Unternehmensperspektive

Telearbeit im Zeitalter von COVID-19 – eine Risikomodellierung

Das neue Coronavirus COVID-19 zwingt Unternehmen und Institutionen, persönliche Kontakte so weit wie möglich einzuschränken, um der Ausbreitung des Virus Einhalt zu gebieten. In den letzten Wochen traten deshalb vielerorts Richtlinien über das Arbeiten von zuhause in Kraft. Während einige Unternehmen die Telearbeit schon seit Jahren mit stabilen Infrastrukturen unterstützen, sind sie anderswo eingeschränkt. Nun müssen sowohl Befürworter als auch Gegner einen massiven Anstieg in der Anzahl der Telearbeiter und der Telearbeitsstunden pro Mitarbeiter stemmen. Abteilungen und Verantwortungsbereiche, in denen es keinerlei Erfahrung mit der Telearbeit gibt, haben plötzlich keine Alternative. Sicherheitsexperten fragen sich zu Recht, welche neuen Risiken mit diesen schnellen und drastischen Änderungen einhergehen.

Wir haben Risikomodelle für eine Auswahl der uns bekannten Infrastrukturen für den Remote-Zugriff erstellt, um einige dieser Risiken genauer betrachten zu können. Dabei handelt es sich natürlich nur um Beispiele. In der Praxis wird es in jedem Unternehmen und jeder Institution spezifische Details bei der Implementierung, den verfügbaren Varianten und den Rahmenbedingungen geben, die von den hier untersuchten Fällen abweichen. Deshalb sollten Sicherheitsteams bei ihren eigenen Risikobewertungen ihre spezifische Implementierung und die relevanten Risiken berücksichtigen.

Architekturansätze für den Fernzugriff

Die riskanteste Methode

Direktzugriff

Die einfachste und am wenigsten sichere Methode ist, Protokolle wie Microsoft Remote Desktop Protocol (RDP) zu nutzen, um die benötigten Umgebungen über das Internet zugänglich zu machen. Wir haben zwar noch mit Unternehmen zu tun, die den Zugriff über RDP gestatten (hauptsächlich für Incident Response), doch wo die IT-Umgebungen ausgereifter sind, gibt es Firewalls und andere Einschränkungen, die den direkten Zugriff unterbinden. Doch auch die Sicherheitsteams, die für diese ausgereifteren Infrastrukturen verantwortlich sind, sollten sich der Gefahr bewusst sein, dass einzelne Mitarbeiter Schatten-IT-Systeme auf nicht gemanagten Cloud-Plattformen oder bei anderen externen Services einrichten.

Standardlösungen für den professionellen Gebrauch

Da es riskant ist, RDP oder ähnliche Protokolle für den Zugriff über das Internet anzubieten, deren Nutzung sich nicht ohne Weiteres einschränken oder kontrollieren lässt, unterstützen die meisten Unternehmen eine kleine Anzahl anderer Technologien für den Fernzugriff. Das wirkt sich positiv auf das Zugriffsmanagement, die Protokollierung und die erforderlichen Sicherheitsvorkehrungen aus.

Wir sehen vor allem die folgenden beiden Varianten:

VPN/virtualisierte Desktops

Am häufigsten begegnen uns VPN-Lösungen bzw. virtualisierte Desktops, vor allem von Citrix oder VMware.

Diese Lösungen werden zwischen der inneren und äußeren Firewall (in der sogenannten demilitarisierten Zone oder DMZ) installiert. VPN-Lösungen senden entweder den gesamten Datenverkehr oder einen Teil davon durch einen sogenannten VPN-Tunnel. Wenn nur ein Teil des Datenverkehrs durch den Tunnel versendet wird, spricht man von Split Tunneling. Wir sehen in Unternehmen oft VPN-Umgebungen, über die ein großer Teil des Unternehmensnetzwerks per Fernzugriff erreichbar ist. Da die Anforderungen an die Konnektivität durch COVID-19 erheblich gestiegen sind, erwägen die Netzwerkverantwortlichen in einigen Unternehmen möglicherweise einen Wechsel vom vollständigen zum Split Tunneling, um ohne zusätzliche Bandbreite mehr Telearbeiter unterstützen zu können. Wir kommen später in diesem Artikel auf einige der Risiken zurück, die mit diesem Ansatz verbunden sind.

