von Redaktion IT-A…
Lesezeit
2 Minuten
Sieben Schritte für mehr Remote-Access-Kontrolle
Produktivität oder Sicherheit? Da sollte es kein Entweder-oder-Denken geben, auch wenn dieses Dilemma ein Dauerthema ist – besonders wenn Mitarbeiter sich zur Erledigung ihrer Aufgaben von außen in Unternehmensnetze einwählen. Der Fachartikel beschreibt, wie die Gefahrenlage bei der Zusammenarbeit mit Drittanbietern aussieht, die Fernzugriff auf IT-Systeme haben, und welche Maßnahmen Organisationen zu ihrem Schutz ergreifen sollten.
IT-Administratoren und technische Mitarbeiter benötigen erhöhte Zugriffsrechte, um Wartungsarbeiten und Konfigurationsänderungen auf Computersystemen vorzunehmen. Auch für externe Dienstleister öffnen Organisationen ihre Netze im Rahmen von Serviceverträgen. Für diese Remote-Access-Sessions mit Benutzerprivilegien sollten (mindestens) die gleichen Sicherheitsanforderungen gelten, die auch für interne Anwender verbindlich sind. Bei Nichtbefolgen nehmen Unternehmen ansonsten Schwächen ihrer IT-Verteidigung in Kauf, die sich von Cyberangreifern gezielt ausnutzen lassen.
Im hektischen Alltag gehen den IT-Verantwortlichen indes Überblick und Kontrolle schnell verloren. Zur Vermeidung von Risiken durch Drittanbieter sind wirksame Kontrollmechanismen erforderlich, um den Einsatz privilegierter Anmeldedaten abzusichern. Die Herausforderung ist, dass einerseits Produkte und Software unterschiedlicher Anbieter geschäftskritisch sind, aber andererseits Remote-Access-Zugänge für die Hersteller bei Aktualisierung, Produktwartung und Fehlersuche geschaffen werden müssen.
Hohes Risiko durch Angriff auf privilegierte Accounts
Zugriffs- und Kontrollmöglichkeiten aus der Ferne sind für den Betrieb geschäftsrelevanter Anwendungen und Endgeräte essenziell. Administratorenkonten und andere privilegierte Accounts sind aber auch dauerhaft ein vorrangiges Ziel für Angreifer, weil sie Hacker mit einem Generalschlüssel für das betreffende Netzwerk versehen. Häufig unbemerkt können sie sich mit geraubten Anmeldedaten frei bewegen, Malware einspielen und wertvolle Daten herausschleusen. Neben wirtschaftlichen Schäden durch Ausfälle des IT-Betriebs drohen empfindliche Strafen bei Datenschutzverletzungen gegen Gesetzesanforderungen wie die DSGVO-Vorgabe der EU.
Wie hoch ist das Risiko? Forrester Research geht davon aus, dass bei mindestens 80 Prozent aller Cyberattacken gestohlene Zugangsdaten eingesetzt werden, um sich schnellen Zugriff auf sensible Bereiche eines Unternehmensnetzes zu verschaffen. Steigt das Lieferantennetzwerk, nehmen zwangsläufig auch die potenziellen Gefahren zu. Die IT-Sicherheitsstudie "Privileged Access Threat Report" dokumentiert, dass in Unternehmen jede Woche durchschnittlich 182 Drittanbieter auf IT-Systeme von außen zugreifen. In jedem vierten Unternehmen mit mehr als 5000 Mitarbeitern loggen sich wöchentlich mittlerweile im Durchschnitt sogar 500 externe Dienstleister ein.
In der Praxis sind die Schwierigkeiten beim Einsatz von Remote-Access-Technologie allerdings technisch beherrschbar. Mit den folgenden Schritten bleiben Unternehmen auf der sicheren Seite.
Schritt 1: Drittanbieter-Sessions kontrollieren
Grundsätzlich kommt es darauf an, die Aktivitäten von Drittanbietern umfassend zu kontrollieren. Das Mitzeichnen und Auswerten aller durchgeführten IT-Arbeiten hilft bei der Durchsetzung der eingerichteten IT-Regeln für den Systemzugriff. Ziel ist es, bei möglichen Verletzungen der IT-Policy festzustellen, ob es sich um ungewollte Bedienungsfehler oder aber verdächtige Aktivitäten handelt. Dafür müssen alle Remote-Access-Sitzungen aufgezeichnet werden, um über ein vollständiges Daten- und Lagebild bei der Problemlösung zu verfügen. Wichtig ist, dass sich relevante Informationen intelligent und kompakt zusammenfassen lassen, um Trends und ungewöhnliche Vorgänge auf einen Blick einsehen zu können.
