Remote Work, Cloud und Sicherheit

Remote Work und Home Office sind sicherheitssensitive Themen. Besonders auf die Sicherheit der Arbeit mit der Cloud aus dem heimischen Büro heraus gibt es mehrere Sichtweisen und damit verschiedene Lösungsansätze.
27. Februar 2021

     

Spätestens seit dem Jahr 2020 ist klar: Remote Work wird sich als normale Arbeitesweise durchsetzen. Trotz des wachsenden Trends sehen viele Unternehmen aber immer noch eine Herkulesaufgabe darin, erfolgreiche Remote-Work-Konzepte zu entwickeln. Dass Teams aus dem Home Office möglichst effizient zusammenarbeiten können, bedingt eine Strategie. Grundsätzlich existieren dabei folgende drei Arten von Remote Teams:

1. Fully Remote Teams
Wenn ein Unternehmen keine zentralen Büros hat und jeder von zu Hause, unterwegs oder von Büros aus arbeitet, handelt es sich um ein vollständig dezentrales Team. Dieses Setup kann Herausforderungen mit sich bringen, aber es bietet auch Vorteile. Denn Remote First zu sein bedeutet, dass Prozesse und Technologien geschaffen werden können, die die Bedürfnisse von Remote-Mitarbeitern stillen. Es gibt bereits viele vollständig remote arbeitende Unternehmen, die als führend in ihrer Branche gelten, dazu zählen etwa Gitlab und Zapier.


2. Verteilte Büro-Hubs
Wenn ein Unternehmen beschliesst, kleine Büros in verschiedenen Städten neben seinem Hauptsitz einzurichten, wird die Belegschaft «verteilt». Wenn Arbeitsplätze geografisch aufgeteilt werden, muss klar sein, wer wo und in welchem lokalisierten Team arbeitet. An dieser Stelle kommt eine sorgfältige Betrachtung der Organisationsstruktur ins Spiel. Ziel ist es, eine symbiotische Beziehung zu schaffen, in der sowohl die lokalen als auch die zentralen Teams das Gefühl haben, dass die Erwartungen bezüglich der Rollen, Verantwortlichkeiten und der Richtung des Kommunikationsflusses klar sind. Die Führung kann definieren, wie sich verschiedene Büros zueinander verhalten.

3. Flexible Remote-Teams
Es gibt einen dritten, hybriden Ansatz, bei dem die Mitarbeiter nicht vollständig dezentral oder von verteilten Zentren aus arbeiten. Einige Unternehmen erlauben ihren Mitarbeitern, ein paar Tage in der Woche von zu Hause aus zu arbeiten, andere stellen Mitarbeiter ein, die speziell auf die Arbeit von einem einzigen Büro aus ausgerichtet sind, sowie Mitarbeiter, die langfristig von zu Hause aus arbeiten möchten. Unabhängig davon nutzen diese Teams oft die gleichen Collaboration-Tools wie vollständig dezentral arbeitende Unternehmen – weil mindestens ein Team-Mitglied einen Teil der Zeit an einem anderen Standort ist.

All diese Ansätze beruhen aber auf einer guten und sicheren Kommunikation. Und an dieser Stelle kommt die Cloud ins Spiel, die als zentraler Dreh- und Angelpunkt eines jeden Remote Teams dient. Dabei ist besonders der Sicherheitsaspekt zu berücksichtigen.

Ein erster Ansatz für mehr Sicherheit bei der Nutzung der Cloud – nicht nur, aber auch im Home Office – ist sicherzustellen, dass nur sanktionierte Cloud-Applikationen eingesetzt werden. Als sanktioniert gelten Anwendungen, die aus der Cloud geliefert werden und von der eigenen Firma erlaubt sind. Beispiele hierfür sind Office 365 oder Salesforce. Auch Cloud-Speicherdienste wie Onedrive von Microsoft oder Dropbox gehören dazu. Normalerweise werden die sanktionierten Cloud-Applikationen durch einen Administrator-Account der Firma verwaltet, indem die Berechtigungen auf den Cloud-Systemen kontrolliert und korrigiert werden können. Dementsprechend behält die Firma auf sanktionierten Cloud-Lösungen immer die volle Kontrolle über die Art und Weise, wie Informationen verwaltet und zur Verfügung gestellt werden.

