft ungeeignet machen, darunter:

VPNs sind bestenfalls eine Übergangslösung für die Unterstützung einer mobilen Belegschaft. Unternehmen, die in zusätzliche VPN-Appliance-Kapazitäten und Redundanzen für erweiterte Telearbeiten investieren, müssen die Einschränkungen und Sicherheitsprobleme mit weiteren Maßnahmen reduzieren.

2. Split-Tunnel-VPNs

Wie bereits erwähnt, kann ein plötzlicher Anstieg der VPN-Nutzung VPN-Server überlasten und zu Netzwerklatenz für Endnutzer führen. Als Lösung haben einige Unternehmen einen Split-Tunneling-Ansatz eingeführt. Dabei wird netzwerkgebundener Traffic sicher über das VPN geroutet und internetgebundener Traffic direkt ans Ziel gesendet.

Split-Tunnel-VPNs reduzieren zwar die Latenz, aber sie tun das auf Kosten der Sicherheit – insbesondere, weil das Unternehmen den Einblick in den Traffic von den Computern der Remote-Mitarbeiter verliert. Dies schafft das Potenzial, dass diese Geräte unerkannt von Malware infiziert oder sensible Daten auf Remote-Computern des Nutzers gestohlen werden.

Darüber hinaus bedeutet der ununterbrochene VPN-Traffic, dass Remote-Geräte nicht mehr durch perimeterbasierte Abwehrmechanismen geschützt sind. Dadurch erhöht sich das Risiko von Kompromittierung durch Phishing-Angriffe und die Ausbeutung von ungepatchter Software. Wenn ein Remote-Gerät kompromittiert wird und seine VPN-Verbindung aktiviert ist, kann ein Angreifer mithilfe des Pivotings Zugriff auf Systeme innerhalb des Unternehmensnetzwerks erhalten. Und wenn sich der Nutzer direkt bei einer SaaS-Anwendung anmeldet, kann das kompromittierte Remote-Gerät versuchen, die im Webbrowser gecachten Daten auszufiltern.

3. Trennung von Fernzugriff und Sicherheit

In der Vergangenheit befand sich die gesamte Infrastruktur eines Unternehmens vor Ort, daher wurde sie auch vor Ort gesichert. Die wachsende Nutzung von Cloud-Computing, SaaS-Anwendungen und Remote-Arbeit hat dieses Modell verändert.

Für besseren Remote-Zugriff und mehr Sicherheit haben einige Unternehmen Anwendungen und Daten in Cloud-Bereitstellungen verlagert. Allerdings laufen diese Aktionen oft nicht synchron ab. Zwei häufige Fehler sind:

Durch die Trennung von Fernzugriffs- und Sicherheitsfunktionen schadet ein Unternehmen entweder der Netzwerk-Performance oder der Sicherheit. Der Traffic über den Fernzugriffs-Client wird möglicherweise keiner Sicherheitsprüfung unterzogen, sodass Remote-Mitarbeiter keinen Schutz vor Phishing und böswilligen Websites erhalten. Eine Alternative ist, den Traffic an den Speicherort des Sicherheitsbündels des Unternehmens zurückzuschicken. So bekommt man zwar Sicherheit, aber auf Kosten von Mitarbeiterproduktivität und Anwendungs-Performance.

4. Updates von Remote-Endgeräten

Wenn Remote-Mitarbeiter von ihren eigenen Geräten aus arbeiten dürfen – eine gängige Praxis zu Beginn der Pandemie – entstehen mehrere potenzielle Datenschutz- und Sicherheitsprobleme. Auf Privatgeräten ist es schwieriger Unternehmens-Sicherheitsrichtlinien und Endgerätesicherheitslösungen durchzusetzen. Aus diesem Grund stellen viele Unternehmen Remote-Mitarbeitern Unternehmenscomputer zur Verfügung. Auf diesen Geräten ist bereits eine Sicherheitssoftware installiert und kann so konfiguriert werden, dass sie die Unternehmensrichtlinien einhält.

