Unscheinbaren Sicherheitsbedrohungen bei der Arbeit im Homeoffice auf der Spur

Im Frühjahr 2020 wurden die meisten Regierungen und Unternehmen weltweit gezwungen, viele Mitarbeiter schnell auf Fernarbeit umzustellen. Aufgrund dessen wurden die Designfragen eines neuen Informationssicherheitssystems zurückgestellt. Stattdessen griffen Organisationen auf die zu diesem Zeitpunkt verfügbaren, relevantesten Schutzmaßnahmen zurück, wie beispielsweise Firewalls, VPNs und Mehrfaktorauthentifizierung.

Aufgrund der Eile beim Aufbau der Fernarbeit und begrenzten Budgets wurden viele dringende Sicherheitsbedrohungen ignoriert. Mit der Zeit wurden das Informationsschutzsystem und seine dokumentarische Basis verfeinert, um die größere Anzahl tatsächlicher Bedrohungen zu berücksichtigen. Doch Angreifer finden weiterhin Schlupflöcher und setzen diese ein, um Schaden anzurichten.

Bedrohungen für Benutzerkonten

· Abfangen eingegebener Anmeldedaten

Eine der Maßnahmen zum Schutz von Informationen bei der Organisation der Fernarbeit, wenn Mitarbeiter persönliche Geräte nutzen, ist die Virtualisierung von Arbeitsplätzen und die Verlagerung von Anwendungen auf einen Terminalserver, gefolgt von einer vollständigen Isolierung der Umgebung.

Tatsächlich hat Malware, die auf dem Computer eines Mitarbeiters installiert ist, keinen Einfluss auf die Arbeitsumgebung oder Geschäftsanwendungen.

Selbst wenn für die Remoteverbindung eine alternative Authentifizierung genutzt wird, besteht eine hohe Wahrscheinlichkeit, dass eine Anwendung, zu der Sie von einem virtualisierten Arbeitsplatz (VDI) und einer Terminalanwendung aus (zum Beispiel über RemoteApp) Verbindung aufnehmen, eine Autorisierung mit Benutzername und Passwort verlangt. In diesem Fall kann die Malware Tastenanschläge abfangen, die korrekte Login-Passwort-Kombination erkennen, und abschließend könnte ein Angreifer Zugang zu vertraulichen Daten erlangen.

Um diese Bedrohung zu minimieren, wird empfohlen, Single Sign-On (SSO) Lösungen in Verbindung mit Lösungen für alternative Authentifizierung zu nutzen. Die SSO-Lösung sollte auf Büroarbeitsplätzen installiert werden, zu denen der Mitarbeiter über VDI oder auf einem Terminalserver Verbindung aufnimmt. Um die Authentifizierung in Unternehmensanwendungen zu bestätigen, wird das System einen alternativen Authentifizierungsfaktor benötigen, woraufhin SSO die notwendigen Anmeldeinformationen eigenständig bereitstellt. So können selbst bei Vorhandensein eines Keyloggers auf einem Mitarbeiterarbeitsplatz eingegebene Anmeldungen und Passwörter nicht abgefangen werden.

· Klonen des Einmal-Passwort Generators

Es versteht sich von selbst, dass starke (mehrfaktorielle) Authentifizierungsmethoden den Widerstand gegen Bedrohungen bei der Fernarbeit erheblich erhöhen. Allerdings gibt es bei allen Authentifizierungstechnologien erhebliche Unterschiede sowohl in Bezug auf die Anwendbarkeit als auch auf die Sicherheit.

Heutige, populäre Mehrfaktor-Authentifizierungsmethoden, die Einmal-Codes nutzen, welche auf dem Gerät generiert oder in Messengern versendet werden, haben erhebliche Schwachstellen. Sollte ein Angreifer kontinuierlichen Zugriff auf ein Smartphone erlangen, kann er versuchen, erweiterte Berechtigungen auf einem Smartphone zu erlangen (Jailbreaking für iOS-Geräte, Root für Android). Sollte dem Angreifer dies gelingen, kann er die Schlüssel des Einmal-Passwort Generators klonen und es so einrichten, dass Codes an sein eigenes Gerät gesendet werden.

