theNet von CLOUDFLARE

Langfristige Sicherheit für Unternehmen mit mobiler Belegschaft

Das Ende der Behelfslösungen zur Absicherung der Remote-Arbeit

Die Covid-19-Pandemie hat Unternehmen dazu gezwungen, die Sicherheit ihrer über unterschiedliche Standorte verteilten Mitarbeitenden zu verstärken. Beispiele für zusätzliche Sicherheitsvorkehrungen sind etwa Fernzugriffslösungen wie VPN und die Zwei-Faktor-Authentifizierung.

Diese Verbesserungen erhöhen zwar das Sicherheitsniveau eines Unternehmens, aber sie allein ergeben noch keine Strategie für eine mobile Belegschaft. Angesichts des hohen Pandemiedrucks und der knappen Ressourcen fehlte IT- und Sicherheitsteams oft die Zeit oder das Budget für die Entwicklung langfristiger Strategien zur Anbindung von Remote-Mitarbeitern an selbstgehostete Anwendungen in hybriden Cloud-Umgebungen, SaaS-Anwendungen und im Internet. Also haben Unternehmen nur die Investitionen und Änderungen vorgenommen, die sie vornehmen konnten.

Leider führen Notlösungen oft zu Transparenz- und Sicherheitslücken. Diese Lücken machen die Computer von Remote-Mitarbeitern sowie Cloud-Lösungen zu einem verlockenden und anfälligen Ziel für Cyberangreifer.

Hier sind die fünf häufigsten Covid-19-Notlösungen und die damit verbundenen langfristigen Sicherheitsprobleme. Später gehen wir darauf, wie wir diese Lösungen hinter uns lassen können und wie sich eine langfristig effektivere Sicherheitsstrategie für die Belegschaft einführen lässt.


Häufige Notlösungen für das mobile Arbeiten:

1. Mehr VPN-Nutzung

Zu Beginn der Pandemie nutzten viele Unternehmen bereits Virtual Private Networks (VPNs), um Mitarbeitenden im Homeoffice einen sicheren Zugriff auf das Unternehmensnetzwerk zu ermöglichen.

VPNs können eine effektive Fernzugriffslösung sein, aber sie sind für einen bestimmten Anwendungsfall konzipiert: periodische, kurzfristige Verbindungen durch wenige Systeme. Sie haben mehrere Einschränkungen, die sie für den Dauereinsatz durch eine völlig dezentrale Belegschaft ungeeignet machen, darunter:

  • Schlechte Performance: Die VPN-Infrastruktur ist in der Regel für einen Bruchteil der Mitarbeiter eines Unternehmens ausgelegt, und ihre Betriebskosten wachsen linear mit der Anzahl der VPN-Nutzer. Also können Zugriffsanforderungen von Remote-Mitarbeitern die VPN- und Sicherheitsinfrastruktur eines Unternehmens überwältigen. Das führt zu Performance-Einbußen oder Abstürzen.

  • Sitzungs-Timeouts: VPN-Sitzungs-Timeouts sind ein notwendiges Sicherheitsmerkmal. Sie sind jedoch unpraktisch für Remote-Mitarbeiter, die das VPN als primäre Quelle für den Zugang zum Unternehmensnetzwerk nutzen.

  • Zugriffskontrollen: VPNs haben keine integrierten Zugriffskontrollen, sodass Nutzer unabhängig von ihrer Rolle vollen Zugriff auf das Unternehmensnetzwerk erhalten. Firewalls können helfen – aber viele verwenden IP-basierte Regeln. Diese Regeln funktionieren nicht so gut bei einem hohen Maß an Gerätemobilität oder bei Cloud-Apps, die ständig die IPs ändern. Firewalls der nächsten Generation könnten nutzerbasierte Zugriffskontrollen erlauben, aber in der Regel können sie nicht flexibel mit vielen verschiedenen Identitätsanbietern gleichzeitig arbeiten – und die Integration mit cloudbasierten Identitätsanbietern kann schwierig sein.

  • Fehlende Identitätskontrollen: VPNs sind ausschließlich dazu gedacht, eine verschlüsselte Verbindung zwischen zwei Punkten herzustellen. Wenn Sie garantieren wollen, dass die VPN-Verbindung von einem zugelassenen Gerät aus erfolgt, brauchen Sie zusätzliche Lösungen wie eine Public-Key-Infrastruktur.