Verwendet ein Benutzer nun aber nicht-sanktionierte Cloud-­Applikationen, hat die Firma keinerlei Kontrolle, welche Informationen wie gespeichert werden, weil der Administrator fehlt, der mögliches Fehlverhalten massregelt. Im Vor-Cloud-Zeitalter war dieses Problem nicht so relevant, weil die Daten meistens im internen Netzwerk gespeichert und der Zugriff auf das Netzwerk in der Regel mit Firewalls und sonstigen Mechanismen kontrolliert wurden. Da sich die Clouds aber alle im Internet befinden, kann eine falsche Berechtigung fatale Folgen haben, indem zum Beispiel interne Firmeninformationen öffentlich geteilt werden. Solch typische Fehler passieren zumeist nicht aus böswilliger Absicht, sondern basieren auf dem Unwissen der Benutzer. Dennoch ist das Gefährdungspotenzial hoch – vor allem, wenn sich durch den unkontrollierten Gebrauch nicht-sanktionierter Applikationen eine Art Schatten-IT entwickelt.

Massnahmen zur Verhinderung der Shadow IT

Um Schatten-IT erfolgreich zu verhindern, gibt es nur einen Weg: Es wird kontrolliert, was der Benutzer in der Cloud abspeichert, indem der Netzwerkverkehr unterbrochen und inspiziert wird. Dies geschieht in der Regel mit einem sogenannten Proxy-Dienst und ist in heutigen Zeiten aufgrund der ausgeklügelten Verschlüsselungstechnologien wie SSL oder Https keineswegs mehr trivial. Denn der Browser des Benutzers (oder die Applikation) und der Server generieren je einen Schlüssel für den Austausch, und auf Basis dieser zwei Schlüssel wird die Verbindung encodiert, was eine Inspektion des Netzwerkverkehrs nahezu unmöglich macht. Die Entschlüsselung solcher Daten wird mit sogenannter Man-in-the-Middle-Technologie realisiert, indem der Proxy die Session des Benutzers entgegennimmt und dann eine neue Verbindung zum Zielsystem aufbaut. Aus Sicht des Zielsystems ist der Proxy der Absender der Netzwerkkommunikation und aus Sicht des Benutzers ist der Proxy der Empfänger derselben. Bei der grossen Schnelligkeit des Ablaufs hat der Benutzer in der Regel davon keinen Nachteil, aber auf dem Proxy ist der Netzwerkverkehr unverschlüsselt und darum für eine Inspektion einsehbar. Allerdings ist die Entschlüsselung solcher Netzwerkverbindungen sehr rechenintensiv und bedingt die entsprechend potente Hardware.


Trojaner, Viren und andere unerwünschte Gäste

Die Hauptmotivation zur Etablierung eines Proxys ist aber nicht in erster Linie die Überwachung der Benutzer, sondern der Schutz vor Malware. Denn wenn man sich via VPN Split Tunnel mit einem Bein im Internet und mit dem anderen im Firmennetzwerk befindet, kann Malware, die aus dem Internet geladen wird, schnell in das eigene Firmennetzwerk übertragen und verbreitet werden. Um dies zu verhindern, bieten praktisch alle modernen Proxy-Lösungen eine Malware-Kontrolle an. Da der Internetverkehr auf einem Proxy in der Regel unverschlüsselt betrachtet werden kann, können hiermit böse Besucher erfolgreich erkannt und eliminiert werden. Zum einen wird das mit Signatur-basierten Technologien – wie aus Anti-Viruslösungen bekannt – ermöglicht. Zum anderen kann auch Malware entdeckt werden, für die es noch keine Signaturen gibt. Durch so genanntes Sandboxing wird der verdächtige Download in einer geschützten Umgebung ausgeführt und auf suspekte Verhaltensweisen analysiert. Die Methoden zur Entdeckung potenziell gefährlichen Verhaltens basieren heutzutage meist auf selbstlernenden Algorithmen, die solche Kontrollen innert weniger Sekunden bis Minuten ausführen. Die Datei selbst wird so lange geblockt, bis der Check durchgeführt worden ist, und dann je nach Ergebnis weitergeleitet oder gelöscht. Diese Methode ist vor allem bei sogenannten Zero-Day-Exploits wie Fileless-Attacken sehr erfolgreich, da nicht nur heruntergeladene Applikationen und Dateien kontrolliert werden können, sondern auch die Webseite selbst. Denn auch diese kann unter Umständen Malware enthalten, die zwar nicht als Datei heruntergeladen wird, sich aber im (flüchtigen) Speicher des Computers befindet.