Eine zuverlässige Kontrolle ist die Voraussetzung dafür, dass sich Drittanbieterrisiken durch sorgfältige Planung besser begrenzen lassen. Das fängt bei einer Bestandsaufnahme der IT-Sitzungen von Drittanbietern an. So lässt sich feststellen, von wo die einzelnen Verbindungen aufgebaut werden, mit welchen Rechnern externe Dienstleister verbunden sind und welche Zugriffsrechte sie dabei haben. Außerdem müssen IT-Verantwortliche regelmäßig die Firewallregeln dahingehend überprüfen, ob eingehende Verbindungen aus unbekannter Quelle zugelassen sind. Darüber hinaus empfiehlt sich, Schwachstellenscans auf den externen Hosts durchzuführen, um Dienste zu identifizieren, die auf eingehende Verbindungen warten. Und: Die Passwort-Sicherheitsrichtlinien für Konten mit eingehenden Netzwerkverbindungen sowie die Sicherheitsstandards für Drittanbieter müssen durchgängig eingehalten werden.
Schritt 2: Interne Schutzvorkehrungen implementieren
Der beste Weg, um Organisationen vor Sicherheitsbedrohungen durch Drittanbieter zu schützen, besteht in einer mehrschichtigen Verteidigungsstrategie, die das gesamte Unternehmen abdeckt. Über lückenlose Verschlüsselung, Multi-Faktor-Authentifizierung und umfassende Datensicherheitsrichtlinien lassen sich alle Endpunkte, Mobilgeräte, Anwendungen und Daten vor Missbrauch schützen. So werden für die eigenen IT-Systeme und Arbeitsabläufe die erforderlichen Sicherheitskriterien durchgesetzt und aktualisiert.
Viele Einbruchsversuche und Hacking-Angriffe werden indes erst im Rückblick erkannt. Entscheidend ist dabei, dass alle Änderungen und Datenübertragungen im Netzwerk protokolliert wurden. Dann lässt sich nachvollziehen, ob innerhalb einer autorisierten Support-Sitzung unternehmenseigene oder gesetzliche Sicherheitsvorgaben gebrochen wurden. Anhand schneller und aussagekräftiger Warnmeldungen kann die IT-Abteilung zeitnah auf potentielle Gefahren reagieren.
ln/Roland Schäfer, Regional Sales Manager bei BeyondTrust
Im hektischen Alltag gehen den IT-Verantwortlichen indes Überblick und Kontrolle schnell verloren. Zur Vermeidung von Risiken durch Drittanbieter sind wirksame Kontrollmechanismen erforderlich, um den Einsatz privilegierter Anmeldedaten abzusichern. Die Herausforderung ist, dass einerseits Produkte und Software unterschiedlicher Anbieter geschäftskritisch sind, aber andererseits Remote-Access-Zugänge für die Hersteller bei Aktualisierung, Produktwartung und Fehlersuche geschaffen werden müssen.
Hohes Risiko durch Angriff auf privilegierte Accounts
Zugriffs- und Kontrollmöglichkeiten aus der Ferne sind für den Betrieb geschäftsrelevanter Anwendungen und Endgeräte essenziell. Administratorenkonten und andere privilegierte Accounts sind aber auch dauerhaft ein vorrangiges Ziel für Angreifer, weil sie Hacker mit einem Generalschlüssel für das betreffende Netzwerk versehen. Häufig unbemerkt können sie sich mit geraubten Anmeldedaten frei bewegen, Malware einspielen und wertvolle Daten herausschleusen. Neben wirtschaftlichen Schäden durch Ausfälle des IT-Betriebs drohen empfindliche Strafen bei Datenschutzverletzungen gegen Gesetzesanforderungen wie die DSGVO-Vorgabe der EU.