Citrix, VMware und andere Anbieter können Anwendungen oder virtualisierte Desktops für Benutzer bereitstellen. Ein virtualisiertes Desktop ermöglicht typischerweise den Zugriff auf verschiedene Anwendungen, darunter Internet Explorer, unternehmenseigene Anwendungen und Anwendungen externer Anbieter. Alternativ dazu können Unternehmen auch selbst virtualisierte Desktops für ihre Nutzer einrichten, die den Zugriff auf Netzwerkfreigaben, Anwendungen und interne Ressourcen ermöglichen.

Zero-Trust-Modell

Ein Ansatz im Aufwind ist das Zero-Trust-Modell, bei dem ein Identitätsanbieter die Zugriffsrechte für Anwendungen ermittelt und zuweist und dabei nicht nur den Nutzer, sondern auch das genutzte Gerät berücksichtigt. Neben der Geräte- und Nutzeridentität prüfen Identitätsanbieter in der Regel, ob das Gerät vom Unternehmen gemanagt wird (konkret, ob im Trusted Platform Module oder TPM ein entsprechendes Zertifikat gespeichert ist), von wo aus der Nutzer sich anmeldet und welche Rolle er bekleidet. Wir haben Infrastrukturen gesehen, in denen die Umstellung zu diesem Modell begonnen hat, doch in den meisten Fällen stellt die bereits vorhandene Ausrüstung die Sicherheitsteams vor Herausforderungen, die zu diversen Ausnahmen, halbimplementierten Lösungen und der Beibehaltung von VPN-Lösungen als Backup geführt haben.

Risikomodellierung

Die rasante Verschärfung der COVID-19-Krise hat dazu geführt, dass viele Menschen plötzlich – und oft zum ersten Mal – von zuhause arbeiten. Netzwerkteams mussten die erforderliche Konnektivität schnell bereitstellen und hatten daher kaum Zeit, die Sicherheit der neuen Zugangsmechanismen zu testen. Wir befürchten daher, dass Angreifer Schwachstellen finden und ausnutzen werden, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. FireEye Mandiant Threat Intelligence hat bereits eine erhebliche Anzahl von Phishing- und Spear-Phishing-Kampagnen aufgedeckt, bei denen COVID-19 als Aufhänger benutzt wird. Wir gehen davon aus, dass Cyberkriminelle die Situation auch weiterhin ausnutzen werden.

Dennoch werden in Unternehmen möglicherweise die Sicherheitsrichtlinien für den Fernzugriff gelockert, um die drastisch gestiegene Anzahl der Telearbeiter zu unterstützen. Konkret kann das heißen, dass Whitelists von IP-Adressen ignoriert, die Nutzung nicht gemanagter Geräte gestattet oder zum Split Tunneling übergegangen wird. Jede dieser Konfigurationsänderungen sollte sorgfältig durchdacht, gegen die neuen Bedrohungen und die Risikotoleranz des Unternehmens abgewogen und getestet werden.

Bedrohungsmodellierung für den Direktzugriff

Für Angriffe auf direkt über das Internet erreichbare Unternehmensnetzwerke werden Hacker wohl weiterhin die bereits bekannten Methoden nutzen: die Suche nach von außen zugänglichen Ports und ihre Ausnutzung mit Brute-Force-Methoden, Password Spraying oder Spear Phishing. Besonders groß ist das Risiko dort, wo auch nicht gemanagte Geräte für den Direktzugriff auf das Unternehmensnetzwerk genutzt werden dürfen, denn dadurch sind die Sicherheitsteams kaum in der Lage, sich einen Überblick darüber zu verschaffen, von welchen Hosts aus auf ihr Netzwerk zugegriffen wird.