Kleine Probleme mit schwierigen Lösungen

Der sichere Zugriff aus dem Home Office stellt den Betreiber einer IT-Infrastruktur jedoch noch vor weitere Probleme, die anfangs trivial erscheinen, in der täglichen Arbeit aber erhebliche Probleme verursachen können. Auch hier muss zunächst entschieden werden, welche Cloud-Applikationen erlaubt sind und welche nicht. Bei den erlaubten Cloud-Anwendungen muss via Administrator-Account eine kontrollierte, aber praktikable Umgebung geschaffen werden, die es dem Benutzer zu jedem Zeitpunkt erlaubt, auf die benötigten Daten zugreifen zu können. Hierbei sollte der Betreiber der IT-Infrastruktur möglichst tranparent vorgehen und auf die Bedürfnisse der Benutzer Rücksicht nehmen. Sollte beispielsweise aus den Log-Daten der Fire­walls ersichtlich sein, dass 30 Prozent der Benutzer den gleichen unsanktionierten Cloud-Speicher benutzen, wäre es eventuell eine Überlegung wert, diesen Cloud-Speicher administrativ zu regulieren und allen Benutzern kontrolliert zur Verfügung zu stellen. Awareness-Schulung hilft, den Mitarbeitenden die Wichtigkeit des Gebrauchs von sanktionierten Cloud-Applikationen nahe zu bringen. Im Endeffekt dienen sanktionierte Cloud-Applikationen nämlich primär dazu, den Benutzer vor sich selbst zu schützen, indem Fehlverhalten entdeckt und korrigiert werden kann. Es geht nicht um eine Total-­Überwachung der Benutzer (die via Datenschutzgesetz in den meisten Ländern ohnehin verboten ist), sondern um den erfolgreichen Schutz der wertvollen Unternehmensdaten.


Netzwerk-Schutz des Home Office

Ist die Strategie festgelegt und entschieden, wie Daten im Home Office aus der Cloud verarbeitet werden können, steht auch der Schutz des Home Office selbst im Fokus. Ist via VPN Split Tunnel die Kommunikation zwischen Firmen- und Home-Office-­Netzwerk zugelassen, muss letzteres auch entsprechend abgesichert werden. Lädt beispielsweise ein Kind des Home-Office-­Benutzers eine Malware aus dem Internet auf seinen eigenen Computer, kann diese unter Umständen via Home-Office-Netzwerk auch auf den Firmen-Rechner und von da in das ganze Firmennetzwerk übertragen werden. Um das zu verhindern, ist auch ein lokaler Schutz nötig, den man beispielsweise mit Anti-­Viren-Software und Host-Firewalls realisiert. Auch der sichere Internetzugang des Benutzers ist ein Muss, was mit einer kleinen, aber professionellen Firewall gelöst werden kann. Aus Datensicherheitsgründen ist davon abzuraten, dies als gemanagte Lösung anzubieten, weil dann der Betreiber dieser Lösungen weite Einsicht in das Internetverhalten der Familie des Home-Office-Benutzers hätte. Anti-Viren-Lösungen sind praktisch immer auch in einer nicht-gemanagten Version für Home-User erhältlich; eine Firewall kann mit einem Default-Ruleset zur Verfügung gestellt werden. Es empfiehlt sich, den Benutzern eine Schulung anzubieten, wie die Firewall selbständig und sicher zu administrieren ist. Für das Problem des Home-Office-­Netzwerks ist es aber definitiv am besten, den Zugriff vom Firmencomputer auf das eigene, private Netzwerk des Home-Office-­Benutzers erst gar nicht zuzulassen. Das wird im ersten Moment für einigen Widerstand sorgen, aber im Endeffekt geht es in der IT-Security um eine Balance zwischen einfacher Benutzbarkeit und dem grösstmöglichen Level an Sicherheit. Den Entscheid, wie viel Usability für mehr oder weniger Security man gewähren will, muss jede Firma aufgrund einer persönlichen Risiko-Analyse für sich selbst treffen.


Der Grundsatz für jede Strategie in Bezug auf das Home Office: immer mit und nie gegen den Home-Office-Benutzer arbeiten. Sollte der Home-Office-Benutzer die Notwendigkeit gewisser Sanktionen nicht nachvollziehen können, müssen in Awareness- und Sensibilisierungskursen die Lage und Risiken für die Firma im Detail erklärt werden. Schlussendlich sind einsichtige und geschulte Mitarbeitende auch gute Benutzer. Das ist besonders wichtig, wenn der Betreiber der IT-Infrastrukturen viel Kontrolle an das Home Office abgeben muss. Vertrauen und Know-how ist dann das beste Fundament für mehr Sicherheit.

Die Autoren

Ronny Fischer beschäftigt sich seit mehr als zwanzig Jahren mit IT-Security und konnte sich vor allem in den Bereichen Ethical Hacking, Firewalling, IDS/IPS, SIE/SOC, IAM, Endpoint Protection sowie Cloud- und Enterprise-Sicherheit viel Wissen und Erfahrung aneignen. Als Security Evangelist bei T-Systems Schweiz fungiert Fischer als Trusted Advisor für T-Systems-Kunden und hilft Firmen bei der Planung und Integration von zukunftssicheren Lösungen in der IT-Security.


Simon Wegmüller ist Redaktor bei Swiss IT Magazine. (swe)



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER