8. September 2020

Checkliste für den sicheren Fernzugriff – Operational und Cyber Resilience ausserhalb der gewohnten Büroräumlichkeiten

Das Jahr 2020 wird uns nicht nur wegen des Lockdowns in Erinnerung bleiben. Viele Arbeitstätige sind geprägt von den positiven wie negativen Erfahrung im Home-Office. Und nicht wenige Informatik-, Infrastruktur- und Informationssicherheits-Verantwortliche haben einige unruhige Nächte hinter sich. Wie kann der Grossteil unserer Mitarbeitenden mit geringen Einschränkungen arbeiten, ohne dabei zu grosse Sicherheitsrisiken für IT-Systeme, Anlagen und Daten einzugehen?

Die Zusammenarbeit und Kommunikation mit Kolleginnen und Kollegen musste im Eiltempo, meist mit SaaS Lösungen wie Teams oder Zoom und irgendwie sicher realisiert werden. Der Datenaustausch mit Dritten wird nach wie vor nach bestem Wissen und Gewissen bewerkstelligt. Kritische IT-Infrastruktur, ob im Data Center oder in der Cloud, sowie industrielle Anlagen werden von ausserhalb der gewohnten Arbeitsplatz-Umgebung betrieben, gesteuert, überwacht und gewartet. Jede Branche ist zudem mit zusätzlichen, sehr branchenspezifischen Bedürfnissen des Fernzugriffs konfrontiert über welche man vor Corona nicht nachdenken wollte oder auch aus regulatorischen Gründen nicht nachdenken durfte. Nachfolgend diskutieren wir aber nicht die Digitalisierung an sich, sondern die Informations- und Cybersicherheit ausserhalb der gewohnten Büroräumlichkeiten und dabei insbesondere der Fernzugriff auf IT-Assets und Daten.

In der Schweiz ist der verschlüsselte Fernzugriff mit starker Authentisierung in die IT- und OT-Umgebungen der Organisation via VPN oder Remote Desktop ein weit verbreiteter Standard. Branchen, wie beispielweise die Energiewirtschaft mit ihren vielen dezentralen Standorten und Anlagen, machten sich schon lange vor Corona Gedanken, wie sie die Arbeiten aus der Ferne effizient und sicher erledigen können. Auch in der mittlerweile weit verbreitet genutzten Cloud gehört der Fernzugriff quasi zur Standardfunktion. Ein gemeinsames Verständnis des Grundschutzes fehlt aber noch – letztlich auch, weil vermeintlich die Benutzerfreundlichkeit unter den Sicherheitsmassnahmen leide.

So ist es auch nicht verwunderlich, dass sich der relativ neue Schweizer IKT Minimalstandard, welcher auf dem NIST Cyber Security Framework basiert, noch etwas zurückhaltend zum Thema äussert. Folgendes wird empfohlen:

  • Schaffen Sie die Möglichkeit, Fernzugriffe für Anwender zu ermöglichen (1.6.1)
  • Etablieren Sie Prozesse zur Verwaltung der Fernzugriffe (PR.AC-3)
  • Stellen Sie sicher, dass Unterhaltsarbeiten an Ihren Systemen die über Fernzugriffe erfolgen aufgezeichnet und dokumentiert werden. Stellen Sie sicher, dass kein unautorisierter Zugriff möglich ist (PR.MA-2)

Bereits etwas deutlicher in seiner Empfehlung ist MELANI im Halbjahresbericht 2019/2: Mehrfach-Authentisierung für das AD und insbesondere für den Fernzugriff ist eine Notwendigkeit.

