Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa365

Launch Days @ it-sa 365: 6. - 8. Oktober 2020

it-sa Newsroom

Wie sichere ich mein Firmennetz für den Fernzugriff ab?

Michael Weirich
© Privat

Michael Weirich arbeitet als Security Analyst im Bereich Cyber Security Services beim Verband der Internetwirtschaft, eco. Er hat für den eco schon viele Security-Projekte betreut und weiß aus eigener Erfahrung, worauf es ankommt, wenn Mitarbeiter aus der Ferne auf das Unternehmensnetz zugreifen. Im Gespräch schildert er die Vor- und Nachteile der unterschiedlichen Verfahren.

  • Mitarbeiter im Homeoffice oder Außendienst benötigen einen gesicherten Zugang zu Unternehmensdaten und -anwendungen.
  • Verschlüsselung, Anonymisierung des Datentransfers und Schutz vor „Abhören“ sind elementar.
  • Ein virtuelles privates Netzwerk (VPN) ist die Standardlösung, doch es gibt auch Alternativen.

Wie kamen Sie mit IT-Security in Berührung?

Meine erste Berufsphase in der IT begann 1996, als ich bei America Online (AOL) anfing, das war noch im Studium. Dort war ich zunächst im Support tätig, bis ein paar Jahre später ein interner Helpdesk aufgebaut werden sollte. Das habe ich dann mit übernommen. Mit dem Aufkauf bestimmter AOL-Bereiche durch Hanse-Net wechselte ich ins Mail-Team. Weil damals Spam-Probleme immer gravierender wurden, beschäftigten wir uns zunehmend mit IT-Security. Als ich ein paar Jahre später gefragt wurde, ob ich beim Verband der Internetwirtschaft eco, anfangen möchte, habe ich sofort zugesagt. Dort habe ich beim Sicherheitsportal Botfrei.de mitgearbeitet und das EU-Projekt ACDC zu Spam und gefährlichen Emails für den eco betreut; eco war der Konsortialführer. Das Projekt war sehr erfolgreich. Wir konnten Meldungen in Echtzeit mit weiteren Informationen anreichern und sie an die dafür zuständigen Partner in der ACDC Community weiterleiten. In den letzten Jahren habe ich im Projekt SIWECOS mitgearbeitet, einem Service für sichere Webseiten. Heute bin ich als Mitarbeiter beim eco im Fachbereich Cybersecurity-Services tätig.

Haben Sie im Bereich IT-Sicherheit ein Spezialgebiet?

Da ich viel Zeit mit Spam-Analyse und Trojanern verbracht habe, könnte man das als meine Fachgebiete bezeichnen. Zukünftig werden bei mir aber Informationssicherheit-Managementsysteme (ISMS) als ein anderer Schwerpunkt in den Vordergrund rücken, denn Informationssicherheit wird ständig umfangreicher, und Risiko- und Notfallmanagement sind als Baustein der IT-Sicherheit bei Unternehmen nicht mehr wegzudenken. Ansonsten bin ich technisch gesehen eher Generalist und arbeite derzeit meistens mobil beziehungsweise im Homeoffice.

Wenn Menschen im Homeoffice arbeiten, benötigen Sie einen sicheren Zugriff auf Unternehmensdaten und -dateien. Worauf kommt es dabei an und wie lässt sich das am besten sicherstellen?

Eine geeignete Lösung muss sicherstellen, dass ein Zugriff nur für berechtigte Personen möglich ist. Es darf sich auch niemand dazwischenschalten können. Von außen muss Anonymität gewährleistet sein, es darf also kein Dritter sehen können, wer sich mit wem verbindet. Der Schutz der Privatsphäre und die Integrität der Daten müssen dabei sichergestellt sein. Und natürlich sollte eine geeignete Anwendung auch performant und stabil laufen.

Welche verschiedenen Möglichkeiten für einen sicheren Zugriff auf das Unternehmensnetz gibt es und worin unterscheiden sich diese?

Die klassische Variante ist das VPN, das virtuelle private Netzwerk. Ein VPN leitet den kompletten Datenverkehr auf die Unternehmensserver um. Auch wenn ich im Internet surfe, geht das dann über das Firmennetz. Der PC im Homeoffice wird also praktisch in das Netz des Unternehmens eingebunden und unterscheidet sich kaum vom PC im Firmenbüro. Das Unternehmen muss dazu jedoch die komplette Infrastruktur vorrätig halten. Dazu zählt auch eine entsprechend dimensionierte Bandbreite des Internet-Zugangs.

