Für viele Mitarbeiter sieht die morgendliche Arbeitsroutine heute ganz anders aus als früher. Anstatt ins Büro zu gehen, machen sie sich ihren Kaffee, „pendeln“ zu ihrem Heimarbeitsplatz und verbinden sich mit einem Virtual Private Network (VPN), um auf Unternehmensressourcen und -anwendungen zugreifen zu können.

Das VPN ist eine der bewährtesten, wenn auch riskantesten Lösungen für den sicheren Fernzugang. Ich nenne es riskant, denn wenn diese Fernzugänge nicht ordnungsgemäß implementiert und gewartet werden, könnten Angreifer Schwachstellen ausnutzen, um privilegierten Zugang auf sensible Systeme und Daten zu erhalten. Tatsächlich entscheiden sich viele Unternehmen für neue Möglichkeiten zur Vernetzung ihrer Remote-Mitarbeiter, die VPNs oder Agenten überflüssig machen und dabei helfen, Abläufe und Benutzer-Workflows zu optimieren.

Für Unternehmen, die VPNs verwenden, ist es wichtig, dass der VPN-Stack ordnungsgemäß gepatcht und korrekt verschlüsselt wird. Außerdem müssen Traffic-Muster und -Nutzung kontinuierlich überwacht werden. Noch wichtiger ist es sicherzustellen, dass Benutzer, die sich am VPN anmelden, in hohem Maße überprüft werden, die Geräte validiert werden und die damit verbundenen Privilegien und Berechtigungen mit dem Least-Privilege-Prinzip übereinstimmen. – Klingt das nicht nach den Grundprinzipien der Zero-Trust-Sicherheit?

Betrachten wir nun fünf bewährte Verfahren zur Implementierung von VPN im Kontext dieser drei Säulen der Zero-Trust-Sicherheit.

Regel Nr. 1: Benutzer verifizieren: Stellen Sie sicher, dass die VPN-Lösung Multi-Faktor-Authentifizierung (MFA) über RADIUS und/oder SAML unterstützt.

Die meisten VPN-Lösungen unterstützen unterschiedliche Authentifizierungsmechanismen, je nach VPN-Typ (Site-to-Site, Remote-Benutzer). Ein Typus, der MFA unterstützt, ist die Verwendung von RADIUS, bei dem der VPN-Server zu einem RADIUS-Client auf einen RADIUS-Server wird, der wiederum in der Lage ist, eine Multi-Faktor-Authentifizierung durchzuführen. CyberArk Idaptive Connector-Software kann beispielsweise sowohl als RADIUS-Server als auch als AD-Proxy zur Durchführung der AD-Authentifizierung dienen und einen zweiten Faktor in Form eines mobilen Authentifikators, OATH OTP, E-Mail darstellen.

Die folgende Abbildung zeigt die verschiedenen Schritte der RADIUS-basierten Authentifizierung zwischen dem RADIUS-Client und dem CyberArk Idaptive Connector, der unter anderem als RADIUS-Server dient.

Eine weitere Möglichkeit, ein VPN mit einem externen IDP zur Authentifizierung zu integrieren, ist SAML. Dies wird nicht von allen VPN-Anbietern unterstützt, aber wenn es unterstützt wird, muss kein Desktop-VPN-Client auf den Endpoints installiert werden. Unten sehen Sie eine Abbildung, wie dies mit der Global Protect-Lösung von Palo Alto Network funktioniert.

