VPN als wichtiger Baustein für Umsetzung von Homeoffice und Mobile Work

Homeoffice ist je nach Betrachtungsweise der jeweiligen Beteiligten ein erstrebenswerter Anreize, ein „way of (work) Life“ oder Isolationshaft in häuslicher Umgebung zu Zeiten der Pandemie. Aus Sicht der IT-Abteilung sind hier die gleichen Anforderungen zu lösen wie beim sonstigen mobilen Arbeiten. Hier greifen Mitarbeiter von unterwegs auf Firmenressourcen zu. Dies kann während eines Kundentermins sein oder abends im Hotel zum Hochladen wichtiger Daten zur Weiterbearbeitung. Es gibt verschiedene Gründe, warum ein Zugriff ins Firmennetzwerk erfolgen muss. Spezielle Branchensoftware ist beispielsweise nicht immer als fremdgehostete Cloud-Lösung verfügbar oder es muss eine proprietäre Client-Software verwendet werden. Die Frage ist hier, wie der Zugriff in das Firmennetzwerk realisiert und abgesichert werden kann.

 

Herausforderungen bei Fernzugriff

 

Dass sensible Ressourcen nicht direkt via Internet exponiert werden sollen, gehört mittlerweile zum Grundwissen eines Systemadministrators. Zu groß ist die Gefahr, dass ohne weitere Schutzmaßnahmen der Dienst selbst angegriffen wird und ein Sprungbrett in das interne Firmennetz darstellt. Je nach Qualität und Sicherheitskonzept der eingesetzten (Branchen)Software wäre es sogar denkbar, dass ein Angreifer mühelos aus dem CRM-System mittels eines Angriffs auf die darunter liegende SQL-Datenbank alle Kundendaten abgezogen bekommt. Hier ist somit eine Abstraktionsebene gefordert, die unter anderem eine Authentifizierung und Autorisierung umsetzt, bevor ein Zugriff auf interne Ressourcen erfolgen darf. Der Zugriff muss weiterhin auf eine Art erfolgen, mit der übertragene sensible Daten (DSGVO-konform) gegen unbefugten Zugriff geschützt werden. Daraus ist eine verschlüsselte Übertragung abzuleiten. Dies beinhaltet sowohl Login Daten zu den jeweiligen Systemen als gleichzeitig ein Schutz von internen vertraulichen Daten und allen sonstigen Daten (wie Adressen etc.), die in den Geltungsbereich der DSGVO fallen.

 

Eine weitere Herausforderung stellt die Benutzung von proprietären Protokollen durch spezielle Software dar. Diese werden meist auf Non-Standard-Ports gebunden, auch ist die direkte Datenkommunikation zu Datenbankservern mit Hilfe von direkten SQL-Queries nicht unüblich. Diese Techniken müssen bei einem Remote Zugriff ebenfalls weiterhin funktionieren.

 

Angriffe durch Hacker

 

Firmennetzwerke stehen streng genommen unter ständigem Beschuss von Außen. Hacker und andere interessierte Parteien versuchen in der Regel ständig, eine Schwachstelle zu finden, um in ein Netzwerk einzudringen. Ist der erste Schritt geschafft, folgen abhängig vom eigentlichen Ziel weitere Schritte. Da in einem gut organisierten Netz die Systeme in Segmenten organisiert sind, ist es eine gängige Technik, Schadcode zu hinterlassen, der weitere Arbeiten durchführt. Dies ist beispielsweise eine Backdoor, wo ein Angreifer sich interaktiv auf dem betroffenen System einloggen kann oder ein kleines Programm, welches im Hintergrund schnüffelt. Mit Hilfe der so gewonnenen Daten werden dann die nächsten Angriffsschritte vorbereitet, bis das Ziel erreicht ist, was oft im Abziehen von vertraulichen Daten oder Kundendatenbanken besteht.