Remote-Mitarbeitern Laptops zu geben, löst jedoch nur einen Teil der Sicherheitsprobleme von Telearbeit. Das Unternehmen benötigt zusätzlich die Infrastruktur und Richtlinien, um Richtlinien und Software-Updates an diese Remote-Geräte zu verteilen. Unternehmen sind bei Software-Updates im Allgemeinen nur langsam, und die Vergangenheit zeigt, dass Remote-Geräte Patches später erhalten als Geräte, die sich vor Ort befinden. Ohne eine Infrastruktur zur Verteilung von Software-Updates an Remote-Mitarbeiter entstehen so potenzielle Angriffsvektoren.

5. Eigenständige Sicherheitslösungen

Der Wechsel zur Remote-Arbeit stellt Unternehmen vor neue Sicherheits- und Überwachungsprobleme. Als Reaktion darauf setzten Sicherheitsteams auf Sicherheitstools, die für spezifische Anwendungsfälle entwickelt wurden – oft stammen diese Tools von verschiedenen Branchenführern. Zum Beispiel Zero Trust Network Access (ZTNA) zur Absicherung des Fernzugriffs, CASB zur Absicherung des SaaS-Zugriffs und Cloud Secure Web Gateway (mit DNS- und Firewall-Funktionalität) zur Absicherung des Internetzugangs.

Das Ergebnis: Diese Sicherheitsteams müssen mit einer Reihe von Sicherheitstools arbeiten, die eigenständig und separat sind und sich gegenseitig überschneiden. Dies trägt nur zur Überlastung der meisten Sicherheitsteams bei und führt zu Sicherheits- und Transparenzlücken, dort, wo die Funktionen der verschiedenen Tools enden. Durch diese Transparenzlücken erschleichen sich Angreifer den Zugang zu Unternehmenssystemen.

Aufbau einer Infrastruktur für einen langfristig sicheren Remote-Betrieb.

Ist Ihr Unternehmen immer noch auf eine oder mehrere der oben beschriebenen Übergangslösungen angewiesen? Dann werden Sie Ihre Strategie langfristig nachhaltiger und effektiver machen, wenn Sie die daraus resultierenden Sicherheits- und Transparenzlücken schließen.

Berücksichtigen Sie für den Anfang diese fünf Empfehlungen:

Sicherheitsservice für Remote-Zugriff in die Cloud verlagern

Ein sicherer Dienst für Remote-Zugriff garantiert, dass der gesamte Unternehmens-Traffic während der Übertragung verschlüsselt wird. Er garantiert ebenso, dass der Traffic transparent bleibt und das Unternehmen eine Sicherheitsüberprüfung und Richtliniendurchsetzung durchführen kann. Werden Anwendungen aber in die Cloud verlagert, können lokale Fernzugriffslösungen wie Hardware-VPNs und Firewalls die Performance der Anwendungen beeinträchtigen.

Betreiben Sie Fernzugriffslösungen zusammen mit der Anwendung in der Cloud. Dann muss der Traffic nicht mehr zur Überprüfung in das Unternehmens-LAN zurückgeschleust werden. Dies erhöht die Performance und reduziert Latenz des Traffic von Remote-Nutzern. Außerdem erhalten Sie so größere Flexibilität und Skalierbarkeit als mit herkömmlichen, anwendungsbasierten Lösungen (da diese Lösung cloudbasiert ist).

Vergessen Sie VPNs

VPNs sind Fernzugriffstechnologien, die für ein veraltetes, perimeterbasiertes Sicherheitsmodell entwickelt wurden. Sie ermöglichen authentifizierten Nutzern den vollständigen Zugriff auf Unternehmensressourcen. Das verstößt gegen die Prinzipien der geringsten Privilegien und der Zero-Trust-Sicherheit. Unter einer Zero-Trust-Richtlinie wird Nutzern der Zugriff auf bestimmte Ressourcen nur fallweise (case-to-case) gewährt.