  • Mangelnde Transparenz: Die VPNs vieler Unternehmen werden nicht an einem Ebene-7-Proxy beendet. Das bedeutet, dass den Unternehmen der Einblick in spezifische Nutzerinteraktionen innerhalb dieser Verbindungen fehlt – eine erhebliche Lücke.

VPNs sind bestenfalls eine Übergangslösung für die Unterstützung einer mobilen Belegschaft. Unternehmen, die in zusätzliche VPN-Appliance-Kapazitäten und Redundanzen für erweiterte Telearbeiten investieren, müssen die Einschränkungen und Sicherheitsprobleme mit weiteren Maßnahmen reduzieren.

2. Split-Tunnel-VPNs

Wie bereits erwähnt, kann ein plötzlicher Anstieg der VPN-Nutzung VPN-Server überlasten und zu Netzwerklatenz für Endnutzer führen. Als Lösung haben einige Unternehmen einen Split-Tunneling-Ansatz eingeführt. Dabei wird netzwerkgebundener Traffic sicher über das VPN geroutet und internetgebundener Traffic direkt ans Ziel gesendet.

Split-Tunnel-VPNs reduzieren zwar die Latenz, aber sie tun das auf Kosten der Sicherheit – insbesondere, weil das Unternehmen den Einblick in den Traffic von den Computern der Remote-Mitarbeiter verliert. Dies schafft das Potenzial, dass diese Geräte unerkannt von Malware infiziert oder sensible Daten auf Remote-Computern des Nutzers gestohlen werden.

Darüber hinaus bedeutet der ununterbrochene VPN-Traffic, dass Remote-Geräte nicht mehr durch perimeterbasierte Abwehrmechanismen geschützt sind. Dadurch erhöht sich das Risiko von Kompromittierung durch Phishing-Angriffe und die Ausbeutung von ungepatchter Software. Wenn ein Remote-Gerät kompromittiert wird und seine VPN-Verbindung aktiviert ist, kann ein Angreifer mithilfe des Pivotings Zugriff auf Systeme innerhalb des Unternehmensnetzwerks erhalten. Und wenn sich der Nutzer direkt bei einer SaaS-Anwendung anmeldet, kann das kompromittierte Remote-Gerät versuchen, die im Webbrowser gecachten Daten auszuschleusen.

3. Trennung von Fernzugriff und Sicherheit

In der Vergangenheit befand sich die gesamte Infrastruktur eines Unternehmens vor Ort, daher wurde sie auch vor Ort gesichert. Die wachsende Nutzung von Cloud-Computing, SaaS-Anwendungen und Remote-Arbeit hat dieses Modell verändert.

Für besseren Remote-Zugriff und mehr Sicherheit haben einige Unternehmen Anwendungen und Daten in Cloud-Bereitstellungen verlagert. Allerdings laufen diese Aktionen oft nicht synchron ab. Zwei häufige Fehler sind:

  • Verschieben sicherer Web-Gateway-Proxy-Kontrollen in die Cloud – manchmal liegt der Fokus nur auf sanktionierten Anwendungen über eine Cloud Application Security Broker (CASB)-Lösung – aber der Remotezugriff via VPNs bleibt erhalten

  • Verlagerung des Fernzugriffs in die Cloud (mit oder ohne VPN-ähnlichen Client) ohne die gleichzeitige Verlagerung des sicheren Web-Gateways – oder der vollständigen Firewall – in die Cloud

Durch die Trennung von Fernzugriffs- und Sicherheitsfunktionen schadet ein Unternehmen entweder der Netzwerk-Performance oder der Sicherheit. Der Traffic über den Fernzugriffs-Client wird möglicherweise keiner Sicherheitsprüfung unterzogen, sodass Remote-Mitarbeiter keinen Schutz vor Phishing und böswilligen Websites erhalten. Eine Alternative ist, den Traffic an den Speicherort des Sicherheitsbündels des Unternehmens zurückzuschicken. So bekommt man zwar Sicherheit, aber auf Kosten von Mitarbeiterproduktivität und Anwendungs-Performance.

4. Updates von Remote-Endgeräten

Wenn Remote-Mitarbeiter von ihren eigenen Geräten aus arbeiten dürfen – eine gängige Praxis zu Beginn der Pandemie – entstehen mehrere potenzielle Datenschutz- und Sicherheitsprobleme. Auf Privatgeräten ist es schwieriger Unternehmens-Sicherheitsrichtlinien und Endgerätesicherheitslösungen durchzusetzen. Aus diesem Grund stellen viele Unternehmen Remote-Mitarbeitern Unternehmenscomputer zur Verfügung. Auf diesen Geräten ist bereits eine Sicherheitssoftware installiert und kann so konfiguriert werden, dass sie die Unternehmensrichtlinien einhält.