Es scheint nun eine gute Gelegenheit die in die Jahre gekommenen oder unter dem Zeitdruck des Lockdowns realisierten Fernzugriffsdienste betreffend Sicherheit zu überprüfen und zu verbessern. Verwenden sie dazu folgende Checkliste:

  1. Alle Fernzugriffsdienste ins Rechenzentrum, direkt in die Cloud oder auf eine Anlage müssen inventarisiert, beschrieben und deren Kritikalität beurteilt werden, um zu wissen was geschützt werden muss.
  2. Die verschlüsselten Fernzugriffsverbindung müssen auf einer vertrauenswürdigen Fernzugriffs-Komponente terminieren z.B. Remote Access Gateway, Cloud Access Gateway, Jump-Server, Daten- oder API Gateway, nicht jedoch direkt auf dem Zielsystem.
  3. Die Fernzugriffsdienste müssen mit genügend Kapazität ausgestattet und redundant mit einer Funktion für den Lastenausgleicht ausgelegt sein. Ebenfalls sind Massnahmen zum Schutz gegen Denial-of-Service Attacke zu prüfen.
  4. Die Fernzugriffsdienste müssen immer über die aktuellen Sicherheitspatches verfügen und die Konfiguration muss nach dem Stand der Technik gewählt werden (z.B. CIS Benchmarks zur sicheren Konfiguration oder BSI Empfehlungen zum Verschlüsslungsstandard). Zudem sind die Empfehlungen der Hersteller oder Dienstleiter zwingend zu berücksichtigen. Dabei darf nicht vergessen werden, die herstellerspezifischen Standard-User und -Passwörter zu deaktivieren oder zu ändern. Die jeweiligen sicherheitstechnischen Massnahmen müssen dokumentiert sein.
  5. Die über den Fernzugriff erreichbaren Assets der Organisation müssen hinreichend segmentiert sein.
  6. Für die Vergabe und Pflege der Fernzugriffs-Rechte muss ein Prozess etabliert sein.
  7. Die Benutzerinnen und Benutzer müssen sich immer über einen persönlichen Account mit mindesten einer Zwei-Faktor-Authentisierung anmelden. Je nach Kritikalität der Daten und Funktionen muss gar eine höhere Authentisierungsstufe gewählt werden. Beim Zugriff auf kritische IT-Assets und heikle Daten sollten zudem nur vertrauenswürdigen und sichere Endgeräte erlaubt werden (siehe nächster Abschnitt).
  8. Daten sind grundsätzlich zentral zu halten, deshalb ist die Übertragung der Daten nur wo notwendig zu erlauben. Wenn Daten übertragen werden müssen diese einerseits auf Schadsoftware überprüft und anderseits sollte das übertragene Datenvolumen überwacht werden.
  9. Sämtliche Fernzugriffe müssen zentral aufgezeichnet werden und verdächtige Aktivitäten müssen kontrolliert werden. Remote Wartung und Remote Support aus der Ferne dürfen nur mit expliziter Bestätigung durch die Verantwortlichen auf den jeweiligen Assets möglich sein.
  10. Bestimmte Funktionen des Fernzugriff müssen auch in einem Not- oder Krisenfall zur Verfügung stehen. Daher muss im Notfallhandbuch beschrieben werden unter welchen Voraussetzungen die Funktionen zur Verfügung stehen. Handkehrum muss darin auch der Umgang mit einem möglichen Ausfall oder Einschränkung der Fernzugriffsdienste z.B. durch eine Denial-of-Service-Attacke beschrieben werden.

Aber nicht nur die zentrale Fernzugriffsdienste müssen gesichert werden. Unsichere Endgeräte, welche diese Fernzugriffsdienste nutzen, können ein Restrisiko für die zentralen IT-Assets und Daten darstellen. Auch müssen Daten teilweise auf den Endgeräten bearbeitet oder gar darauf gespeichert werden. Darum sollte bei den Endgeräten folgendes überprüft werden:

  • Grundsätzlich sollte die Festplatte aller Geräte verschlüsselt und der Zugriff mindestens mittels PIN/Passwort geschützt sein.
  • Im Falle das kritische Assets ausgeführt oder heikle Daten gespeichert werden, muss das Endgerät mit einer Device Management Lösung geschützt werden. Dies um Sicherheitskontrollen wie PIN-Schutz sicherzustellen aber auch, um die Endgeräte betreffend Sicherheitspatches und Virensignaturen auf dem aktuellsten Stand zu halten. Ebenfalls sollte eine Form von Endpoint Detection Lösung auf dem Gerät installiert sein, um verdächtige Aktivitäten zu erkennen.
  • Den Benutzerinnen und Benutzer sollten benutzerfreundliche, sichere und kontrollierte Datenaustauschmöglichen zur Verfügung gestellt werden, weil ansonsten die Gefahr gross ist, dass sie sich selber in irgendeiner Form behelfen und Daten dabei verloren gehen (Data Leakage).
  • Weiter sollte es möglich sein Daten auf dem Endgerät aus der Ferne zu löschen.
  • Mit Endgeräten von Dienstleistern müssen die definierten Vorgaben dazu entsprechend vertraglich verbindlich festgelegt werden.

An dieser Stelle sei nochmals erwähnt, dass das Sicherheitsrisiko umso kleiner ist, je weniger Daten (z.B. mit einem Remote-Desktop) und je weniger Funktionen (z.B. mit Jump-Host) direkt auf den Endgeräten zur Verfügung gestellten werden. Bei SaaS (z.B. bei Office 365), muss dies bei der Konfiguration berücksichtig werden, so dass Daten nicht standardmässig lokal gespeichert werden.

Wie fast immer sind für die Sicherheit aber nicht nur die Technik und Prozesse massgebend. Beim Fernzugriff spielt der Faktor Mensch eine entscheidende Rolle. Denn den abgesicherten Büroräumlichkeiten weichen quasi offenen Arbeitsräumlichkeiten. Für diese neu gewonnene Freiheit sollen sich bei den Mitarbeiterinnen und Mitarbeiter daher nicht nur Rituale an der heimischen Kaffeemaschine durchsetzen. Jeder Angestellte muss sich seiner Verantwortung bewusst sein:

  • Den Computer am Arbeitsplatz zu Hause bei nicht-Benutzung sperren;
  • Daten wenn immer möglich am zentralen Ort bearbeiten und speichern;
  • Ausdrucke und Papier auf ein Minimum beschränken;
  • Authentisierungsmittel mit gesundem Menschenverstand vor Diebstahl schützen;
  • Besondere Aufmerksamkeit bei Supportanfragen via Telefon oder E-Mail walten lassen;
  • Zu Hause ein sicheres Wireless LAN einrichten;
  • Für geschäftliche Tätigkeiten nur geschäftliche Applikationen und Services benutzen.

Vertrauen Sie auf die Eigenverantwortung ihrer Mitarbeitenden aber vergessen Sie nicht, Ihre Benutzerinnen und Benutzer auf die Aspekte hinreichend zu schulen und ihnen die entsprechenden benutzerfreundliche IT-Mittel zur Verfügung zu stellen. Denn die meisten Fehler passieren durch Unwissenheit.

Operational and Cyber Resilience , , , , ,
Über Andreas Kölliker
Andreas Kölliker ist ein auf Cyber Security spezialisierter Berater und Partner der aucoma. Er überzeugt mit langjähriger Erfahrung in Strategie, Konzeption, Aufbau, Etablierung, Betrieb sowie Überprüfung der Informationssicherheit in Organisation, Prozess und Technologie. Diese Erfahrung stammt aus Mandaten und Projekten in den Branchen Energiedienstleistungen, Fertigungsindustrie, Finanzdienstleistungen, IT Dienstleistungen und Verwaltung. Als wertvolle Grundlage dienen ihm das Studium der Wirtschaftsinformatik an der Fachhochschule Nordwestschweiz und Weiterbildungen in Methodik, Kommunikation sowie Technologien insbesondere in den Bereichen Cloud und Industrial Internet of Things.
SWITCH THE LANGUAGE