 

Mit Hilfe eines Ransomware-Angriffes werden anschließend die Spuren verschleiert – oder aber intelligente Ransomware geht selbst einige Wochen auf Tauchstation, um die Backups zu durchsetzen. Einige Wochen später, wenn bei der üblichen Vorhaltezeit die meisten Systeme nicht mehr einfach aus dem Backup restauriert werden können, wird die Ransomware aktiv und legt die Firma lahm. Eine derartige Vorgehensweise wird als ATP (Advanced Persistent Threat) bezeichnet. Bedingt durch das Angriffsszenario sind herkömmliche Virenscanner im Rahmen einer Endpoint Security oft mit derartigen Bedrohungen überfordert, da diese nur ein lokales System sehen. Finden Zugriffe mit legitimen Verhaltensmustern statt, so werden diese zugelassen, beispielsweise das Auslesen eines Microsoft Active Directory und anschließenden Login Versuchen auf anderen Servern. Die Antwort auf diese Dinge heißt XDR – Extended Detection and Response. Hier werden zusätzlich zu den lokalen Aktivitäten die Interaktionen zwischen Systemen und der Firewall bzgl. Connections in die Außenwelt betrachtet. Bei verdächtigen Aktivitäten können dann Aktionen ausgelöst werden, die von simplen Benachrichtigungen an die IT bis hin zu automatischen Sperrungen und Isolation ganzer Endpoints reichen.

 

Lesen Sie hier ob Sie eine statische oder eine dynamische IP Adresse haben

 

VPN als Lösung

 

In der Praxis hat sich die Verwendung von VPNs als praktikabel herausgestellt, zumal hier mit oftmals wenig Aufwand der Nutzer transparent ins Firmennetz geleitet wird. Oftmals lassen sich auf der verwendeten on-premise Firewall Dialup-VPNs terminieren und mit den in den gängigen Betriebssystemen und Smartphones nutzen. Durch Authentifizierungsmöglichkeiten, die 2FA abdecken, ist ein Betrieb möglich, der die meisten Sicherheitsanforderungen abdeckt. Weitergehende Konstrukte lassen sich mit Hilfe einiger Dienstleister bauen, die die Nutzung von VPNs zur Vernetzung von Standorten, mobilen Mitarbeitern und Cloud-Ressourcen als Service namens PaaS anbieten. Somit lassen sich mithilfe von Building Blocks recht einfach ganze Standorte incl. Belegschaft vernetzen.

 

Angriffsvektoren auf VPN

 

Gegen jeden Schutz wird eine weitere Waffe entwickelt. Je nach Art der Umsetzung des VPN setzen Angreifer an verschiedenen Punkten an, um sich trotzdem Zugang zum geschützten Netz zu verschaffen. Der einfachste Weg sind simple brute-force Loginversuche. Hier wird eine Kombination von Login und Passwort automatisiert durchprobiert. Eine Optimierung der aufzuwendenden Zeit findet durch Nutzung von abgezogenen Benutzerinformationen statt. Zum Schutz kann man die Zugänge automatisiert nach einer gewissen Anzahl von fehlgeschlagenen Login Versuchen pro Zeiteinheit sperren. Alternativ ist die Verwendung von 2FA (Zertifikate, preshared key, RSA-Token etc.) ein wirksamer Schutz.

 

Ein anderer Angriffsvektor ist ein gezieltes Phishing. Hierbei werden Nutzer durch täuschend echt aufgemachte Mails dazu verleitet, in einem Interface ihre Zugangskennungen einzugeben. Dies lässt sich verfeinern, indem bei Nutzung eines Plattformanbieters ein Angreifer eine präparierte App erstellen kann, die fast identisch zum Original aussieht. Der Benutzer wird anschließend zum Öffnen dieser App gebracht, die sich dann unter Umständen zusätzlich als Keylogger betätigt oder tief im System einnistet. Somit würde dann ein APT im System schlummern.

 

Ein weiteres Problem sind in vielen Szenarien die Möglichkeiten, dass Mitarbeiter aus verschiedenen Gründen (Budget Mangel, Unwissen der Verantwortlichen, Zeitmangel bei Ausstattung vieler Mitarbeiter mit Notebooks aufgrund staatlich verordnetem Homeoffice) eigenes Equipment (BYOD) nutzen. Auf dieses hat die IT keinen Einfluss. Ein MDM (Mobile Device Management) kann hier helfen, die Angriffsfläche zu mindern.

 

Fazit

 

Für viele Szenarien des Remotezugriffs auf Firmenressourcen sind VPNs mächtige Werkzeuge. Je nach Applikation sind diese allerdings nicht immer die erste Wahl, wenn beispielsweise latenzkritische Applikationen benutzt werden. Auf die sicherheitstechnischen Implikationen muss strikt geachtet werden, besonders, wenn BYOD aus Kostengründen praktiziert werden soll.