Einen anderen Weg gehen Remote-Desktop-Lösungen, wie beispielsweise Teamviewer. Dabei greift ein Nutzer aus der Ferne auf seinen Desktop im Büro zu und kann die darauf installierten Anwendungen nutzen, wie durch ein Schaufenster. Es kann jedoch nicht aus der Ferne auf das komplette Netzwerk zugegriffen werden, wie es bei einem VPN möglich ist. Sicherheitstechnisch sind beide Varianten vergleichbar, aber Remote-Desktop-Lösungen sind eben beschränkter. Diese Variante wurde eigentlich auch nicht für das Homeoffice entwickelt, sondern eher für Support aus der Distanz, denn man muss den PC angeschaltet lassen. Ähnlich sind die Lösungen von Citrix, jedoch wesentlich effizienter. Hier wird allerdings im Unternehmen ein eigener Server nötig. Die Firma muss dazu allerdings nicht mehr für jeden Mitarbeiter einen PC vorhalten. Die Lösung von Citrix zum Beispiel ist vergleichbar mit einem virtuellen PC. Dazu installieren Nutzer einen Client auf dem Rechner, der den Desktop vom Firmen-PC im Fenster anzeigt. Um die Sicherheit zu gewährleisten, muss eine sichere Authentifizierung stattfinden. Die Daten laufen über eine gesicherte Verbindung. Die Vertraulichkeit ist hingegen nicht mit der eines VPN vergleichbar, denn der ISP kann den Datenverkehr genau nachvollziehen. Es ist also keine Anonymität gegeben, wie beim VPN.

Eine weitere Alternative ist der Zero Trust Network Access. Hierbei wird der sichere Zugang anwendungsspezifisch geregelt, die Verwaltung der IT-Sicherheit also auf die Anwendungsebene verlagert. Dazu verbindet man sich mit einem Broker, also einer Art Gateway, das die Sicherheitsüberprüfung vornimmt. Dabei wird nicht nur die Person authentifiziert, sondern auch der Rechner. Erst wenn beide ohne Beanstandung die Überprüfung überstanden haben, wird der Zugriff auf die Anwendung freigeschaltet. Ein Nutzer kann sich also nicht mehr von jedem beliebigen Rechner, etwa aus einem Internet-Cafe, anmelden. Der Grundsatz von Zero Trust liegt darin, keinem Nutzer, Gerät oder Dienst zu vertrauen. Dadurch sollen die Sicherheitsrisiken für Unternehmen minimiert werden. Das bedeutet, geringstmögliche Berechtigungen für die Benutzer, beziehungsweise Applikationen und Zugriff nur, wenn erforderlich. Dafür sind natürlich stets aktuelle Policies und Richtlinien Grundvoraussetzung. Denn diese definieren, welche authentifizierten Nutzer, Dienste, Geräte und Anwendungen überhaupt miteinander kommunizieren dürfen. Dies einzurichten ist initial mit einem erheblichen Aufwand verbunden, der sich aber auszahlt in Sachen Sicherheitsgewinn. Diese Lösung eignet sich besonders für Cloud-Dienste, denn es entfällt der Umweg über die Firmenrechner. Die Server, auf denen die Dienste laufen, sind nach außen gar nicht mehr sichtbar.

Welche Variante halten Sie für die empfehlenswerteste, pragmatisch betrachtet?

Das klassische VPN ist die eleganteste Lösung, weil damit am leichtesten alles komplett abgesichert werden kann, da der gesamte Datenverkehr umgeleitet wird.  Diese Variante ist für den User und für den Administrator, der den Dienst konfiguriert, sicher die einfachste Lösung. Der Aufwand, einen Netzwerkzugriff wie Citrix oder ein Zero Trust Netzwerk einzurichten, ist zumindest auf administrativer Seite erheblich höher. Ein VPN bringt aber für den Netzzugang des Unternehmens eine höhere Netzlast mit sich, das muss man berücksichtigen.

Worin unterscheiden sich unterschiedliche VPN-Lösungen?

Bei einem konventionellen VPN installiere ich einen Client auf meinem Endgerät. Es gibt aber auch VPN-Angebote, die im Browser laufen, also ohne Client funktionieren. Auch Firefox hat neuerdings so etwas. Dabei geht es allerdings eher darum, dass die Website nicht sieht, wo ich herkomme, wer ich bin und so weiter – es geht also um Anonymisierung, indem das Surf-Verhalten des Nutzers verschleiert wird. Das sind häufig Fälle, bei denen auch die Geolocation eine Rolle spielt, etwa für den Einkauf im Ausland, wenn Angebote national beschränkt sind. Oder auch TV-Sendungen und Streaming-Dienste, die nur im jeweiligen Land empfangen werden können.

Einige DSL-Router haben ebenfalls ein VPN eingebaut. Firmen können Mitarbeiter damit ausstatten, sodass die sich sicher mit dem Unternehmen verbinden können. Das hat den Vorteil, dass auf dem PC im Heimnetz keine weiteren Maßnahmen notwendig sind, beziehungsweise der PC gewechselt werden kann und trotzdem im VPN ist.

Grundsätzlich muss man zwischen sicherem Zugang zur Firma oder Anonymisierung des Datenverkehrs unterscheiden, das sind verschiedene Anwendungszwecke. Bei Letzterem sollte ich wissen, in welchem Land die Server des Anbieters stehen, an die der VPN-Datenverkehr umgeleitet wird. An dieser Stelle kann ein Datenschutzproblem bestehen.

Worauf sollte man bei der Auswahl eines Angebots achten?

Zu den wichtigsten Kriterien zählt die Vertrauenswürdigkeit des Herstellers sowie eine einfache Bedienbarkeit. Von der Sicherheit her sind die Anbieter alle auf einem hohen Niveau. Ansonsten gelten die üblichen Auswahlkriterien, wie bei anderer Software im Unternehmen auch, zum Beispiel der Support des Anbieters. Der Client muss natürlich auf den Plattformen laufen, die in der Firma eingesetzt werden.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top