Unternehmensnetzwerke effizient schützen
»Privileged Access Security ist sicherer als VPN«
VPN gilt als Standard für den Fernzugriff externer Nutzer, steht jedoch zunehmend im Fokus von Angreifern. Sicherheitsbehörden warnen vor kompromittierten Konten und ungepatchten Systemen als Einfallstore in Unternehmensnetze. Eine deutlich sicherere Alternative bietet Privileged Access Security.
Autor: Olaf Milde, Manager Solutions Engineering Central Europe, Imprivata
VPNs wurden lange Zeit als der gängige Standard für den Fernzugriff von externen Akteuren wie Dienstleistern oder freien Mitarbeitern auf IT-Netzwerke betrachtet. Heutzutage jedoch sind sie häufig der Ausgangspunkt für Cyberangriffe. Eine modernere Lösung für den sicheren Zugang Externer nennt sich Privileged Access Security – kurz PAS. Diese Technologie basiert auf den Konzepten des Privileged Access Management (PAM), um sowohl den Zugriff als auch die Verwaltung und Sicherung externer Anwender zu optimieren. PAS-Systeme sind äußerst anpassungsfähig und bieten eine erhöhte Sicherheit, weil sie sich individuell auf spezifische Nutzer und Szenarien abstimmen lassen. Außerdem ermöglichen sie eine teilweise oder vollständige Automatisierung zahlreicher Prozesse, die mit Privileged-Access-Lösungen verbunden sind, was wiederum die IT- Sicherheit insgesamt verbessert und die IT-Abteilung merklich entlastet.
Einen konkreten, öffentlich detailliert dokumentierten Fall in Deutschland, bei dem Angreifer explizit über ein Unternehmens-VPN in ein Industrieunternehmen eingedrungen sind, lässt sich in frei verfügbaren Quellen schwierig finden. Viele Berichte nennen deshalb nur allgemeine Branchenbeispiele.
Sicherheitsexperten und das BSI weisen allerdings regelmäßig darauf hin, dass industriell genutzte VPN-Zugänge für Fernwartung und Homeoffice zu den primären Einstiegspunkten für Angreifer in Unternehmensnetze gehören, auch in Industrieunternehmen. Praxisberichte beschreiben, dass Angreifer kompromittierte VPN-Konten oder ungepatchte VPN-Appliances nutzen, um zunächst einen Fuß ins Netz zu bekommen. Anschließend bewegen sie sich seitlich durch das Netzwerk, weiten ihre Berechtigungen aus und verschlüsseln oder stehlen Daten.
Für Industrie-4.0-Szenarien, bei denen Maschinen über VPN-Router oder IIoT-Gateways ferngewartet werden, wird explizit davor gewarnt, dass falsch segmentierte oder unzureichend gehärtete VPN-Zugänge direkten Zugriff auf Produktionsanlagen eröffnen können. Das macht sie zu attraktiven Zielen für Ransomware-Gruppen.
Diese Szenarien zeigen deutlich: Um die Gefahren durch Cyberangriffe effektiv zu reduzieren, ist es unerlässlich, Angriffsoberflächen zu verringern oder vollständig zu eliminieren. Ein vollständiger Schutz kann jedoch nie gewährleistet werden. Früher galten Virtuelle Private Netzwerke (VPNs) als das ultimative Mittel für den sicheren Zugriff von Externen auf interne IT-Strukturen, doch weisen sie mittlerweile Schwachstellen auf, die solche Angriffe begünstigen können. Unternehmen, die Dritten Zugang zu ihren IT-Systemen gewähren, sehen sich daher mit erheblichen Herausforderungen konfrontiert.
Ein echter Albtraum: VPNs verwalten
Wer einmal einen VPN-Zugang erhalten hat, kann diesen jederzeit unkontrolliert nutzen. Dieser Freifahrtschein ist eine Einladung an Cyberkriminelle, denn es ist schwer festzustellen, ob jemand illegal über ein „erobertes“ VPN in das Firmennetz eindringt. Sie können sich dort erweiterte Rechte beschaffen und damit Vollzugriff auf alle Systeme erhalten sowie Dateien hoch- und runterladen. Das heißt, sie können entweder sensible Informationen verändern, stehlen oder Tools für Attacken installieren.