Um dieses Risiko zu minimieren, wird empfohlen, Einmal-Passwörter zu vermeiden und Push-Authentifizierung zu nutzen, welche ausdrücklich an das Gerät gebunden ist und auf dem Gerät des Angreifers nicht funktionieren wird.

Bedrohungen für die Verfügbarkeit von Unternehmensressourcen

· Fernsperre von Benutzerkonten

Häufig sind Webdienste über das Internet verfügbar. Beispielsweise kann Webmail zur Zugriff auf Unternehmensressourcen verwendet werden.

Manchmal ist der Name des Postfachs identisch mit dem Namen des Domainkontos. Hacker könnten versuchen, das Passwort zu erraten, indem sie einen Brute-Force-Angriff starten. Um diese Bedrohung zu neutralisieren, sollte nach mehreren erfolglosen Passwortversuchen eine Kontosperre aktiviert werden.

Jedoch kann ein Angreifer Passwörter mit der Brute-Force-Methode gezielt knacken, um ein Domänenkonto zu sperren. Ein solcher Angriff kann einige Geschäftsprozesse lähmen.

Um diese Bedrohung teilweise zu neutralisieren, können Sie eine spezialisierte Lösung für die Zwei-Faktor-Authentifizierung (2FA) verwenden, beispielsweise Einmalpasswörter. In diesem Fall wird bei einem Brute-Force-Versuch der zweite Authentifizierer und nicht das Konto gesperrt. Somit behält der Mitarbeiter die Möglichkeit, auf Unternehmensressourcen zuzugreifen, wenn auch nur über eine alternative Verbindung oder bei lokaler Arbeit.

· Verlust oder Ausfall eines Mediums, das Sicherheitsschlüssel speichert

Bei der Erfüllung ihrer Arbeitsaufgaben können Remote-Mitarbeiter digitale Zertifikate nutzen, um Dokumente zu signieren, Verbindungen zu Webdiensten von Drittanbietern herzustellen oder andere Aufgaben zu erfüllen. Gleichzeitig entsteht bei Verlust oder Ausfall des Geräts (zum Beispiel des USB-Sticks, auf dem die Schlüssel gespeichert sind), das Problem der zügigen Ersetzung. Häufig kann dies nicht innerhalb einer angemessenen Frist umgesetzt werden, insbesondere wenn sich der Mitarbeiter weit entfernt vom Büro befindet.

Um die Bedrohung zu neutralisieren, können Sie spezialisierte Lösungen verwenden, die eine virtuelle Smartcard implementieren, die Schlüsselinformationen nicht auf einem austauschbaren Gerät speichert.

In diesem Fall wird die Schlüsselspeicherung auf folgende Weise erfolgen:

1) Auf der Serverseite werden alle Operationen mit Schlüsseln auf dem Server durchgeführt.

2) Ein spezialisiertes Modul innerhalb des Geräts – Trusted Platform Module.

Solche Lösungen gelten als weniger sicher als entnehmbare, geschützte Medien, sind jedoch die flexibelsten und am besten geeigneten für die beschriebene Notfallsituation.

Nach dem Austausch des Schlüssels kann die virtuelle Smartcard deaktiviert werden. So gibt es selbst bei Verlust oder Beschädigung des Schlüsselträgers keine Ausfallzeiten in den Geschäftsprozessen des Unternehmens.

Gefahren der Nichtzuschreibung der Handlungen, die zum Vorfall geführt haben

· Streitigkeiten im Falle eines Ausfalls einer kritischen Ressource

Bei der Arbeit von privilegierten Benutzern mit IT-Ressourcen besteht stets das Risiko menschlicher Fehler. Ihre Handlungen können selbst zum Ausfall einer kritischen Ressource führen.

