René Kurmann, CGI

René Kurmann

Senior Consultant

Sascha Alder

Sascha Alder

Security Consultant

Mit der Veränderung der Arbeitswelt durch die Corona-Krise entstehen neue Gefahren für Unternehmen. Um welche es sich dabei handelt und wie wir unsere Kunden nachhaltig schützen wird im folgenden Artikel beschrieben.

Neuerdings nutzen Cyberkriminelle ausgeklügelte Social-Engineering-Methoden mit vermeintlichen Angeboten von Produkten und Dienstleistungen zur Lösung von Corona-bezogenen Problemen, um Internetnutzer auf kompromittierte Internetseiten zu locken. Dort findet ein unbemerkter Drive-by-Download von Schadcode statt oder der Nutzer wird dazu aufgefordert, aktiv ein Programm zu installieren, das beispielsweise als Sicherheitsupdate getarnt ist. Auf diese Weise kann Spyware auf den Arbeitsrechner gelangen, um unter anderem sensible Login-Informationen zu Firmen-Accounts zu erhalten.

Mit Awareness-Trainings gegen Phishing-Angriffe

Eine kostengünstige und wirkungsvolle Maßnahme gegen solche Phising-Angriffe ist ein gezieltes Security-Awareness-Training. Darin lernen Mitarbeiter, die Auswirkungen von IT-Sicherheitsvorfällen für ihr Unternehmen einzuschätzen und Verantwortung zu übernehmen. Infolgedessen erkennen sie betrügerische E-Mails an bestimmten Merkmalen deutlich häufiger, klicken auf keine Links und geben keine personenbezogenen Daten an, bis sie überprüft haben, dass die Nachricht tatsächlich von dem angegebenen Absender stammt. Regelmäßige Phishing-Simulationen im eigenen Unternehmen und Information der offenbar anfälligen Mitarbeiter können diese Trainings sinnvoll ergänzen.

Gefahren durch Arbeit im Homeoffice

Ein weiterer Stolperstein ist der Fernzugriff auf das Firmennetz. Hierfür wird typischerweise VPN verwendet. Jedoch führt der gesteigerte Anteil an Telearbeit schnell zu einer Überlastung der verfügbaren Bandbreiten, was wiederum Dienste und Anwendungen verlangsamt und die Produktivität der Mitarbeiter verringert, weshalb die Last auf das VPN-Gateway mittels Load Balancer auf mehrere Server verteilt und an die neue Last ausgelegt werden. Zudem kann durch Overprovisioning die verfügbare Bandbreite des internen Netzes an die höchste Auslastung angepasst werden. Außerdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) direkte Verbindungen außerhalb des Tunnels zu nichtvertrauenswürdigen Systemen während einer VPN-Sitzung vollständig zu unterbinden.
Die nächste Herausforderung ist die Bereitstellung von Geräten für die Mitarbeiter. Hierbei händigt ein Unternehmen normalerweise jedem Mitarbeiter einen durch eine Security-Baseline geschützten Rechner aus. Jedoch ist dies aufgrund der durch Corona unterbrochenen Lieferketten nicht immer möglich. Deshalb setzt das Unternehmensmanagement häufig auf eine Bring-your-own-Device (BYOD) Strategie.

Jedoch darf dabei nicht auf grundlegende Sicherheitsmaßnahmen verzichtet werden. Zusätzlich weist die private IT-Infrastruktur im Vergleich zur Unternehmens-IT meist ein deutlich schlechteres Sicherheitsniveau auf. Gründe sind weniger sichere WLAN-Standards, werkseitig vorkonfigurierte Standardpasswörter und nicht installierte Sicherheitsupdates für einzelne Geräte.

Angreifer nutzen die besagten Schwachstellen im Heimnetzwerk aus, um Schadcode auf dem Arbeitsrechner zu platzieren. Der Einfallspunkt sind IoT-Geräte oder Router. Sobald eines dieser Geräte übernommen wurde, kann eine Verbindung mit dem Arbeitsrechner aufgebaut werden, um diesen mit Schadsoftware zu infizieren und über diesen in das Unternehmensnetz einzudringen. Danach wird eine Verbindung zu verschiedenen Command-and-Control (C2) Servern aufgebaut, um den erfolgreichen Eintritt in das System zu kommunizieren. Diese C2-Server laden über ein professionell aufgezogenes Botnetz weitere Schadsoftware in das betroffene Netz, welche sich auf der Suche nach den für die Angreifer relevanten Daten lateral verbreitet. Um dies zu verhindern kann eine Demilitarized-Zone (DMZ) zwischen Unternehmensnetz und Internet eingeführt werden, in der sich die VPN-Infrastruktur befindet. Diese wird zusätzlich mit einem Network-Intrusion-Prevention-System (NIPS) gesichert, sodass eine Ausbreitung verhindert wird. Die Arbeitsrechner selbst können mit einem Host-Intrusion-Prevention-System (HIPS) gesichert werden.