Wenn Sie also nach einer sicheren VPN-Lösung suchen, stellen Sie sich die folgenden Fragen:

1. Unterstützt sie Multi-Faktor-Authentifizierung?
2. Erfordert die Lösung die Installation eines VPN-Clients auf den Endgeräten? Wenn ja, welche Authentifizierungsmechanismen kann sie unterstützen? Einige Mechanismen werden beispielsweise direkt an den Authentifizierungsanbieter (AP) zur Verifizierung vom Mechanismus gesendet, und einige verlangen, dass der Endbenutzer mit dem VPN-Client interagiert, um einen Code einzugeben (z. B. OATH OTP-Code), der dann zur Verifizierung an den AP gesendet wird.
3. Unterstützt die Lösung einen clientlosen VPN-Authentifizierungsmechanismus wie SAML? Dies ist besonders komfortabel, da der IT-Administrator nicht dafür sorgen muss, dass jeder Client mit der richtigen Version des Clients installiert wird und somit ein breiteres Spektrum an Endgeräten sicher nutzen kann. Einige Clients (Ciscos Anyconnect ist ein Beispiel) unterstützen eingebettete Browser, die dann SAML unterstützen können.

Regel Nr. 2: Zugang beschränken: Stellen Sie sicher, dass der RADIUS-Server mit bestimmten Attributen arbeiten kann, um den Zugang und die Autorisierung einzuschränken.

Die herstellerspezifischen Attribute sind notwendig, wenn Sie Benutzern Berechtigungen für mehr als einen Zugangstyp erteilen möchten. Beispielsweise kann dem Benutzer basierend auf der Benutzerrolle eine bestimmte Berechtigungsstufe zugewiesen werden, wodurch der Zugang eingeschränkt wird. Die VSAs können in Kombination mit RADIUS-definierten Attributen verwendet werden. Dieser Link zeigt beispielsweise die VSAs von Ciscos.

Regel Nr. 3: Benutzer verifizieren: Der Authentifizierungsanbieter (in unserem Fall CyberArk Idaptive) ist in der Lage, eine heterogene VPN-Umgebung zu unterstützen.

Oft kann ein Unternehmen mehrere VPN-Anbieter mit einer Kombination aus Protokollunterstützung für Authentifizierung und Zugangskontrolle haben. Der RADIUS-Server/IDP muss verschiedene Authentifizierungsprofile unterstützen, z. B. für die verschiedenen VPN-Server (RADIUS-Clients). Wenn beispielsweise von einem VPN-Server aus auf sensiblere Ressourcen zugegriffen wird, kann ein Authentifizierungsprofil mit stärkerer Authentifizierung angewendet werden als bei einem anderen VPN-Server mit weniger kritischen Ressourcen.

Regel Nr. 4: Intelligente Zugangsbeschränkung: Die IDP-Lösung ist in der Lage, eine adaptive, risikobewusste Lösung anzubieten.

Selbst für einen einzelnen VPN-Server muss der Authentifizierungsanbieter in der Lage sein, Anomalien des Benutzerverhaltens zu erkennen und je nach Risiko des Benutzers unterschiedliche Voraussetzungen der Authentifizierung vorsehen. Dies ist besonders im aktuellen Szenario wichtig, in dem die meisten, wenn nicht sogar fast alle Mitarbeiter in absehbarer Zukunft aus der Ferne arbeiten werden.

Regel Nr. 5: Validierung des Geräts: Das Endgerät selbst ist durch MFA und bedingten Zugang geschützt.

Da die Benutzer Remote-Zugang haben und möglicherweise auch ihre eigenen Geräte (BYOD) verwenden, ist es wichtig, nur Benutzern Zugang zu gewähren, die von MFA im Rahmen der Anmeldung am Gerät selbst verifiziert wurden.

Weitere Informationen zum Schutz Ihrer Remote-Mitarbeiter finden Sie in unserem Risk Distancing Resource Center.

Denken Sie darüber nach. Viele Apps, die Sie auf Ihrem Notebook verwenden, verlangen keine Anmeldedaten, insbesondere wenn Ihr Unternehmen keine strengen Richtlinien für Multi-Faktor-Authentifizierung (MFA) hat. Ihre App-Passwörter können aus Gründen der Benutzerfreundlichkeit in Ihrem Browser zwischengespeichert sein, was sie aber auch zu einem einfachen Ziel für den Diebstahl von Anmeldedaten macht. Wenn Ihr Unternehmen die zertifikatsbasierte Authentifizierung oder iWA als benutzerfreundliche Praxis einsetzt, wären die meisten Apps ohne Authentifizierungsprobleme direkt von einem vertrauenswürdigen Gerät aus zugänglich. Wenn man bedenkt, dass selbst ein mittelständisches Unternehmen mehr als 100 SaaS-Anwendungen nutzen kann – stellen Sie sich vor, wie viel Schaden man mit dem Zugang auf einige dieser Anwendungen anrichten kann.

