IT-Security: Vertrauen ist gut, Kontrolle ist besser
Wenn es um IT-Sicherheit und Datenschutz am Arbeitsplatz im Büro geht, ist Zero-Trust aktuell das beste Konzept zur Absicherung von Unternehmensressourcen. Doch wie sieht es im Everywhere Workplace aus, also wenn Mitarbeiter von zuhause aus auf diese Ressourcen zugreifen? Auch hier schützt „null Vertrauen“. Allerdings stellen die technischen Gegebenheiten vor Ort IT-Security-Spezialisten vor neue Herausforderungen.
Sobald es um die berufliche Nutzung privater IT-Ressourcen geht, wird es komplex. Anders als bei unseren vertrauten Firmennetzen wissen wir leider nur wenig über den Aufbau und das IT-Schutzlevel dieser Ressourcen unserer Mitarbeiter. Gehen wir also sicherheitshalber davon aus, dass private und berufliche Geräte, die mit dem Heimnetzwerk verbunden sind und auf das Internet zugreifen, ein unkalkulierbares Risiko darstellen. Denn das Heimnetzwerk ist tendenziell schlecht gesichert – genau wie private Geräte. Kriminelle wissen das und greifen seit Monaten verstärkt Mitarbeiter im Home Office an. Ein Blick auf Firewall-Protokolle zeigt beispielsweise, dass an WAN-Schnittstellen blockierte IP-Adressen aus als riskant eingestuften Ländern auftauchen. Hinzu kommt, dass Bedrohungsakteure mit „Shodan“ IP- und Port-Scans nach anfälligen Geräten durchführen können, um diese auszunutzen.
Datensammler im Zuhause
Smart-TV, intelligente Beleuchtung, Saugroboter: Viele der 43 Millionen Wohnungen in Deutschland sind heute mit Endgeräten ausgestattet, die persönliche Daten per IP übertragen und für einen unbestimmten Zeitraum speichern. Und nur die wenigsten von ihnen besitzen wirksame Schutzlevel gegen Angriffe. Die Wahrscheinlichkeit, dass Ihre Anmeldedaten abgefangen werden oder ein Familienmitglied unwissentlich bösartige Anwendungen auf diesen Endgeräten installiert, ist hoch. Wenn Sie dann für die IT-Security riskante Endgeräte wie etwa intelligente Fernseher und smarte Assistenten verwenden, haben Angreifer bereits die wichtigste Hürde genommen. Um ihnen einen Riegel vorzuschieben, benötigen wir Cyber-Tools wie ein Intrusion Detection and Prevention System (IDS/IPS). Aus IT-Security-Perspektive gefährliche Netzwerkdaten lassen sich so auf LAN-Schnittstellen entdecken und blockieren.
Shopping als Risiko für IT-Security
IoT-Geräte im Haus erzeugen eine Menge ausgehenden Netzwerkverkehr. Gleiches gilt auch für das Surfen in sozialen Medien oder den Zugriff auf Shopping-Websites. Dies sind die häufigsten Szenarien für den Verlust von persönlichen und beruflichen Daten. Angreifer nutzen Phishing- und Pharming-Angriffe, bösartige Werbung und Drive-by-Malware-Downloads als Angriffsvektoren, um vertrauliche Daten abzugreifen, die etwa bei Social Media oder Online-Shopping entstehen. Schlimm genug im Privatleben – fatal wird es aber, wenn Sie zuhause auch Ihre Arbeitsgeräte nutzen. Ohne Tools zur Erkennung und Abwehr von Netzwerkangriffen lassen sich solche Bedrohungen gar nicht erst entdecken. Ein drahtloser Heimrouter mit einer rudimentären Firewall und Network Address Translation (NAT) als Barriere reicht heute jedenfalls nicht mehr aus, um Angreifer fernzuhalten.
Allein IT-Security zählt
Unternehmen können Zero-Trust-Sicherheitsrichtlinien durchsetzen, indem sie die Kontrollen für Endgeräte vollständig verwalten und aktivieren, während diese physisch mit dem Unternehmensnetzwerk verbunden sind, auch über VPN. Eine gute Sache für Arbeitsgeräte. Aber die Sicherheit privater Geräte, die ebenfalls mit demselben Heimnetzwerk verbunden sind, ist nicht gegeben. Für die IT-Security erfordert das zusätzliche Tools und Best Practices, um Bedrohungen zu entschärfen.
Rente für die Firewall
Los geht’s bei den Firewalls – denn auch sie haben irgendwann ihren Dienst getan: Eine Firewall sollte beispielsweise dann in den Ruhestand gehen, wenn die Fast-Ethernet (FE)-Switch-Port-Verbindungen mit zunehmender Internetgeschwindigkeit zu einem Bandbreiten- und Geschwindigkeitsengpass führen.
Eigene Firewall, eigene Standards für IT-Security
Eine kostengünstige Lösung für mehr Sicherheit ist es, einen 4-Port Gigabit Ethernet (GE) LAN Mini-PC zu kaufen und pfSense firewall oder OPNsense firewall zu installieren. Und spätestens an dieser Stelle wird es schwierig, IT-Sicherheit in einem privaten Haushalt umzusetzen. Denn wir können nicht davon ausgehen, dass das nötige Know-how dazu bei Mitarbeitern im Everywhere Workplace vorhanden ist. Wie komplex die Aufgabe selbst für einen Security-Spezialisten ist, zeigt ein „Selbstversuch“ eines Ivanti Kollegen: Neben der WAN-Schnittstelle musste er drei separate Subnetze einrichten, da er ebenso viele physisch getrennte LAN-Schnittstellen auf der Firewall hatte.
