:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/a1/7da13c070fec8d616ec16b45bd7f5506/0111560991.jpeg "Die NetCrunch-Oberfläche bietet eine übersichtliche Menüstruktur und integrierte sowohl On-Premises- als auch Cloud-Infrastrukturkomponenten. (Bild: AdRem Software - Joos)")
:quality(80)/p7i.vogel.de/wcms/e2/2e/e22ee822cafaa471a4dbee79a58433a5/0111567753.jpeg "Das IP-Adressmanagement ist seit je her wichtig. Besonders wichtig wird die Planung und Verwaltung von IP-Adressen aber dann, wenn lokale Infrastruktur und Cloud-Dienste aufeinander abgestimmt werden müssen. (Bild: © ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/53/92535bf443113da1720a610be6a24a60/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/18/7b180d83dd1052fa83dcc38ca2a83534/0111273841.jpeg "Alles normal – auf den ersten Blick! Doch tatsächlich wurde dieses Auto durch den Verkehr in Düsseldorf von einem Menschen in Hamburg gesteuert. (Bild: Mira)")
:quality(80)/p7i.vogel.de/wcms/2c/3b/2c3beacac6ad84f45bd7f9e6c1b8fc8e/0111162157.jpeg "Im Universitätsklinikum Frankfurt soll künftig in allen Innenräumen 5G zur Verfügung stehen. (Bild: Universitätsklinikum Frankfurt)")
:quality(80)/p7i.vogel.de/wcms/58/d8/58d8a9f842f457385f82c4029c0b8e20/0111023242.jpeg "Campus-Netze der Telekom ermöglichen Geschäftskunden maßgeschneiderte Konnektivität für digitale Anwendungen auf ihrem Betriebsgelände. (Bild: Deutsche Telekom / GettyImages / Traitov)")
:quality(80)/p7i.vogel.de/wcms/d2/e0/d2e0dcd5c927b295845fa8ff3d258b7e/0110997301.jpeg "Ericsson Private 5G eigne sich für die Fertigung und andere industrielle Umgebungen wie Häfen, Bergbau und Energieversorgung. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/c1/78/c178285c6912802a7166b3ed33e9bbf8/0111525684.jpeg "Die Switches der XGS2220-Serie können im Stand-alone-Modus oder über die Cloud gemanagt werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/ae/91/ae9110ac101250ed8ae2c9217c77eb90/0111583975.jpeg "Extreme unternimmt mit der in Berlin vorgestelltem Data Fabric-Lösung "ExtremeCloud Edge" einen weiteren Anlauf hin zu weniger Komplexität. Dabei handelt es sich um ein Software-Paket bestehend aus Anwendungen wie ExtremeCloud IQ, ExtremeCloud SD-WAN und Extreme Intuitive Insights, mit dem firmeneigene Clouds von jedem beliebigen Standort aus aufgebaut werden können. (Bild: Dietmar Müller)")
:quality(80)/p7i.vogel.de/wcms/f9/f6/f9f66c131d81e9be562fcc61aa416191/0111346382.jpeg "WebConnect ermöglicht den doppelseitigen Druck in Remote-Verbindungen auf lokalen Druckern. (Bild: WebConnect World SL)")
:quality(80)/p7i.vogel.de/wcms/51/14/511437e5d0b6b7f218b239b2a25de9c7/0111362151.jpeg "Die Tabelle mit den Ergebnissen eines Wi-Fi-Scans zeigt die SSID, das BSS, Frequenz- und Kanalinformationen sowie die Signalstärke für jedes Wi-Fi-Netzwerk. (Bild: Allegro Packets)")
:quality(80)/p7i.vogel.de/wcms/9a/12/9a12540d068597e80b0c58a00739e881/0111831135.jpeg ""Übergreifendes Netzwerk-Monitoring für IT und OT", ein Interview von Oliver Schonschek, Insider Research, mit Felix Berndt von der Paessler AG. (Bild: Vogel IT-Medien / Paessler AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/bc/bf/bcbfd1989b64de7d1efcec464b2ae2b9/0111241131.jpeg "Dr. Melanie Langermeier ist CEO von Qbilon und verantwortlich für Produktstrategie und Kundenbetreuung. (Bild: Qbilon)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431d676156b689354505ddc83d3910a/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/d5/68d51e33733190015fe48085d19bf50f/0100318890.jpeg "Gregor Stegen ist Vice President Sales and Business Development EMEA bei Plume und erläutert, welchen Mehrwert KI für das Kundenmanagement bei Service-Providern bereithält. (Bild: foto di matti - Gregor Stegen - Plume)")