Remote-Mitarbeitern Laptops zu geben, löst jedoch nur einen Teil der Sicherheitsprobleme von Telearbeit. Das Unternehmen benötigt zusätzlich die Infrastruktur und Richtlinien, um Richtlinien und Software-Updates an diese Remote-Geräte zu verteilen. Unternehmen sind bei Software-Updates im Allgemeinen nur langsam, und die Vergangenheit zeigt, dass Remote-Geräte Patches später erhalten als Geräte, die sich vor Ort befinden. Ohne eine Infrastruktur zur Verteilung von Software-Updates an Remote-Mitarbeiter entstehen so potenzielle Angriffsvektoren.

5. Eigenständige Sicherheitslösungen

Der Wechsel zur Remote-Arbeit stellt Unternehmen vor neue Sicherheits- und Überwachungsprobleme. Als Reaktion darauf setzten Sicherheitsteams auf Sicherheitstools, die für spezifische Anwendungsfälle entwickelt wurden. Oft stammen diese Werkzeuge von verschiedenen Branchenführern. Beispiele sind Zero Trust Network Access (ZTNA) zur Absicherung des Remote-Zugriffs, CASB zur Absicherung des SaaS-Zugriffs und Cloud Secure Web Gateway (mit DNS- und Firewall-Funktionalität) zur Absicherung des Internetzugangs.

Das Ergebnis: Diese Sicherheitsteams müssen mit einer Reihe von Sicherheitstools arbeiten, die eigenständig und separat sind und sich gegenseitig überschneiden. Dies trägt nur zur Überlastung der meisten Sicherheitsteams bei und führt zu Sicherheits- und Transparenzlücken, dort, wo die Funktionen der verschiedenen Tools enden. Durch diese Transparenzlücken erschleichen sich Angreifer den Zugang zu Unternehmenssystemen.


Aufbau einer Infrastruktur für einen langfristig sicheren Remote-Betrieb.

Ist Ihr Unternehmen immer noch auf eine oder mehrere der oben beschriebenen Übergangslösungen angewiesen? Dann werden Sie Ihre Strategie langfristig nachhaltiger und effektiver machen, wenn Sie die daraus resultierenden Sicherheits- und Transparenzlücken schließen.

Berücksichtigen Sie für den Anfang diese fünf Empfehlungen:

Sicherheitsservice für Remote-Zugriff in die Cloud verlagern

Ein sicherer Dienst für Remote-Zugriff garantiert, dass der gesamte Unternehmens-Traffic während der Übertragung verschlüsselt wird. Er garantiert ebenso, dass der Traffic transparent bleibt und das Unternehmen eine Sicherheitsüberprüfung und Richtliniendurchsetzung durchführen kann. Werden Anwendungen aber in die Cloud verlagert, können lokale Fernzugriffslösungen wie Hardware-VPNs und Firewalls die Performance der Anwendungen beeinträchtigen.

Betreiben Sie Fernzugriffslösungen zusammen mit der Anwendung in der Cloud. Dann muss der Traffic nicht mehr zur Überprüfung in das Unternehmens-LAN zurückgeschleust werden. Dies erhöht die Performance und reduziert die Latenz des Traffics von Remote-Nutzern. Außerdem erhalten Sie so größere Flexibilität und Skalierbarkeit als mit herkömmlichen, anwendungsbasierten Lösungen (da diese Lösung cloudbasiert ist).

Vergessen Sie VPNs

VPNs sind Fernzugriffstechnologien, die für ein veraltetes, perimeterbasiertes Sicherheitsmodell entwickelt wurden. Sie ermöglichen authentifizierten Nutzern den vollständigen Zugriff auf Unternehmensressourcen. Das verstößt gegen die Prinzipien der geringsten Privilegien und der Zero-Trust-Sicherheit. Unter einer Zero-Trust-Richtlinie wird Nutzern der Zugriff auf bestimmte Ressourcen nur fallweise (case-by-case) gewährt.

Es wurden einige Versuche unternommen, VPNs mit einer Verlagerung in die Cloud zu modernisieren. Das löst zwar das Problem der Zentralisierung der VPN-Infrastruktur im LAN des Unternehmens. Aber auch dieser Ansatz behebt nicht das größere Problem: VPNs wurden einfach nicht für das mobile moderne Unternehmen konzipiert. VPN muss durch Lösungen ersetzt werden, die von Grund aus Zero-Trust-Sicherheitsmodelle unterstützen.