Alternativ können sogenannte Jump-Hosts betrieben werden, über die der sichere Zugang auf interne Ressourcen gewährt wird. Wartung und Betrieb sind jedoch aufwändig und die Sicherheitsvorkehrungen wenig flexibel. Wer dort einmal Zugang hat, dem stehen ebenfalls die Tore in das IT-Netzwerk der kompletten Organisation offen.
Zudem erfordern immer mehr IoT-Geräte sichere Wartungszugänge, z.B. Telefonanlagen, Haustechnik, Medizingeräte in Krankenhäusern, Maschinensteuerungen usw. Die Zahl der potenziellen Einfallschneisen für Cyberkriminelle wächst weiter, während die zuverlässige Kontrolle von Tausenden von VPN-Zugängen in der Praxis kaum zu schaffen ist. Denn es fehlt meist an Ressourcen, um einmal gewährte VPN-Zugänge zu verwalten. Oftmals werden VPN-Zugriffe aus aktuellem Anlass schnell eingerichtet, Zugriffe nicht eingeschränkt und zu viele Ports geöffnet. Im Alltagsgeschäft wird oft nach Abschluss von temporären Arbeiten vergessen, die Zugriffsrechte einzuschränken oder ganz zu entziehen. Und schon ist das Sicherheitsrisiko da.
Privileged Access Security: Sicher, flexibel und maßgeschneidert
Privileged Access Security (PAS) ist das Konzept, das den Herausforderungen begegnet, denen sich Betreiber von VPNs gegenübersehen. Es bietet flexible und hochsichere Lösungen, die das Zeug dazu haben, VPNs zu ersetzen.
Vendor Privileged Access Management (VPAM) kann beispielsweise an Stelle von VPN-Zugängen eingesetzt und besser kontrolliert sowie viel granularer als VPN für den jeweiligen Nutzer eingerichtet werden, um damit die IT-Sicherheit deutlich zu erhöhen. So lassen sich beispielsweise mehrere Sicherheitsstufen einziehen. Die Verbindung kann eingeschränkt werden, etwa auf Port 443. Die gesamte Kommunikation kann über diesen Port stattfinden, so dass keine weiteren Ports offen sein müssen. Nach einer Anmeldung kann zusätzlich die Genehmigung eines Zugriffs verlangt werden. Nach Arbeiten an IT-Systemen können Passwörter automatisch erneuert werden, um zu verhindern, dass ausgespähte Passwörter oder solche, die aus dem Arbeitsspeicher extrahiert wurden, noch genutzt werden können. Datentransfer kann generell ausgeschlossen oder nur mit Einschränkungen erlaubt werden, z.B. dass ein Datei-Upload einer expliziten Genehmigung bedarf.
Mit PAS-Lösungen lassen sich Zero-Trust-Architekturen umsetzen. So können Wartungs-Accounts kurzfristig erst zum Zeitpunkt der Wartung angelegt und umgehend danach teilautomatisiert gelöscht werden. Wer die Infrastruktur dafür nicht selbst vorhalten will, kann VPAM als SaaS-Lösung bei Bedarf aus der Cloud beziehen.
Fernwartung und Logs? Gibt's dazu!
Das Konzept der Privileged Access Security bietet enorme Flexibilität, um Fernzugriffe von Externen abzusichern und gleichzeitig einfacher zu machen. Dienstleister mit vielen Kunden können selbst ein sogenanntes Customer Privileged Access Management (CPAM) aufsetzen. Sie erhalten damit eine Alternative zu gängigen Fernwartungstools. Der Aufwand, neue Wartungskunden anzulegen, ist jedoch mit CPAM geringer.