Bedrohungsmodellierung für Standardlösungen

VPN/virtualisierte Desktops

Zur Beurteilung der Bedrohungen für VPN/virtualisierte Desktops haben wir verschiedene Angriffsarten betrachtet, darunter Angriffe mit gestohlenen Anmeldedaten, Angriffe, bei denen der Anmeldeprozess umgangen wird (Angriffe ohne Authentifizierung) und kompromittierte Systeme. Da bei einem Angriff oft mehrere Schwachstellen ausgenutzt werden, haben wir außerdem untersucht, wie Angreifer den einmal erlangten Zugang über ein VPN oder einen virtualisierten Desktop missbrauchen könnten. Angesichts der stark gestiegenen Anzahl der Telearbeiter und der weit verbreiteten Schwächen in Sachen Bedrohungsmodellierung, Incident Response und Red-Teaming möchten wir auf einige besonders gefährliche Schwachstellen hinweisen:

  1. Fernzugriff auf Endpunkte: Mitarbeiter werden auch weiterhin regelmäßig Phishing-E-Mails erhalten. Deshalb sollten Sicherheitsmaßnahmen wie E-Mail-Filter, Endpunkthärtung, eingeschränkte Administratorrechte und Transparenz weiterhin angewendet werden. Auch während der COVID-19-Krise sollten Sicherheitsteams einen Überblick über alle Endpunkte haben, einschließlich der von Telearbeitern, neuen Nutzern und Dritten genutzten Endpunkte.
  2. Ausbreitung der Angreifer im System:Sobald ein Angreifer sich Zugang zu einem VPN, einem virtualisierten Desktop oder einer anderen Lösung für den Fernzugriff verschafft hat, wird er vermutlich versuchen, Anmeldedaten zu finden und die Infrastruktur auszuspionieren. Um dies so weit wie möglich zu verhindern, sollte jeder Nutzer nur die Ressourcen per Fernzugriff erreichen können, die er unbedingt zur Erledigung seiner Aufgaben braucht. Virtualisierte Services sollten wie in früheren Blogposts beschrieben gehärtet werden.
  3. Umgehung der Mehrfaktor-Authentifizierung (MFA): Die meisten Unternehmen und Institutionen nutzen zum Glück bereits MFA, um sich vor Angriffen mit Brute-Force-Methoden oder Password-Spraying zu schützen. Bei unseren Red-Team-Operationen kommt es aber immer noch vor, dass Nutzer Pushbenachrichtigungen akzeptieren, die sie nach einem Password-Spraying-Versuch erhalten, und unseren Testern damit Fernzugriff auf ihre Systeme gewähren. Mitarbeiter sollten auf diese Gefahr hingewiesen und ausreichend geschult werden, um nicht autorisierte Pushbenachrichtigungen erkennen und melden zu können. Einige MFA-Methoden, wie das Versenden von SMS, wurden in der Vergangenheit von Angreifern missbraucht, um Nutzer dazu zu verleiten, ihren zweiten Faktor preiszugeben. Deshalb sollten die Details der MFA-Implementierung überdacht und an die Risikotoleranz des Unternehmens angepasst werden.
  4. Zugriff von nicht gemanagten Geräten: Viele Unternehmen prüfen die Identität von nicht gemanagten Geräten nicht ausreichend, bevor sie ihnen Zugang zu ihrer Lösung für den Fernzugriff gewähren. Davon profitieren auch Hacker. So kann die Identitätsprüfung bei vielen VPN-Lösungen relativ leicht umgangen werden, etwa durch eine Änderung der Softwareantworten oder der Einstellungen der Registrierungschlüssel. Doch Sicherheitsteams sollten nicht nur Angreifern den Zugang zu ihrem Netzwerk verwehren, sondern auch legitimen Nutzern, die versuchen, sich von nicht autorisierten Systemen aus anzumelden. Die COVID-19-Krise hat dazu geführt, dass viele Nutzer erstmals von zuhause aus arbeiten und daher vielleicht noch keinen firmeneigenen Laptop haben. Wie sollen sie per Fernzugriff auf das Netzwerk zugreifen, wenn sie bisher nur ihren Desktop im Büro genutzt haben? Nutzen sie dazu vielleicht nicht gemanagte eigene Systeme, außerhalb der Kontrolle und der Übersicht des Sicherheitsteams?
  5. Split Tunneling oder vollständiges Tunneling: In einigen Unternehmen wird möglicherweise versucht, die plötzlich erforderliche VPN-Bandbreite durch einen Wechsel vom vollständigen zum Split Tunneling bereitzustellen. Beim vollständigen Tunneling wird der gesamte Netzwerkverkehr durch den VPN-Tunnel geleitet, sodass Web-Proxys den Datenverkehr filtern und Sicherheitsteams nicht authorisierte Aktivitäten erkennen können. Split Tunneling kann diese Transparenz einschränken, wenn keine geeigneten Endpunkt-Agenten installiert werden, die für die erforderliche Transparenz und Kontrolle sorgen.
  6. Denial of Service beim Fernzugriff: Wenn ganze Abteilungen und sogar ganze Unternehmen per Fernzugriff arbeiten, könnte ein Denial-of-Service-Angriff auf das Zugriffsportal den Geschäftsbetrieb erheblich beeinträchtigen. Ein Angreifer könnte beispielsweise wiederholt versuchen, sich beim Konto eines legitimen Nutzers anzumelden, und dabei jedes Mal das falsche Passwort eingeben, bis das Nutzerkonto gesperrt wird und der legitime Nutzer sich nicht mehr anmelden kann. Wenn der Angreifer dazu ein Skript erstellt und dieses für viele Nutzerkonten laufen lässt, könnte er einen großen Teil der Belegschaft am Arbeiten hindern.