Zero-Trust-Sicherheit für den Zugriff auf interne Anwendungen und SaaS-Anwendungen einführen

Die Cloud wird zunehmend zum Hosten interner Anwendungen genutzt, weshalb sich auch die Angriffsfläche vergrößert hat. Jede Anwendung, die Remote-Mitarbeitenden zur Verfügung steht und dem Internet als Ganzem ausgesetzt ist, stellt potenziell einen weiteren Angriffsvektor dar.

Minimieren lässt sich das Risiko mit einer Zero-Trust-Richtlinie für den Anwendungszugriff. Anstatt einem authentifizierten Nutzer vollständigen Zugriff auf die Umgebung und Anwendungen eines Unternehmens zu gewähren, sollte der Zugriff nur fallweise (case-by-case) gewährt werden, je nach den Richtlinien der Zugriffskontrolle.

Dafür müssen Zugriffskontrollen im gesamten Netzwerk eines Unternehmens durchgesetzt werden können. Dazu braucht es ein großes globales Netzwerk und die Fähigkeit, Zugriffskontrollen sowohl für selbstgehostete als auch für SaaS-Cloud-Anwendungen durchzusetzen.

Implementieren Sie Zero Trust-Browsing sowohl für Anwendungen als auch für den Internetzugang

Die Geräte von Remote-Mitarbeitern sind wahrscheinlich weniger sicher als die Geräte vor Ort. Die Vergangenheit zeigt, dass Patches auf Remote-Geräten nur langsam ankommen. Remote-Mitarbeiter, die Privatgeräte verwenden, sind bei Verbindungen über das Unternehmens-VPN möglicherweise nur durch Sicherheitslösungen des Unternehmens geschützt. Infolgedessen sind Remote-Mitarbeiter einem höheren Risiko von Browser-Exploits und anderen Cyber-Bedrohungen ausgesetzt.

Zero Trust-Browsing reduziert das Cyber-Risiko durch die Implementierung einer cloudbasierten Browser-Isolierung. Anstatt die in Webseiten eingebetteten Skripte auf dem Gerät des Nutzers laufen zu lassen, werden sie auf Einweg-Browser-Instanzen ausgeführt; diese werden nur einmal verwendet.

Die cloudbasierte Lösung durchsucht Websites für den Nutzer und liefert ihm eine Kopie der Seite. Diese Kopie sollte so aufgebaut sein, dass sie sowohl hohe Performance als auch Sicherheit bietet (d. h. keine Latenz, keine kaputten Websites oder potenzieller Schadcode). Mit Zero-Trust-Browsing bekommen Unternehmen die nötige Transparenz und Kontrolle, mit denen sie Versuche von Datenschutzverletzungen und andere Cyberangriffe erkennen und blockieren können.

Sicherheit für Remote-Mitarbeiter mit Zero Trust

Da die Komplexität von Netzwerken und die Angriffsfläche von Unternehmen zunimmt, benötigen Sicherheitsteams Lösungen, mit denen sie ihre Unternehmen schützen. Stoppen Sie Datenverluste, Malware und Phishing mit der leistungsstärksten Zero-Trust-Lösung für Anwendungszugriff und Internet-Browsing Cloudflare Zero Trust, eine langfristige Sicherheitslösung für Remote-Mitarbeiter, die Folgendes umfasst:

  • Anwendungszugriff mit Zero Trust: Cloudflare Access bietet Zero-Trust-Anwendungszugriff für SaaS- und selbstgehostete Anwendungen. Es routet sämtlichen eingehenden Traffic über das globale Edge-Netzwerk von Cloudflare zur Sicherheitsprüfung und Richtliniendurchsetzung.

  • Sicheres Web-Browsing: Cloudflare Gateway und Cloudflare Browser Isolation bieten sicheres Browsing für Teams. Sie erkennen Phishing, Malware und andere browserbasierte Angriffe und blockieren sie – und sie setzen Zero-Trust-Regeln für alle Browsing-Aktivitäten durch.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Die fünf häufigsten während der weltweiten Pandemie umgesetzten kurzfristigen Lösungen

  • Die durch diese Behelfslösungen verursachten langfristigen Probleme

  • Fünf Empfehlungen für den Aufbau einer sicheren Infrastruktur für Remote-Arbeit


Verwandte Ressourcen


Vertiefung des Themas:

Erfahren Sie mehr über die langfristige Absicherung von Remote-Mitarbeitern mit dem E-Book .

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!