Selbst beim Arbeiten direkt vor Ort in einer Organisation kann es schwierig sein herauszufinden, was passiert ist und wer für den Ausfall verantwortlich ist. Im Falle eines Fernzugriffs wird diese Situation komplizierter. Die Untersuchung solcher Vorfälle wirkt sich nicht nur negativ auf das Arbeitsumfeld aus, wenn es Versuche gibt, die unschuldige Partei zu beschuldigen, sondern verschwendet auch viel Zeit mit unproduktiven Aktionen.

Die Nutzung von SIEM-Lösungen ermöglicht es Ihnen wahrscheinlich, herauszufinden, wer sich mit der Ressource verbunden hat, aber es ist unwahrscheinlich, dass Sie präzise bestimmen können, wer verantwortlich ist, im Falle von mehreren gleichzeitigen Verbindungen. Und die Handlungsabfolge, die zum Ausfall geführt hat, ist ebenfalls schwer zu ermitteln.

Bei der Verwendung von Privileged Access Management (PAM) -Lösungen können jedoch alle Verbindungen von privilegierten Benutzern in verschiedenen Formaten (Video, Text, Screenshots, Tastatureingaben, übertragene Dateien usw.) aufgezeichnet werden. Anhand dieser Protokolle können Sie später schnell feststellen, welche Handlungsabfolge zum Ausfall geführt hat und die verantwortliche Person identifizieren.

· Versuch, die Verantwortung zu umgehen

Es gibt Situationen, in denen ein bösartiger Insider in einem Unternehmen arbeitet. Er kann absichtlich Aktionen durchführen, die zu einem Ausfall oder einer Störung einer kritischen Ressource führen könnten. Die Aufgabe, den Verantwortlichen zu identifizieren, ist an sich nicht einfach; jedoch können Sie mit PAM-Lösungen schnell den Übeltäter finden.

Wenn ein Mitarbeiter erwischt wird, könnte er behaupten, dass sein Passwort gestohlen wurde. Es ist kein Geheimnis, dass die Passwort-Authentifizierung sehr anfällig für verschiedene Bedrohungen ist und die Offenlegung oft erst nach dem Vorfall bekannt wird.

Offensichtlich könnten Sicherheitsbeauftragte in einer solchen Situation denken, dass der Mitarbeiter unschuldig ist und dass das, was passiert ist, nur ein unglücklicher Zufall war.

Um diese Bedrohung zu neutralisieren, wird empfohlen, 2FA in Verbindung mit der PAM-Lösung zu verwenden. Wenn der Mitarbeiter tatsächlich ein schädlicher Insider ist, wird es für ihn schwierig sein, Verantwortung zu vermeiden. Falls ein Mitarbeiter behauptet, dass nicht nur sein Passwort, sondern auch sein Telefon gestohlen wurde, auf dem ein Einmal-Passwort-Generator installiert ist, wird ihm eine logische Frage gestellt: „Warum haben Sie nicht rechtzeitig die Sicherheitsabteilung darüber informiert?“

Fazit

Wenn wir zusätzliche Bedrohungen in Betracht ziehen, die beim Arbeiten aus der Ferne auftreten, müssen wir im Hinterkopf behalten, dass sich Sicherheitsbedrohungen in der Informationstechnologie mit der Entwicklung von IT-Technologien weiterentwickeln. Angreifer passen sich an und suchen immer nach neuen Wegen, um mehr Geld zu verdienen. Solange die Verteidigungssysteme nicht vollständig auf die neuen Realitäten umgebaut sind, können Cyberkriminelle Ihre alten und neuen Schwachstellen für ihre eigenen Zwecke ausnutzen.

Inzwischen hat das Format der Fernarbeit fest Einzug in unser Leben gehalten und wird in einigen Ländern sogar auf Staatsebene reguliert. Daher müssen Informationssicherheitsspezialisten gründlich und bedacht überlegen, inwieweit die bestehenden Schutzsysteme in der Lage sind, modernen Cyber-Herausforderungen zu begegnen. Wir mussten sogar anfangen, Dinge in Betracht zu ziehen, die wir nie für nötig gehalten hätten, wie zum Beispiel die Sicherheitsrisiken beim Auswärtsessen.