Es wurden einige Versuche unternommen, VPNs mit einer Verlagerung in die Cloud zu modernisieren. Das löst zwar das Problem der Zentralisierung der VPN-Infrastruktur im LAN des Unternehmens. Aber auch dieser Ansatz behebt nicht das größere Problem: VPNs wurden einfach nicht für das mobile moderne Unternehmen konzipiert. VPN muss durch Lösungen ersetzt werden, die von Grund aus Zero-Trust-Sicherheitsmodelle unterstützen.

Zero-Trust-Sicherheit für den Zugriff auf interne Anwendungen und SaaS-Anwendungen einführen

Die Cloud wird immer mehr zum Hosten interner Anwendungen genutzt, also hat sich auch die Angriffsfläche erweitert. Jede Anwendung, die Remote-Mitarbeitern – und dem Internet als Ganzes – zur Verfügung steht, ist ein weiterer potenzieller Angriffsvektor.

Minimieren lässt sich das Risiko mit einer Zero-Trust-Richtlinie für den Anwendungszugriff. Anstatt einem authentifizierten Nutzer vollständigen Zugriff auf die Umgebung und Anwendungen eines Unternehmens zu gewähren, sollte der Zugriff nur fallweise (case-by-case) gewährt werden, je nach den Richtlinien der Zugriffskontrolle.

Dafür müssen Zugriffskontrollen im gesamten Netzwerk eines Unternehmens durchgesetzt werden können. Dazu braucht es ein großes globales Netzwerk und die Fähigkeit, Zugriffskontrollen sowohl für selbstgehostete als auch für SaaS-Cloud-Anwendungen durchzusetzen.

Implementieren Sie Zero Trust Browsing sowohl für Anwendungen als auch für den Internetzugang

Die Geräte von Remote-Mitarbeitern sind wahrscheinlich weniger sicher als die Geräte vor Ort. Die Vergangenheit zeigt, dass Patches auf Remote-Geräten nur langsam ankommen. Remote-Mitarbeiter, die Privatgeräte verwenden, sind bei Verbindungen über das Unternehmens-VPN möglicherweise nur durch Sicherheitslösungen des Unternehmens geschützt. Infolgedessen sind Remote-Mitarbeiter einem höheren Risiko von Browser-Exploits und anderen Cyber-Bedrohungen ausgesetzt.

Zero Trust Browsing reduziert das Cyber-Risiko durch die Implementierung einer cloudbasierten Browser-Isolierung. Anstatt die in Webseiten eingebetteten Skripte auf dem Gerät des Nutzers laufen zu lassen, werden sie auf Einweg-Browser-Instanzen ausgeführt; diese werden nur einmal verwendet.

Die cloudbasierte Lösung durchsucht Websites für den Nutzer und liefert ihm eine Kopie der Seite. Diese Kopie sollte so aufgebaut sein, dass sie sowohl hohe Performance als auch Sicherheit bietet (d. h. keine Latenz, keine kaputten Websites oder potenzieller Schadcode). Mit Zero-Trust-Browsing bekommen Unternehmen die nötige Transparenz und Kontrolle, mit denen sie Versuche von Datenschutzverletzungen und andere Cyberangriffe erkennen und blockieren können.

Sicherheit für Remote-Mitarbeiter mit Zero Trust

Da die Komplexität von Netzwerken und die Angriffsfläche von Unternehmen zunimmt, benötigen Sicherheitsteams Lösungen, mit denen sie ihre Unternehmen schützen. Stoppen Sie Datenverluste, Malware und Phishing mit der leistungsstärksten Zero-Trust-Lösung für Anwendungszugriff und Internet-Browsing – Cloudflare for Teams, eine langfristige Sicherheitslösung für Remote-Mitarbeiter, die Folgendes umfasst:

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas

Erfahren Sie mehr über die langfristige Absicherung von Remote-Mitarbeitern mit dem E-Book „Sieben Tipps für das mobile Arbeiten“.

eBook herunterladen