Virtual-Desktop-Infrastructure (VDI) als Alternative zum VPN

Statt der oben beschriebenen VPN-Lösung kann auch eine VDI angelegt werden, um solche Angriffe zu verhindern. Hierbei erhält jeder Mitarbeiter eine virtuelle Maschine, welche im Unternehmensnetz gesichert und ausgeführt wird. Der Rechner selbst fungiert ausschließlich als Client und speichert keine unternehmenskritischen Daten. Vorteilhaft bei diesem Vorgehen ist das vereinfachte Patch- und Updatemanagement durch die Zentralisierung der Daten auf den Servern des Unternehmens. Außerdem werden dadurch unternehmenskritische Daten vom Client abgekapselt, sodass die Verwendung einer BYOD-Strategie möglich ist. Nachteilig am Einsatz der VDI ist jedoch, dass die Performance der VM von der Qualität der Anbindung des Clients an das Firmennetzwerk abhängig ist. Denn für die Rechenoperationen, die bei der VPN-Lösung auf dem Endgerät ausgeführt werden, ist bei der VDI hingegen der Server zuständig. Das bedeutet, dass die VM träge erscheint, wenn das Delay zwischen Client und Server hoch ist. Ein weiterer Nachteil der virtuellen Desktopinfrastruktur offenbart sich bei vermehrten Netzausfällen. Mit einer VDI können Mitarbeiter ausschließlich arbeiten, wenn eine stabile Verbindung zum Internet besteht. Bei einer VPN-Lösung ist es hingegen auch während eines Netzausfalls möglich, an den lokal auf dem Laptop gespeicherten Dokumenten zu weiterzuarbeiten. Somit empfiehlt es sich, die Vor- und Nachteile gegeneinander abzuwägen. Zur Erhöhung der Sicherheit kann mit Blick auf die Anzahl der Authentifizierungsfaktoren sogar eine Kombination von VPN und VDI genutzt werden.

FAZIT

Grundsätzlich sind Unternehmen, die sich mit der IT-Sicherheit nachhaltig auseinandersetzen, den Angreifern meist nicht schutzlos ausgesetzt. Allerdings stellen die neuen Herausforderungen und technologischen Setups bedingt durch COVID Unternehmen auch hier vor neue Aufgaben. Daher ersetzt das inkrementelle Schließen von Sicherheitslücken keinesfalls ein ganzheitliches Sicherheitskonzept, das im Einklang mit den Geschäftszielen erstellt wird. Hierfür steht CGI mit seinem Know-how bei der Entwicklung eines Sicherheitskonzeptes unseren Kunden als starker End-to-End Partner zur Verfügung.

 

Respond. Rebound. Reinvent.

Vertrauen Sie auf uns, wenn es darum geht, gemeinsam mit Kunden praktische Lösungen zu entwickeln, um komplexe Herausforderungen zu lösen. Während der Pandemie helfen unsere Experten vor Ort in über 400 Niederlassungen gemeinsam mit unseren globalen Ressourcen ihren Kunden, um auf beispiellose Herausforderungen zu reagieren, sich effektiv zu erholen und Arbeitsweisen neu zu erfinden. Wir fühlen uns verpflichtet, unsere Kunden und die Gesellschaft, in der wir leben und arbeiten, zu unterstützen. Mehr hierzu erfahren Sie unter de.cgi.com/3R oder unter cgi.com/3R.

 

Über diese Autoren

René Kurmann, CGI

René Kurmann

Senior Consultant

René Kurmann ist seit April 2016 bei der CGI als Security Manager für das Sicherheitsmanagement in den Projekten seiner Kunden tätig. Er erstellt IT-Sicherheitskonzepte, Provider Assessments und Risikoanalysen. Seine Schwerpunkte liegen auf der qualitativen und quantitativen Ermittlung des Schutzbedarfes, der Analyse der IT-Architektur auf ...

Sascha Alder

Sascha Alder

Security Consultant

Sascha Alder hat seine Karriere am 04. 05. 2020 bei CGI am Standort Heilbronn gestartet. Zuvor hat er an der Technischen Universität Ilmenau seinen Master of Science in Informatik mit den Schwerpunkten IT-Sicherheit, sowie mobile und verteilte Kommunikations- und Informationssysteme erfolgreich abgeschlossen.