Weil sich die ganze Welt in Richtung Cloud-sSeicher bewegt, speichern manche Mitarbeiter gerne Kopien wichtiger, sensibler Dateien auf One Drive, Box oder Dropbox. Mitarbeiter, die ständig unterwegs sind, wie z. B. Vertriebskollegen, speichern wichtige Daten gerne lokal, da sie möglicherweise nicht immer Zugriff auf die Cloud haben. Solche Dateien können Leads, Finanzdaten, Daten von Partnerunternehmen, Codes, Geschäftsgeheimnisse usw. enthalten.  Im schlimmsten Fall hat ein unvorsichtiger Mitarbeiter möglicherweise seine Passwörter in einer Tabelle gespeichert.

Neben sensiblen Unternehmensdaten kann ein durchschnittliches Notebook auch Dateien mit personenbezogenen Daten des Eigentümers enthalten, wie Anschrift, Telefonnummer, E-Mail, SSN, Bankkonten- und Kreditkartendaten. In den falschen Händen können diese wichtigen Finanzdaten für einen Identitätsdiebstahl verwendet werden.

Darüber hinaus befinden sich E-Mail-Clients wie Outlook in der Regel in einem „immer offenen“ Zustand, wodurch sie gefährdet werden. E-Mail-Adressen von Mitarbeitern können verwendet werden, um Passwörter für verschiedene Dienste zurückzusetzen, und die E-Mails selbst enthalten häufig sensible Daten des Arbeitgebers. Mithilfe von Social Engineering können sich Angreifer über eine Mitarbeiter-E-Mail sensible Daten über andere Mitarbeiter verschaffen.

Kurz gesagt könnte es katastrophal sein, wenn auch nur einer Ihrer Mitarbeiter sein Notebook verliert. Ohne strenge Passwortrichtlinien für Unternehmen stehen die Chancen gut, dass das Passwort schwach ist und nicht einmal einem grundlegenden Brute-Force-Angriff standhält.

Böswillige Insider zielen auch auf ungesicherte Notebooks, um von Kollegen oder leitenden Angestellten wichtige Daten zu stehlen oder unberechtigt privilegierten Zugang auf Unternehmenssysteme und Daten zu erhalten. Insider-Bedrohungen nehmen immer mehr zu und können besonders gefährlich sein, da sie Wochen, Monate oder sogar über Jahre unentdeckt bleiben können.

Daher ist es absolut notwendig, dass Arbeits- (und sogar persönliche) Notebooks mit starker MFA auf dem Boot-Bildschirm und Sperrbildschirm geschützt sind. Andernfalls würde eine gefährliche Lücke in der digitalen Sicherheit Ihres Unternehmens entstehen.

Um diesen Problempunkt anzugehen, unterstützen CyberArk Idaptive Cloud Agents starke MFA für Boot-Bildschirme und Sperrbildschirme von Windows- und macOS-Geräten mit Funktionen wie:

• Risikobasierte adaptive MFA
• Unterstützung von MFA für RDP/RDS-Zugang auf Windows-Server
• Zurücksetzen des Passworts via Self-Service, basierend auf Authentifizierungsproblemen zur Minimierung von IT-Support und Kosten
• MFA für Offline-Geräte mit der Möglichkeit, Windows- und macOS-Geräte zu sperren und zurückzusetzen, wenn sie gestohlen werden
• Flexible Authentifizierungsfaktoren wie OTP, SMS, E-Mail, Mobile Push, FIDO2-Schlüssel (wie Yubikey) usw.

Endgeräte bergen erhebliche Sicherheitsrisiken für die heutigen digitalen Unternehmen – insbesondere bei der derzeit hohen Anzahl an Mitarbeitern, die aus der Ferne arbeiten. Versierte Angreifer können Schwachstellen von Endgeräten ausnutzen, um an vertrauliche Daten zu gelangen oder wichtige IT-Dienste zu stören. Dadurch drohen Umsatzeinbußen. Indem Sie einen umfassenden Ansatz für Endgeräte-Sicherheit verfolgen und eine starke Mischung aus Sicherheitskontrollen von MFA bis Privileged-Access-Management implementieren, können Sie Ihre gesamte Sicherheitsposition stärken und das Risiko reduzieren.

Weitere Informationen zum Schutz von Remote-Benutzern, Endgeräten und wichtigen Ressourcen finden Sie in unserem Risk Distancing Resource Center.

Der physische Standort der Nutzer spielt bei der Art und Weise, wie wir Geschäfte machen, immer weniger eine Rolle. Eine Studie aus dem Jahr 2019 hat gezeigt, dass 62 % der Befragten mindestens teilweise von zu Hause aus arbeiten. In derselben Studie gaben 82 % derjenigen, die zumindest teilweise aus der Ferne arbeiteten, an, dass sie beabsichtigen, dies auch weiterhin oder sogar noch mehr zu tun. Darüber hinaus wollten mehr als die Hälfte (51 %) derjenigen, die nicht aus dem Homeoffice arbeiten, gerne damit anfangen.

Zu berücksichtigen ist, dass diese Zahlen nicht die Anzahl der externen Dienstleister beinhalten, die wie interne Mitarbeiter wesentliche Aufgaben für das Unternehmen ausführen.  Diese Benutzer benötigen häufig den gleichen Zugriff auf wichtige Systeme wie Mitarbeiter. Natürlich bringt diese größere Flexibilität für interne und externe Mitarbeiter auch größere Sicherheitsrisiken mit sich. Um Remote-Zugang zu gewähren, setzen Unternehmen oft auf unsichere und ineffiziente Methoden, wobei sie in der Regel auf VPNs für einen sicheren Zugang vertrauen.

Allerdings benötigen nicht alle Remote-Mitarbeiter die gleiche Berechtigungen.  Einige benötigen möglicherweise nur Zugriff auf E-Mails und einzelne weniger kritische Geschäftsanwendungen, während andere möglicherweise Zugriff auf wichtige und sehr sensible Geschäftsanwendungen wie Gehaltsabrechnung, Personalwesen sowie Vertriebs- und Marketingdaten benötigen. Externe IT-Dienstleister, die ausgelagerten Helpdesk-Support leisten, benötigen denselben breiten Zugang wie der interne IT-Support.

Heute werden wir uns die fünf häufigsten Arten von Remote-Mitarbeitern anschauen, die häufig höhere Berechtigungen für Systeme benötigen, und darüber sprechen, wie Privileged Access Management (PAM) mit CyberArk Alero Unternehmen dabei helfen kann, sicheren und einfachen Zugang auf kritische Systeme zu gewähren, die von CyberArk verwaltet werden.

1. Remote-Mitarbeiter in den Bereichen IT oder Security

Zu diesen Benutzern gehören Personen wie Domain Admins, Netzwerkadministratoren und andere, die in der Regel von innen auf kritische interne Systeme zugreifen, dies aber jetzt aus der Ferne tun müssen.  Wenn IT- oder Security-Arbeiten von außerhalb der Büros stattfinden, wird Sand ins Getriebe der Sicherheitsadministratoren geschüttet.

Es ist von entscheidender Bedeutung, die genauen Zugangsebenen zu ermitteln, die von Remote-IT- und Security-Mitarbeitern benötigt werden, und nur geringste notwendige Privilegien zu vergeben, um sicherzustellen, dass diese Benutzer nur auf das zugreifen, was sie benötigen.  Herkömmliche Lösungen wie VPNs  können hierfür nicht den erforderlichen granularen Zugang auf Anwendungsebene bieten. Die Zuweisung eines solchen granularen Zugangs ist wichtig, weil so verhindert wird, dass Windows-Administratoren Zugang auf Root-Konten haben.

Die Integration von Sicherheitstools in den Verzeichnisdienst zur Bereitstellung eines automatisierten, spezifischen Zugriffs muss im Voraus eingerichtet werden, damit bei einem ungeplanten Anstieg der Remote-Arbeit keine Lücke in den IT- oder Sicherheitsfunktionen aufgerissen wird und gleichzeitig sichere Bedingungen für das Arbeiten von zu Hause aus geschaffen werden.

2. Drittanbieter von Hard- und Software

Drittanbieter für Hard- und Software, einschließlich IT-Dienstleister und outgesourcter Helpdesk-Support, liefern häufig Remote-Dienste und -Wartungen, die erhöhte Privilegien erfordern. Solche Anbieter benötigen in der Regel Administratorzugang, um ihre Aufgaben auf beliebigen Windows- oder Linux-Servern oder -Datenbanken ausführen zu können, und werden hinzugezogen, um Patches, System-Updates und mehr durchzuführen.

Sie fungieren im Wesentlichen als Administratoren auf Domänenebene und können daher bei unzureichender Überwachung und Bereitstellung eine Gefahr für die Systemumgebung darstellen. Die Identifizierung dieser Benutzer und die Überwachung ihrer individuellen Zugangsebenen erfolgt jedoch in der Regel auf Einzelfall-Basis und ist damit für den Admin mit großem Zeitaufwand verbunden.  Es ist wichtig, sicherzustellen, dass alle diese Benutzer identifiziert und der richtige Zugang bereitgestellt wird.

3. Unternehmen der Lieferkette Wenn die Produktion oder Lieferung von bestimmten Waren nicht zum Kerngeschäft eines Unternehmens gehört, ist es üblich, spezialisierte Lieferanten in die Lieferkette einzubinden, das Benötigte zu liefern.

Diese Remote-Benutzer haben oft Zugang auf das Netzwerk, um Lagerbestände im Einzelhandel oder in Fertigungsunternehmen zu überwachen. Sie haben möglicherweise auch Zugang auf sensible Daten in Bezug auf prognostizierte Leistung, Qualitätskontrolle und andere kritische Systeme, die sich auf industrielle Steuerungssysteme und Betriebstechnologien (ICS/OT) oder Lieferkettenprozesse vor Ort beziehen könnten.

An diese Dienstleister denken Sie vielleicht nicht als Erstes, weil sie nicht als Administratoren qualifiziert sind, aber diese Lieferanten haben Zugriffsmöglichkeiten, die von böswilligen Angreifern auf gefährliche Weise genutzt werden könnten oder aufgrund eines unbeabsichtigten internen Missbrauchs zu einem ernsthaften Problem werden könnten.

4. Dienstleistungsunternehmen

Dienstleistungsunternehmen, die Abteilungsaufgaben wie Recht, PR und Gehaltsabrechnung ausführen, benötigen möglicherweise Zugang auf bestimmte Geschäftsanwendungen, um effizient tätig zu sein. Es ist wichtig, diese Arten von Benutzern zu identifizieren und das Least-Privilege-Prinzip durchzusetzen, damit sie keinen Zugang außerhalb ihres Aufgabenbereichs erhalten oder länger Zugang behalten, als sie es benötigen. Es wäre wenig sinnvoll, wenn ein Rechtsberater auch Zugang zu Lohn- und Gehaltsdaten hätte, was nur ein erhöhtes potenzielles Risiko mit sich bringen würde.

Geschäftskritische Anwendungen wie Customer Relationship Management (CRM), Enterprise Resource Planning (ERP), Cloud-Konsolen und vieles mehr sind wichtig für die Geschäftskontinuität und den Betrieb, aber in den falschen Händen können die in diesen Anwendungen gespeicherten Daten sehr gefährlich sein. Die genaue Feststellung, wer Zugang auf diese Anwendungen hat, ist sehr wichtig, und die Minimierung der Möglichkeit, sich lateral von einer Geschäftsanwendung zur nächsten zu bewegen, kann den Unterschied zwischen dem normalen Geschäftsbetrieb und einer schwerwiegenden Datenschutzverletzung ausmachen.

5. Externe Berater

Geschäfts- und IT-Berater benötigen manchmal privilegierten Zugang, um in den Projekten, zu denen sie vertraglich verpflichtet sind, produktiv zu sein, sollten diesen Zugang jedoch nur während des Vertragszeitraums haben. Solche externen Dritten sind von Natur aus nur vorübergehend tätig und benötigen häufig nur tage-, wochen- oder monatelangen Zugang, während sie ihre Aufgaben erfüllen. Innerhalb dieses Zeitrahmens erhalten externe Berater jedoch oft einen weitreichenden Zugang zu bestimmten Geschäftsbereichen.

Die frühzeitige Identifizierung, wer diese Berater sind und welche Art von Zugang sie benötigen (und auf was und wie lange) trägt dazu bei, Risiken zu reduzieren und das eigene Unternehmen zu schützen.  Darüber hinaus sollte der Zugang dieser externen Berater streng überwacht und gesichert werden, während sie aktiv sind, und ihre Berechtigungen sollten automatisch entzogen werden, sobald ihre Tätigkeit für das Unternehmen beendet ist.

Nehmen Sie nur dieses Beispiel: Ein Berater wird für ein dreiwöchiges Projekt hinzugezogen, bekommt schlechtes Feedback und fühlt sich außerdem hinsichtlich seines Honorars benachteiligt.  Wenn ihm nicht automatisch die Berechtigung entzogen wird, könnte er möglicherweise nach Vertragsende größere Zugangsprivilegien behalten und sie aus Rache nutzen, um irreparablen Schaden für das Unternehmen zu verursachen. Dies mag wie ein unwahrscheinliches Szenario erscheinen, ist aber nur ein Beispiel für den Schaden, den ein erhöhter Zugang verursachen kann, wenn er nicht regelmäßig überwacht und aktualisiert wird.

Da sich immer mehr Unternehmen im Rahmen ihrer täglichen Geschäftsabläufe auf Remote-Benutzer stützen, ist es wichtig, dass sie die verschiedenen Benutzertypen verstehen, die sich außerhalb ihrer Büros in ihren Systemen anmelden. Und was noch wichtiger ist: Verwaltung, Überwachung und Sicherung dieses Zugangs.

CyberArk Alero ist ein SaaS-Angebot, das Unternehmen dabei unterstützt, Remote-Benutzern, die auf von CyberArk verwaltete kritische Systeme zugreifen, sicheren Zugang zu gewähren und zu widerrufen. Es kann einfach und ohne VPNs, Agenten oder Passwörter für beliebig viele Remote-Benutzer bereitgestellt werden.

Bei Impact Live 2020 haben wir viel Zeit in die Untersuchung verschiedener Strategien zur Aufrechterhaltung einer starken Cybersicherheit im Zeitalter der Remote-Arbeit investiert. Die Benutzer von heute brauchen Flexibilität, um ihre Arbeit effizient zu erledigen und jederzeit und an jedem Ort auf Unternehmenssysteme zugreifen zu können. Diese neue Arbeitsweise bringt jedoch neue Herausforderungen für die Sicherheit mit sich – und diese Herausforderungen erfordern moderne Lösungen.

Dies sind sieben Best Practices, die Remote-Mitarbeitern dabei helfen, produktiv und sicher zu bleiben, ohne den Betrieb oder etablierte Geschäftsproszesse zu beeinträchtigen.

1. Single Sign-On (SSO) und Multi-Factor Authentication (MFA) bereitstellen.) Bei SSO nutzen die Unternehmen für die Verwaltung der Benutzerauthentifizierung und die Gewährung des Zugriffs auf Ressourcen einen zentralen Identitätsanbieter, so dass pro Benutzer nur ein Satz von Anmeldedaten erforderlich ist. Auf diese Weise können Unternehmen die Sicherheit durch stärkere Passwortrichtlinien verbessern, die Produktivität dank des vereinfachten Zugriffs auf alle Ressourcen, die Mitarbeiter für ihre Arbeit benötigen, steigern und es den IT-Abteilungen erleichtern, Compliance-Anforderungen rund um den Zugriff zu erfüllen. MFA ergänzt die Unternehmensressourcen um eine zusätzliche Schutzschicht. MFA stellt sicher, dass Benutzer genau die sind, die sie behaupten zu sein, indem von ihnen verlangt wird, dass sie mehrere Authentifizierungen bestehen. Beispielsweise können Benutzer aufgefordert werden, etwas zu nennen, das sie kennen – wie ein Passwort – und etwas, das sie haben – wie einen einmaligen Code, der an ihre Mobilgeräte gesendet wird. Mit MFA können Sie den Zugriff auf Anwendungen, Workstations, virtuelle Desktops, VPNs und mehr sichern. ​Bei Benutzern, die sich nicht direkt von innen mit dem Unternehmensnetzwerk verbinden, ist MFA unerlässlich, um die Verwendung kompromittierter Anmeldedaten für den Zugriff auf geschützte Ressourcen zu verhindern.
2. Implementieren Sie Least-Privilege-Prinzipien auf Endgeräten, um sensible Daten und Anwendungen zu schützen. Endbenutzern und Administratoren nur den absolut erforderlichen Mindestumfang an privilegiertem Zugriff zu gewähren (auch bekannt als Least-Privilege-Prinzip), verringert die Angriffsfläche drastisch. Eine Möglichkeit, dies zu erreichen, besteht darin, unnötige lokale Administratorrechte von Workstations zu entfernen, um zu verhindern, dass Endgeräte kompromittiert werden und laterale Bewegungen zu ermöglichen. Dadurch wird das Risiko verringert, dass Malware oder Ransomware in die eigene Umgebung gelangt, die sich dann leicht verbreiten kann. ​
3. Blockieren Sie die RDP-Exposition von Arbeitsplatzrechnern. Die Exposition gegenüber Remote Desktop Protocol (RDP) ist der Ursprung zahlreicher schwerwiegender Datenschutzverletzungen – insbesondere seit die Mitarbeiter zunehmend remote arbeiten. Das Isolieren von Sitzungen verringert das Risiko, dass Endgeräte – notorisch die schwächsten Verbindungen des Netzwerkzugriffs – kritische Systeme exponieren. Darüber hinaus hilft das Layering bei der automatischen Aufzeichnung jeder Sitzung mit in Echtzeit analysierten Verhaltensweisen, verdächtiges Verhalten schnell zu erkennen und zu korrigieren, wenn und wann es auftritt.  ​
4. Reduzieren Sie die Gesamtabhängigkeit von VPNs. Der Anstieg der Remote-Arbeit führte zu einer dramatischen Zunahme der VPN-Nutzung. In einer aktuellen Umfrage von CyberArk gaben 63 % der Mitarbeiter an, VPNs für den Zugriff auf kritische Geschäftssysteme zu verwenden. Angreifer nutzen seit langem gezielt VPNs, da sie Zugang zum gesamten internen Netzwerk gewähren. VPNs sind eindeutig nicht auf den granularen Zugang zu wichtigen Systemen und Anwendungen ausgelegt und ihre korrekte Einrichtung kann viel Zeit in Anspruch nehmen. Diese Tools erfordern oft so viel manuelle Arbeit bei der Einrichtung und Operationalisierung, dass darüber das eigentlichen Ziel von Sicherheitsteams – die Verringerung des Risikos – aus den Augen verloren wird.