Zero-Trust-Modell

Einige der für VPN/virtualisierte Desktops beschriebenen Bedrohungen sind auch für das Zero-Trust-Modell relevant, darunter Endpunkttransparenz und ‑härtung, Methoden zur Umgehung von MFA und Denial of Service. Da die Vertrauenswürdigkeit von Geräten im Zero-Trust-Modell eine Komponente der Authentifizierung und Autorisierung ist, sollten Sicherheitsteams in Unternehmen außerdem die folgenden Punkte berücksichtigen, um diese Vertrauenswürdigkeit zu erhalten:

  1. Mechanismen zur Prüfung der Vertrauenswürdigkeit von Geräten: Die Vertrauenswürdigkeit eines Geräts kann beispielsweise durch ein Zertifikat belegt werden, das zeigt, dass das Gerät vom Unternehmen gemanagt wird. Deshalb sollten Sicherheitsteams darüber nachdenken, wie diese Zertifikate geschützt werden. Wenn ein Angreifer sich Zugang zum Gerät eines Nutzers verschafft, sollte er dieses Zertifikat auf keinen Fall exportieren und auf einem anderen Gerät installieren können. Nutzer sollten daher nicht berechtigt sein, ihre Zertifikate zu exportieren, und die Zertifikate sollten in einem Trusted Platform Module (TPM) gespeichert sein.
  2. Zugriff von nicht gemanagten Geräten: Nicht gemanagte Geräte sollten nur begrenzten Zugang zu Daten und Ressourcen erhalten. Ein bekanntes Beispiel hierfür sind die Richtlinien für den bedingten Zugriff in Microsoft O365, die den Zugang zu Dateien und E-Mail-Anhängen von nicht gemanagten Geräten aus einschränken. Sicherheitsteams sollten bei der Implementierung eines Zero-Trust-Modells unbedingt sicherstellen, dass diese Einschränkungen konfiguriert wurden.

Zugriffskontrollen beim Fernzugriff

Angesichts der aktuellen Bedrohungen sollten die Sicherheitsteams in Unternehmen sich darauf konzentrieren, starke Sicherheitskontrollen am Netzwerkrand einzurichten. Da Belegschaften nun stärker verteilt sind und größtenteils per Fernzugriff arbeiten, müssen Identitäten und Anwendungen standortunabhängig geschützt werden, im Unternehmensnetzwerk und in der Cloud. Wir empfehlen Unternehmen die folgenden Maßnahmen, um Angreifern den unbefugten Zugriff auf ihre Ressourcen so schwer wie möglich zu machen.

Authentifizierung

  • Mehrfaktor-Authentifizierung: Alle externen Unternehmensressourcen sollten durch MFA vor Password-Spraying-, Password-Stuffing- und Phishing-Angriffen geschützt werden. Prüfen Sie alle externen Unternehmensressourcen, auch Cloud-Services und deren Konfigurationen. In manchen Unternehmen ist beispielsweise für den Zugriff auf Microsoft Office 365 Mehrfaktor-Authentifizierung erforderlich, doch ältere Office 365-Anwendungen wie Exchange Web Services (EWS) oder IMAP können noch mit Einfaktor-Authentifizierung genutzt werden. Die Authentifizierung für Disaster-Recovery- und ältere VPN-Lösungen sollten ebenfalls überprüft werden, da sie in vielen Fällen nur mit Einfaktor-Authentifizierung geschützt sind.
  • Vertrauenswürdigkeit der Geräte: Unternehmen sollten sich nicht mit MFA zufriedengeben. Implementieren Sie eine Methode, die prüft, ob das Gerät, mit dem ein Nutzer sich anmeldet, ein bekanntes und von diesem Mitarbeiter gemanagtes Gerät ist. Dazu können Sie zum Beispiel eine Systemmanagementplattform nutzen, die ein Identitätszertifikat im TPM des Geräts ablegt.