Wie hoch ist das Risiko? Forrester Research geht davon aus, dass bei mindestens 80 Prozent aller Cyberattacken gestohlene Zugangsdaten eingesetzt werden, um sich schnellen Zugriff auf sensible Bereiche eines Unternehmensnetzes zu verschaffen. Steigt das Lieferantennetzwerk, nehmen zwangsläufig auch die potenziellen Gefahren zu. Die IT-Sicherheitsstudie "Privileged Access Threat Report" dokumentiert, dass in Unternehmen jede Woche durchschnittlich 182 Drittanbieter auf IT-Systeme von außen zugreifen. In jedem vierten Unternehmen mit mehr als 5000 Mitarbeitern loggen sich wöchentlich mittlerweile im Durchschnitt sogar 500 externe Dienstleister ein.
In der Praxis sind die Schwierigkeiten beim Einsatz von Remote-Access-Technologie allerdings technisch beherrschbar. Mit den folgenden Schritten bleiben Unternehmen auf der sicheren Seite.
Schritt 1: Drittanbieter-Sessions kontrollieren
Grundsätzlich kommt es darauf an, die Aktivitäten von Drittanbietern umfassend zu kontrollieren. Das Mitzeichnen und Auswerten aller durchgeführten IT-Arbeiten hilft bei der Durchsetzung der eingerichteten IT-Regeln für den Systemzugriff. Ziel ist es, bei möglichen Verletzungen der IT-Policy festzustellen, ob es sich um ungewollte Bedienungsfehler oder aber verdächtige Aktivitäten handelt. Dafür müssen alle Remote-Access-Sitzungen aufgezeichnet werden, um über ein vollständiges Daten- und Lagebild bei der Problemlösung zu verfügen. Wichtig ist, dass sich relevante Informationen intelligent und kompakt zusammenfassen lassen, um Trends und ungewöhnliche Vorgänge auf einen Blick einsehen zu können.
Eine zuverlässige Kontrolle ist die Voraussetzung dafür, dass sich Drittanbieterrisiken durch sorgfältige Planung besser begrenzen lassen. Das fängt bei einer Bestandsaufnahme der IT-Sitzungen von Drittanbietern an. So lässt sich feststellen, von wo die einzelnen Verbindungen aufgebaut werden, mit welchen Rechnern externe Dienstleister verbunden sind und welche Zugriffsrechte sie dabei haben. Außerdem müssen IT-Verantwortliche regelmäßig die Firewallregeln dahingehend überprüfen, ob eingehende Verbindungen aus unbekannter Quelle zugelassen sind. Darüber hinaus empfiehlt sich, Schwachstellenscans auf den externen Hosts durchzuführen, um Dienste zu identifizieren, die auf eingehende Verbindungen warten. Und: Die Passwort-Sicherheitsrichtlinien für Konten mit eingehenden Netzwerkverbindungen sowie die Sicherheitsstandards für Drittanbieter müssen durchgängig eingehalten werden.
Schritt 2: Interne Schutzvorkehrungen implementieren
Der beste Weg, um Organisationen vor Sicherheitsbedrohungen durch Drittanbieter zu schützen, besteht in einer mehrschichtigen Verteidigungsstrategie, die das gesamte Unternehmen abdeckt. Über lückenlose Verschlüsselung, Multi-Faktor-Authentifizierung und umfassende Datensicherheitsrichtlinien lassen sich alle Endpunkte, Mobilgeräte, Anwendungen und Daten vor Missbrauch schützen. So werden für die eigenen IT-Systeme und Arbeitsabläufe die erforderlichen Sicherheitskriterien durchgesetzt und aktualisiert.
Viele Einbruchsversuche und Hacking-Angriffe werden indes erst im Rückblick erkannt. Entscheidend ist dabei, dass alle Änderungen und Datenübertragungen im Netzwerk protokolliert wurden. Dann lässt sich nachvollziehen, ob innerhalb einer autorisierten Support-Sitzung unternehmenseigene oder gesetzliche Sicherheitsvorgaben gebrochen wurden. Anhand schneller und aussagekräftiger Warnmeldungen kann die IT-Abteilung zeitnah auf potentielle Gefahren reagieren.
ln/Roland Schäfer, Regional Sales Manager bei BeyondTrust