:quality(80)/p7i.vogel.de/wcms/d5/6f/d56ffeea7182605a75db1fd2817c58fe/0111435913.jpeg "Zum Stichtag 01. Mai 2023 gibt unser Autor Dr. Harald Karcher einen Überblick über alle bereits erhältlichen und aktuell angekündigten Wi-Fi-7-Produkte. (Bild: © hakinmhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/a2/85a26e9693a832a76c63a0ad949857a7/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/bc/71/bc715c91f6cafbbabefba39be618b28b/0110711709.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/1a/d31aa21504bed10399be39e92f72efa7/0110934224.jpeg "Jochen Kunert von Unisys erläutert, wo man in Sachen Homeoffice und Remote Work jetzt angreifen muss, um die während der Pandemie oft hopplahopp eingeführten Konzepte auf sichere Füe zu stellen. (Bild: ARMIN HOEHNER - Unisys)")
:quality(80)/p7i.vogel.de/wcms/5e/90/5e901c67000a6a3b3e5d5c1dc20ded19/0110796663.jpeg "Mit SaaS Remote Access behalten Unternehmen die Kontrolle über den externen Fernzugriff. (Bild: Wallix)")
:quality(80)/p7i.vogel.de/wcms/78/20/7820f031c9f54f82f18b35275f028c71/0110700143.jpeg "Das SoftEther VPN-Projekt ermöglicht die Installation eines VPN-Servers als Alternative zu WireGuard und OpenVPN. (Bild: Joos - SoftEther Project)")
:quality(80)/p7i.vogel.de/wcms/ba/fa/bafaa37c6352f5b0c58a06a2c2881899/0111346909.jpeg "Die Workspaces der Starface App für Windows sollen Anwendern einen besseren Überblick über ihre Kommunikationsumgebung bieten. (Bild: Starface)")
:quality(80)/p7i.vogel.de/wcms/5f/d1/5fd10f0c6f06b5cd02dc7f72d9e2c4d8/0111134557.jpeg "Hybride Zusammenarbeit und dafür in der Cloud gespeicherte Daten benötigen angepasste Schutzmaßnahmen. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/04/1604941dd5a9d03ab6f9af938606e80a/0111400477.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/e2/ffe242f7ff4ea687d6f181688f02cd0e/0111349539.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/41/d341510725a8d974bd6d264398d141ad/0111328737.jpeg "Die Verringerung des jährlichen Verlusts, der durch einen Cyberangriff zu erwarten ist, ist der bedeutendste Faktor, durch den sich Investitionen in die Cybersicherheit für ein Unternehmen auszahlen. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f019c6193d103a1894ce7a933921255/0111362429.jpeg "Für On-Demand-Kunden seien in Sekundenschnelle Bandbreiten von bis zu 10 GBit/s an Tausenden von Standorten im Colt-Netzwerk verfügbar. (Bild: Colt)")
:quality(80)/p7i.vogel.de/wcms/a4/24/a4242fc17c20b0b6c258756fe631f018/0111080608.jpeg "Das Einsteigerpaket „Ortsbeleuchtung“ enthält neben den konfigurierten GreenBoxes mit integrierter Winkelantenne ein LoRaWAN-Outdoor-Gateway und drei Monate Nutzung des Demo-Dashboards. (Bild: Alpha-Omega Technology)")
:quality(80)/p7i.vogel.de/wcms/7c/42/7c426017759c779c90334252640bbed1/0110988923.jpeg "Software-definierte Netztechnologien sind heute ein Muss für agile Unternehmen, sagen Steffen Gienger von Juniper Networks und Sherif Rezkalla von der Deutsche Telekom in ihrem gemeinsamen Beitrag. (Bild: © basiczto - stock.adobe.com)")
VPN-Verbindungen durch Zero Trust Network Access ersetzen Mit Zero Trust zum sicheren Remote-Arbeiten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/6b/626ba9b8326a0/cradlepoint-ericsson-logo-full-color-horizontal.png "cradlepoint-ericsson-logo-full-color-horizontal (Cradlepoint)"){kind=logo}
Ein effektiver Remote-Access-Service (RAS) sollte sicher, schnell, transparent, ohne Umwege und frei von Barrieren funktionieren und dass trotz der Vielzahl an Zugängen. Der nach wie vor beliebte VPN-Zugang entspricht diesem Anforderungsprofil kaum. Das kann nur ein Zero-Trust-Konzept gemeinsam mit einem intensiven Monitoring aller Datenströme und einer Single-Sign-On-Authentifizierungsmethode (SSO).