5. Führen Sie Richtlinien ein, um Anwendungen zu erlauben, zu blockieren oder einzuschränken. Im Zeitalter der Remote-Arbeit nehmen unnötige Anrufe beim Helpdesk enorm zu. Mit Richtlinien zum Erlauben/Blockieren/Beschränken des Zugangs können Administratoren Remote-Benutzern leichter den Zugriff auf die Systeme ermöglichen, die sie für ihre Aufgaben benötigen. Eine weitere Möglichkeit, Helpdesk-Anfragen zu reduzieren, besteht darin, Benutzern den Zugriff auf vertrauenswürdige Apps zu ermöglichen, ohne den Helpdesk anrufen zu müssen. Dadurch werden IT-Ressourcen freigesetzt, um sich auf strategischere Tätigkeiten zu konzentrieren und gleichzeitig den Endbenutzern dabei zu helfen, ihre Arbeit effizienter und effektiver zu erledigen.  ​
6. Setzen Sie Self-Service ein, wo dies möglich ist. Wie oben bereits dargestellt kann ein Unternehmen viel tun, um unnötige Helpdesk-Anrufe zu reduzieren, was zu einer enormen Zeit- und Arbeitsersparnis für alle führt. Durch die Einrichtung des MFA-geschützten Self-Service-Passworts und Kontoentsperrung können Endbenutzer ihre Unternehmenspasswörter selbst zurücksetzen und ihre eigenen Konten entsperren. Self-Service-Anwendungen und Serverzugriffsanfragen ermöglichen es Endbenutzern und Remote-Anbietern außerdem, Zugriffsanfragen für Anwendungen, Server und andere kritische interne Systeme zu stellen, so dass IT und Management den Zugriff genehmigen können, ohne Helpdesk-Tickets einzureichen. Self-Service-MFA-Registrierung/-Ersatz ermöglicht es Endbenutzern, neue Authentifikatoren anzumelden, Passwörter zu ersetzen und zurückzusetzen. Diese Funktionen bieten Endbenutzern auch die Möglichkeit, verlorene oder gestohlene Anmeldedaten zu ersetzen, ohne Tickets einreichen zu müssen. Schließlich bietet der Self-Service auch die Möglichkeit, den Zugriff auf Anwendungen oder Server anzufordern, ohne den Helpdesk zu belasten.
7. Just-in-Time-Zugriff für externe Benutzer. Die zunehmende Mobilität der eigenen Mitarbeiter, hat sich auch deutlich auf die Anzahl der externen Benutzer ausgewirkt, auf die sich Unternehmen verlassen. Derartige Benutzer stellen neue Herausforderungen dar, da sie nicht Teil des Unternehmensverzeichnisses sind, was es erschwert, sie zu verwalten und dabei den Überblick zu behalten. Sie können Ihre Angriffsfläche drastisch reduzieren, indem Sie mit einem einmaligen Onboarding-Prozess Lösungen für die automatische Bereitstellung und Deaktivierung des Zugangs einführen. Auf diese Weise erhalten Anbieter Just-in-Time-Zugriff – genau so lange, wie sie ihn benötigen – ohne manuelle Arbeit von Sicherheits- oder IT-Administratoren, um den Zugriff auf die Angriffsfläche bereitzustellen und zu widerrufen.

Sicherheit und Komfort in Einklang zu bringen, ist ein Kampf für Unternehmen im Zeitalter der Remote-Arbeit. Da viele Mitarbeiter aus der Ferne arbeiten und kein Ende in Sicht ist, ist eine Antwort auf dieses Dilemma heute wichtiger denn je. Durch Befolgen dieser Best Practices können Unternehmen ihren Remote-Mitarbeitern sicheren Zugriff gewähren, der Produktivität und Geschäftstätigkeit nicht beeinträchtigt.

Sie hatten keine Zeit für Impact Live? Kein Problem. Melden Sie sich für Impact Live on Demand an, um alle Sessions nach Belieben anzusehen.