Endpunktschutz

  • Endpunkttransparenz: Die Sicherheitsteams vieler Unternehmen können schädliche Aktivitäten auf den Geräten von Telearbeitern nicht erkennen. Deshalb sollten auf allen Endpunkten mehrschichtige Endpunkt-Agenten installiert werden, die in der Lage sind, schädliche Aktivitäten zu erkennen, zu blockieren und angemessen auf sie zu reagieren.
  • Endpunkthärtung Härten Sie Geräte, um es Angreifern so schwer wie möglich zu machen, sich Zugang zu ihnen zu verschaffen und ihre Zugriffsrechte auszuweiten. Lokale Administratorrechte sollten eingeschränkt und Systeme nach einem gemeinsamen Standard (wie den CIS-Benchmarks) gehärtet werden.
  • Virtualisierte Anwendungen/Desktophärtung Die Standardkonfigurationen für virtualisierte Schnittstellen gestatten es möglicherweise, aus einer virtuellen Sitzung „auszubrechen“ (break out) und auf das zugrundeliegende Betriebssystem zuzugreifen. Weitere Informationen finden Sie in unseren Härtungsstandards.

Schutz von Cloud-Umgebungen

  • Transparenz und Schutz von Cloud-Umgebungen: Cloud-Services sind eine wichtige Ressource für Telearbeiter und können vertrauliche Unternehmensdaten enthalten. Sorgen Sie dafür, dass Ihre Teams die Logdateien der Cloud-Anbieter erhalten und regelmäßig nach Hinweisen auf unbefugte Zugriffe oder das Ausschleusen von Daten durchsuchen. Um unbefugte Zugriffe einzuschränken, sollten Sie zudem die Konfigurationen und die Sicherheitsmaßnahmen regelmäßig überprüfen.
  • Nicht genehmigte Cloud-Services: Bieten Sie angemessene, vom Unternehmen genehmigte Alternativen zu Cloud-Services für den persönlichen Gebrauch an, damit Ihre Mitarbeiter nicht nach Lösungen von Drittanbietern zum Erstellen von Notizen, Speichern von Dateien oder für das Dokumentmanagement suchen müssen. Mit unternehmenseigenen Lösungen stellen Sie sicher, dass Ihre Unternehmensdaten durch die Sicherheitsmaßnahmen geschützt sind, die Sie in Ihrer Infrastruktur installiert haben.

Nutzer und Administratoren

  • Sensibilisierung der Mitarbeiter: Stellen Sie Informations- oder Schulungsmaterialien bereit, damit Telearbeiter sich nicht nur über allgemeine IT-Sicherheitsthemen wie Phishing und Passwortsicherheit, sondern auch über Maßnahmen für die physische Sicherheit wie die Nutzung von Blickschutzfiltern informieren können. Weisen Sie Telearbeiter auch darauf hin, dass sie nicht in öffentlichen Räumen an vertraulichen Dokumenten arbeiten und ihre Geräte vor unbefugtem physischen Zugriff schützen sollten.
  • Veränderungen in der Unternehmensumgebung: Wenn Netzwerke im Verlauf der Zeit wachsen oder Veränderungen an ihnen vorgenommen werden, greifen die vorhandenen Sicherheitsmaßnahmen möglicherweise nicht überall. Zudem sind ältere Systeme nicht unbedingt gemanagt. Deshalb sollten Sie regelmäßig Red-Team- bzw. Purple-Team-Operationen durchführen, um neu entstandene Sicherheitslücken aufzudecken und zu beheben.
  • Schutz privilegierter Konten: Domainadministratoren und andere privilegierte Nutzer sollten unterschiedliche Konten für den privilegierten und den nicht privilegierten Zugriff haben und sich nicht über die Infrastruktur für den Fernzugriff bei ihrem Konto für den privilegierten Zugriff anmelden. Wenn sie dieses Konto per Fernzugriff nutzen müssen, sollten sie sich bei einer speziell für diesen Zweck bestimmten Workstation (Privileged Access Workstation, PAW) anmelden und ihre Zugriffsrechte dort ausweiten.