Früher stellten Unternehmen externe Verbindungen direkt von der Zweigstelle ins Internet, zu SaaS-Anwendungen und zu den Rechenzentren des Unternehmens her und installierten Firewalls vor Ort, um weitere Sicherheitsebenen zu schaffen. Heute wird ein gerätezentrierter Ansatz präferiert, bei dem die einzelnen Büros nicht mehr Knotenpunkte eines Unternehmensnetzwerks sind, sondern eher wie Internetcafés funktionieren. Das kann in folgenden Schritten umgesetzt werden:
- Über eine Verwaltungsplattform erfolgt der Eintrag aller Geräte in ein Unternehmenssicherheitsprogramm, deren Nutzung jedoch an bestimmte Bedingungen geknüpft wird, um eine bessere Konnektivität herzustellen.
- Alle Geräte werden regelmäßig mit neuesten Updates gepatcht und Fehler stetig behoben. Werden durch einen Scan bösartige Dateien und Viren gefunden, wird das entsprechende Gerät aus dem Netzwerk eliminiert.
- Die Geräte transferieren den ausgehenden Datenverkehr über ein sicheres Web-Gateway (SWG) wo zeitgleich eine Analyse stattfindet. Die Anwendung der Unternehmensrichtlinien erfolgt bereits auf der Geräteebene. Das verhindert Schatten-IT-Anwendungen oder das unerlaubte Abgreifen von Informationen. Der Datenverkehr wird dabei vom Administrator ausgewertet und zentral protokolliert.
- Um das Internetsurfen der Mitarbeiter mit ihren eigenen Geräten zu erlauben, findet dies in einem isolierten Container, nämlich einer sicheren Sandbox, statt.
- Beim Abgang eines Mitarbeiters aus dem Unternehmen löscht die Verwaltungsschnittstelle alle sensiblen Unternehmensdaten sofort auf jedem Gerät, das der Mitarbeiter eingesetzt hat.
In einem weiteren Schritt geht es an die Bewertung der meist (immer noch) vorhandenen VPN-Landschaft. Hier ist tatsächlich eine grundlegende Maßnahme notwendig:
VPN-Verbindungen durch Zero Trust Network Access ersetzen
VPNs bedeuten häufig viele Kompromisse, Latenz und Frustration, vor allem für global verteilte Teams. Sie basieren auf einem Sicherheitsmodell, das vielen Bedrohungen nicht mehr gewachsen ist. Denn jeder, der sich mit dem Unternehmens-VPN verbindet, wird als vertrauenswürdig eingestuft, ohne dass nach der Verbindung zusätzliche Prüfungen erfolgen. Die Firewalls erschweren das mobile Arbeiten und die Konnektivität und bieten keinen Schutz, wenn sich der Angreifer bereits innerhalb der Firewall befindet. Die Bedenken hinsichtlich dieses Modells werden durch die von VPNs unterstützte, wenig zuverlässige Protokollierung noch verschärft: Sie zeichnet die IP-Adresse des Benutzers auf, aber nicht die Anwendungen und Daten, auf die der Benutzer zugegriffen hat. Auch ist es fast unmöglich, die Schritte des Angreifers zurückzuverfolgen, sollte ein Benutzerkonto kompromittiert worden sein.
Durch das Ersetzen von VPN-Verbindungen durch Zero Trust Network Access (ZTNA) wird automatisch das Prinzip der geringsten Privilegien bei geschäftskritischen Anwendungen umgesetzt. ZTNA vereinfacht die Prozesse rund um das Identitäts- und Zugriffsmanagement (IAM) durch die Anwendung von Mikroperimetern um jede Anwendung herum, das Verstecken von Anwendungen hinter verschlüsselten Verbindungstunneln und die Protokollierung jeder Anfrage.
Die komplexeste Aufgabe für jedes Unternehmen ist es jedoch, sicherzustellen, dass jeder Mitarbeiter Zugang ausschließlich zu den Tools und Daten hat, die er für seine Arbeit braucht. Das festzulegen ist nicht nur die Aufgabe der IT, sondern vielmehr von HR sowie den Vorgesetzten des Mitarbeiters. Je größer die Belegschaft, desto komplexer die Aufgabe und um so mehr werden interne Umstrukturierungen erforderlich. Ist das Authentifizierungssystem eingerichtet, geht das On- und Off-Boarding reibungslos vonstatten.