Grundsätzlich wird bei Privileged-Access-Management-Lösungen immer eine Dokumentation mitgeführt. Das heißt: Es ist zu jederzeit nachvollziehbar, wer, wann, welche Änderungen am System vorgenommen hat. So lässt sich beispielsweise feststellen, von welchem Mitarbeiter zu welcher Zeit eine Software oder eine Maschine mit welchen Parametern eingestellt wurde.
Bei der Fernwartung von CTs, MRTs oder Sterilisatoren in Krankenhäusern kann mit VPAM trotz lokal installierter Steuerungssoftware direkt auf die Steueranlage des jeweiligen Geräts zugegriffen werden. Damit wird es überflüssig, jedes Gerät, in dem die Steuerung umprogrammiert werden muss, zu besuchen. Dieses Szenario gilt auch für andere industrielle Großanlagen, etwa Windräder im Offshore-Betrieb, und kann zu erheblichen Ressourceneinsparungen führen, ohne dass das Risiko einer VPN-Kaperung besteht.
Multifaktorauthentifizierung: Doppelt hält besser
PAS-Lösungen, einschließlich VPAM und CPAM, erlauben es, Verfahren vorzugeben, wie sich Externe authentifizieren müssen. Hier kann zwischen Token, Biometrie (Fingerabdruck oder Gesichtserkennung), Windows Hello oder per Mail oder SMS versandter Codes ausgewählt werden. Es ist auch eine Mehrfaktorauthentifizierung auswählbar, die über zwei Faktoren hinaus geht. Zudem kann eingestellt werden, welche Aktionen dem Externen erlaubt sind, etwa in puncto Dateitransfer oder Einsatz von Remote Desktop Protocol (RDP). Bei Bedarf können sogar Tastatureingaben und Bildschirmansichten aufgezeichnet werden, um Änderungen nachvollziehen zu können.
Wird ein VPAM in der Cloud betrieben, können sich Hersteller sogar selbst für Fernzugriffe registrieren. Viele große Dienstleister, wie General Electric, Philips oder Siemens, sind sogar bereits voreingestellt und müssen nur aktiviert werden. Wenn auf IoT-Geräte oder -Maschinen zugegriffen werden soll, die mittels lokal installierter Programme angesprochen werden müssen, kann über https-Verbindungen „durchgetunnelt“ werden.
Tschüss VPN – willkommen PAS
Das Zeitalter des massenweisen Einsatzes von VPN zur Lösung aller Herausforderungen des Fernzugriffs Externer neigt sich dem Ende entgegen. Der Trend geht zu Web-Plattformen, an denen sich Externe für den Zugriff anmelden und authentifizieren müssen. Die Prüfung von Zertifikaten ist wesentlich sicherer als die Eingabe von Benutzername und Kennwort über die Tastatur. Der Trend geht dabei zu passwortlosen Verfahren über Gesichtserkennung, Passkeys oder den offenen Standard für passwortlose Authentifizierung Fast Identity Online, abgekürzt FIDO2. Die Notwendigkeit, zu handeln, liegt auf der Hand, denn die Bedrohungslage explodiert, Cyberkriminelle schlagen immer härter und häufiger zu. IT-Abteilungen, CISOs, CIOs und Geschäftsführer stehen unter massivem Druck, sich gegen die wachsende Flut neuer Angriffswellen zu schützen. NIS2 wird zum Gamechanger: Unternehmensleiter haften künftig persönlich mit ihrem Privatvermögen, wenn nachgewiesen wird, dass sie IT-Risiken nicht ernst genug genommen haben. In diesem hochbrisanten Umfeld vollzieht sich ein fundamentaler Wandel: Veraltete VPN-Technologien werden zunehmend zum Einfallstor für Angreifer. Der Trend geht klar in Richtung moderner Privileged-Access-Security-Lösungen – eine unverzichtbare Schutzmaßnahme in Zeiten, in denen jeder Klick über Erfolg oder Katastrophe entscheiden kann.
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