Netzwerke segmentieren
Für ein Plus an IT-Security hatte der Kollege die Netzwerke so segmentiert, dass der Netzwerkverkehr zwischen LAN-Schnittstellen nicht erlaubt ist. Von jedem LAN-Segment war nur der Upstream-Verkehr zugelassen, der über die WAN-Schnittstelle ins Internet führte. Der Downstream-Internet-Rückverkehr war von der WAN-Schnittstelle nur zum jeweiligen Quell-LAN-Segment erlaubt. Jeder andere externe Eingangsverkehr wurde blockiert. Die LAN-Schnittstelle wurde direkt mit dem WiFi 6-Zugangspunkt verbunden, an den sich persönliche drahtlose Mobil- und IoT-Geräte sowie Laptops anschließen ließen. Zudem hatte der Mitarbeiter WPA3-Personal WiFi Security auf dem Access Point und allen anderen drahtlos verbundenen Geräten aktiviert, die dieses neuere Protokoll unterstützen. Die OPT1-Schnittstelle bot eine Uplink-Verbindung zu einem verwalteten Switch. Daran konnte er den Arbeitslaptop und einen zweiten drahtlosen Zugangspunkt anschießen, um das mobile Arbeitsgerät zu verbinden. Die OPT2-Schnittstelle ermöglichte eine Uplink-Verbindung zu einem unverwalteten 5-Port-Switch. An diesen ließ sich beispielsweise ein Smart-TV anschließen.
Das Beispiel zeigt, dass eine solche Absicherung eines privaten Haushalts Expertise erfordert, die nur wenige Mitarbeiter mitbringen. In Ausnahmefällen, also beispielsweise, wenn Mitglieder der Geschäftsleitung mit besonders sensiblen Daten von zuhause aus arbeiten, mag es gerechtfertigt sein, den Everywhere Workplace auf diese Weise zu schützen.
Sichere Verbindung schaffen
Doch wie lässt sich die Kommunikation IT-Security-konform mit bestehenden Lösungen sicher gestalten? Hierfür gibt es durchaus Wege. Auf dem Arbeitslaptop etwa können wir den Ivanti Connect Secure Client installieren, der Always-On-VPN unterstützt. Für das mobile Arbeitsgerät (Smartphone, Tablet) bietet sich App-basiertes VPN über den Ivanti Tunnel an. Auf diese Weise können beide Endgeräte sicher mit Unternehmensressourcen verbunden werden, die sich vor Ort, im Rechenzentrum oder in der Cloud befinden. Mit den UEM-Lösungen von Ivanti können wir zudem die Antiviren-Software auf dem Arbeitslaptop installieren und Ivanti Mobile Threat Defense (MTD) auf dem mobilen Gerät einrichten und aktivieren. MTD schützt berufliche und persönliche Daten vor Phishing-, Geräte-, Netzwerk- und App-Bedrohungen. Nicht zuletzt lassen sich mit Ivanti Neurons for Zero Trust Access konsistente Sicherheitsrichtlinien für alle Benutzer, Geräte und Anwendungszugriffe durchsetzen.
Identitätscheck
IT-Security hat viele Facetten. Sie beinhaltet beispielsweise auch, den Zugriff auf die Geräte zu kontrollieren. Ivanti Zero Sign-On (ZSO) etwa bietet eine Multi-Faktor-Authentifizierung (MFA), indem es starke Biometrie wie Apples Face ID als zusätzlichen Faktor einsetzt, um Zugriff auf Arbeits-E-Mails oder Messenger sowie auf andere Unternehmensressourcen zu gewähren. Auf Windows-Geräten bietet sich Windows Hello für die Anmeldung an. Zudem besteht die Möglichkeit, einen YubiKey-Sicherheitsschlüssel für den Zugriff auf Google- und Social-Media-Konten zu aktivieren.
Zero Trust für optimalen Schutz
Je mehr Hindernisse Sie Bedrohungsakteuren in den Weg legen, desto mehr IT-Security entsteht am Everywhere Workplace. Ein Zero-Trust-Konzept ist ein sehr guter Weg, um das zu erreichen. Ein Tipp ist es, eine bewährte Firewall mit IDS/IPS, Audit-Protokollierung und Netzwerksegmentierung einzusetzen, um Angreifer davon abzuhalten, Ihr Heimnetzwerk anzugreifen. Darüber hinaus kann UEM ein Always-On- und/oder Per-App-VPN verwalten und bereitstellen, Identitätszertifikate bieten, MFA und WPA3-WiFi-Sicherheit sowie Schutz- und Antivirensoftware auf Ihren mobilen Geräten, Laptops und Desktops aktivieren.
All diese Maßnahmen für IT-Security tragen dazu bei, Ihre beruflichen und persönlichen Daten zu schützen und IT-Security-Risiken bei der Arbeit von zu Hause aus am Everywhere Workplace zu verringern. Wenn Sie mehr über die Ivanti-Lösungen erfahren und unser Team auch live erleben wollen, laden wir Sie an unseren Stand (Halle 7 - Stand 7-208) auf der it-sa Expo und Congress 2022 in Nürnberg vom 25. bis 27. Oktober 2022 ein.