Single Sign-On (SSO)-Authentifizierungsmethode verstärkt die Sicherheit
Die Single Sign-On (SSO)-Authentifizierungsmethode ermöglicht es internen wie externen Parteien, sich bei mehreren Anwendungen und Webseiten zu authentifizieren und trotzdem nur einmal ihre Anmeldedaten einzugeben. Besonders sicher: die Verwendung eines Einmalkennworts (OTP), welches oft in Kombination mit einem normalen Passwort verwendet wird oder eine Zwei-Faktor-Authentifizierung. Damit wird eine dynamische Zugangs- und Zugriffsberechtigung etabliert.
Viele Unternehmen brauchen eine sichere Methode zur Verwaltung von Mitarbeitern, Auftragnehmern und anderer Drittparteien. Sie sollten nur so lange auf Daten und Tools zugreifen, wie sie diese benötigen. Moderne Authentifizierungslösungen erlauben sogar eine Anmeldung mit bereits vorhandenen Konten, beispielsweise Gmail, Facebook oder LinkedIn. Sie müssen nur dasselbe hohe Maß an Sicherheit, Protokollierung und detaillierten Berechtigungen bieten wie eine Anmeldung mit einem auf den eigenen Systemen erstellen Konto.
Monitoring ist die halbe Miete
Je besser das Monitoring, desto sicherer der Datenverkehr. Es gilt, Schritt zu halten mit der Erkennung immer neuer Varianten und Methoden, weswegen das Monitoring an einen externen Spezialisten ausgelagert werden sollte, der stets auf der Höhe der Zeit agiert und die die künftigen Entwicklungen im Auge hat. Durch das Verständnis der Stärke oder Nähe der Beziehungen und der Verbindungen zwischen Absendern und Empfängern, können anormale Verhaltensweisen erkannt, Mitarbeiter gewarnt und Angriffe verhindert werden. Ein Cyber-Graph entfernt eingebettete E-Mail-Tracker, welche den Angreifern Informationen für gezielte Angriffe liefern könnten, und macht Mitarbeiter auf falsch adressierte E-Mails aufmerksam, damit Datenverluste vermieden werden.
Secure Web-Gateways (SWGs) benötigen Richtlinien
Web-Gateways (SWGs), die den Datenverkehr von Mitarbeitergeräten abfangen, werden meist als SaaS-Sicherheitsplattformen angeboten. Sie wenden Filterregeln auf den ein- und ausgehenden Datenverkehr an. Mit demselben Filtermechanismus legen Administratoren Richtlinien fest, mit denen kontrolliert wird, wie ein User mit Unternehmensdaten interagiert. Das sind Richtlinien zur:
- Blockierung von Websites, die als Phishing-Betrug gekennzeichnet wurden,
- Protokollierung und Überwachung von Aktivitäten innerhalb von SaaS-Anwendungen,
- Verhinderung, dass ein Mitarbeiter der Marketingabteilung das Verwaltungsportal einer CRM-Anwendung des Unternehmens besucht,
- Begrenzung von Datei-Uploads und -Downloads von nicht genehmigten Cloud-Speicher-Sites wie Dropbox.
Browser-Isolierungsdienste nutzen
Webbrowser differenzieren nicht und verbinden auch mit potenziell schädlichen Teilen des Internets. Um die Daten zu schützen, die auf den Geräten gespeichert sind oder auf die zugegriffen werden, setzen Unternehmen Browser-Isolierungsdienste ein, bei denen der Browser nicht auf dem Gerät selbst, sondern auf einer virtuellen Maschine bei einem Cloud-Anbieter ausgeführt wird. Dadurch bleiben die vom Browser ausgehenden Bedrohungen auf diesem virtuellen Rechner in der Cloud.
Schon mit diesen oben skizzierten Maßnahmen, die auch Bestandteil einer Security-Strategie sein können, werden schnell die kritischsten Schwachstellen behoben, die Unternehmens-Security nachhaltig und wirksam aufgestellt und den Mitarbeitern ein einfaches, sicheres und schnelles Arbeiten (remote, hybrid, on-premise) geboten. Bei der Umsetzung sollten externe Spezialisten wie Rackspace hinzugezogen werden. Diese führen als erstes einen Security Discovery Workshop zur Bestandsaufnahme und Entwicklung einer passgenauen Security-Roadmap durch und begleiten das Unternehmen bis zum Abschluss aller Umsetzungen.
Über den Autor
Kristof Riecke ist CISO bei Rackspace Technology.
(ID:49254322)
:quality(80)/images.vogel.de/vogelonline/bdb/1943900/1943989/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934400/1934409/original.jpg "Immer mehr Firmen setzen auf hybride Arbeit und somit ihre IT- und Cybersicherheitsverantwortlichen unter Druck. (© – AWD – stock.adobe.com)")