Transparenz und Schutz von Netzwerken

  • Konnektivität für virtuelle Desktops: Schränken Sie die Kommunikation zwischen virtuellen Desktops und Netzwerkumgebungen außerhalb Ihrer Unternehmensinfrastruktur ein, um Risiken zu vermeiden. Wenn Ihre Mitarbeiter auf externe Ressourcen zugreifen müssen, sollten Sie eine Whitelist dieser Ressourcen erstellen.
  • Transparenz für Split-Tunneling-Umgebungen: Manche Unternehmen kommen in der aktuellen Situation möglicherweise nicht umhin, vom vollständigen VPN-Tunneling zum Split Tunneling zu wechseln. Sie sollten sich jedoch bewusst sein, dass ihre Sicherheitsteams die Netzwerkaktivitäten auf den Endpunkten dann eventuell nicht mehr lückenlos überwachen können. Erwägen Sie daher einen Cloud-Proxy oder eine ähnliche Lösung zur Verbesserung der Netzwerktransparenz. Damit sind zwar nicht alle, aber doch die gängigsten Kommunikationsmethoden abgedeckt. Zudem sollten Sie die DNS-Logdateien regelmäßig nach den Adressen der entfernten Endpunkte durchsuchen.
  • Überblick über Quell-IP-Adressen: Je nach Netzwerktopologie ist es mehr oder weniger einfach, die Quell-IP-Adresse von Netzwerkverkehr zu finden. Load Balancer, Proxys, DNS-Konfigurationen und DHCP-Pools können diese Aufgabe erschweren. Sorgen Sie dafür, dass die Quell-IP-Adresse von Netzwerkverkehr, der über das VPN in Ihr Unternehmen gelangt, ermittelt und dass IP-Adressen korrekt mit den entsprechenden Nutzerkonten verbunden werden können.

Physische Sicherheit

  • Nutzerschulungen: Nutzer sollten die erforderliche Ausrüstung für die physische Sicherheit bei der Telearbeit erhalten (Blickschutzfilter, Computerschloss, Endpunkthärtung usw.) und in Best Practices für deren Nutzung unterwiesen werden.
  • Geräteverschlüsselung: Sicherheitsteams sollten sich der Gefahr bewusst sein, dass Laptops gestohlen werden oder verloren gehen. Durch die vollständige Datenträgerverschlüsselung auf allen Mitarbeitergeräten können Unternehmensdaten für diesen Fall geschützt werden. Achten Sie bei der Implementierung auf eine solide Strategie für das Schlüssel- und Passwortmanagement. Erhalten in Ihrem Unternehmen alle neuen Telearbeiter Geräte mit Geräteverschlüsselung?

Schatten-IT

  • Ungenehmigte Zugriffsmethoden: Wenn Sicherheitsteams die zahlreichen neuen Anforderungen nach Fernzugriff nicht schnell genug bearbeiten können, werden einzelne Mitarbeiter und Dritte vermutlich versuchen, eigene, nicht genehmigte Methoden zu implementieren. Deshalb sollten Sicherheitsteams ihre Infrastrukturen trotz der stark gestiegenen Belastung weiterhin regelmäßig nach unbefugten Zugriffen und Schwachstellen durchsuchen, proaktiv mit den Geschäftsbereichen kommunizieren und Penetrationstests durchführen.

Einige Unternehmen durchlaufen derzeit eine plötzliche Umstellung auf die Telearbeit, während andere ihre bereits vorhandene Unterstützung für das Arbeiten von zuhause massiv ausbauen müssen. Natürlich muss jedes Sicherheitsteam die spezifische Situation seines Unternehmens berücksichtigen, doch wir hoffen, dass wir mit diesen Beispielen und Empfehlungen Impulse für Maßnahmen geben konnten, mit denen Sie Ihren Mitarbeitern ein sicheres und produktives Arbeiten von zuhause aus ermöglichen können.

Unsere Webinaraufzeichnung enthält ausführlichere Informationen.