Hand aufs Herz – Können Sie für diesen Moment sagen, wie viele externe Benutzer mit Ihrem Unternehmensnetzwerk verbunden sind? Im Normalfall werden Sie diese Frage adhoc mit Nein beantworten müssen. Vielleicht ist es Ihnen möglich die internen tagtäglichen Benutzer zu benennen, diese Gruppen zuzuordnen und zu tracken. Doch für Externe Benutzer, wie z.B. IT-Dienstleister, Zulieferer oder Fernwartungsfirmen gilt dies in den meisten Fällen nicht.
Doch sind es nicht vor allem diese Benutzer die Sie im Auge haben sollten? Diese, die teilweise mit dem logischen Generalschlüssel für Ihre kritischen Bereiche herumlaufen und sich frei und unbeobachtet in ihrer Infrastruktur bewegen.
Würden Sie Ihre Türen und Fenster im Büro offen stehen lassen? Hätten Sie ein gutes Gefühl dabei wenn Fremde unbeachtet herein und wieder raus spazieren?
Die Sicherheitsmaßnahmen für den externen Zugang zu Ihren Systemen durch Ihrer Lieferanten oder den IT-Support müssen auf mehr als nur blindem Vertrauen und Service Level Agreements beruhen. Sie müssen nicht nur wissen, welche Technologien und Tools die verschiedenen Anbieter für den Zugriff auf Ihr Netzwerk verwenden, sondern sollten auch überwachen und wissen, wann und in welchem Umfang diese auf Ihre Systeme zugreifen und welche Aktivitäten sie durchführen. Live und retroperspektiv.
Top-Risiko Fernwartungszugänge
IT-Serviceprovider, langjährige externe Firmen, Remote-Support, Techniker, Zulieferer, externe Mitarbeiter, Data-Scientist – Die Liste von Dritten, die in ihren Geltungsbereichen temporären oder jederzeit Zugang zu Ihrem Unternehmensnetzwerk fordern ist sehr lang. Dazu kommt noch, dass eine zentrale Bereitstellung der Zugangswege aufgrund hybrider und cloud-basierter Infrastrukturen durchaus herausfordernder wird. Fakt ist: Es vergeht wohl kein einziger Tag an dem niemand von Außen auf ihre internen schützenswerten Assets zugreift. Remote Access gehört zum absolut zum Standard, egal ob in der Buchhaltung, der Produktion oder IT-Administration.
Dritte greifen dafür auf gängige Lösungen, wie VPN-Verbindungen, JumpServer oder Application-Sharing-Tools zurück. Diese haben alles eines gemeinsam: Sie verbinden die Sicherheitszone im Netzwerk Ihres Unternehmens mit der unkontrollierten Sicherheitszone des externen Anwenders.
Das bedeutet, dass sorgfältig aufgebaute Sicherheitsmaßnahmen, die Sie intern zum Schutz von unterschiedlichen Netzwerkbereichen sorgfältig aufgebaut haben, in diesem Fall stark gefährdet sind. Oben drein nutzen die Mitarbeiter von außen kommend meist anonyme Benutzer-Accounts, wie z.B. „admin.firmaXY“. Das heißt, dass Benutzeraktivitäten im Streitfall oder zu Aufklärungszwecken keiner Person zugeordnet werden können. Unternehmen implementieren in der Regel VPNs, um den Zugang für Drittanbieter unkompliziert zu ermöglichen Fälschlicherweise geht man davon aus, dass dies zur absoluten Erhöhung der Cyber-Sicherheit führt. VPNs ermöglichen zwar den Zugriff, sind aber vorallem eins: Ein Tunnel. Über Aktivitäten innerhalb eines (VPN-)Tunnels haben Sie von außen keinen Einfluss. Diese Möglichkeit garantiert den zwar den dedizierten Zugang, lässt aber noch keine Schlüsse zu, was wann wo und wie durch Benutzer Dritter getan wurde.
Ein unkontrollierter Zugang für Drittanbieter birgt unzählige Gefährdungen
Einschleusen von Schadsoftware
Unzureichend geschützte Zugangsdaten, so dass sie abgefangen oder wiederverwendet werden können, potenzieren das Risiko. Beim VPN-Zugang fehlt es an granularen Kontrollen. Malware könnte immer noch über den Anbieterzugang in Ihre Systeme eindringen. Das Fehlen granularer Kontrollen im VPN bedeutet auch, dass das Anbieterkonto möglicherweise viel mehr Zugriff auf Systeme hat als nötig, was das Risiko eines Missbrauchs erhöht – vor allem, wenn das Konto von einem Bedrohungsakteur kompromittiert wird.
Menschen machen Fehler
Einige Bedrohungen durch Anbieter sind nicht böswilliger Natur. So können beispielsweise Fehler eines externen IT-Administrators zum Stillstand von Produktionsanlagen oder Ausfall des ERP Systems führen, unbeabsichtigt Sicherheitslücken öffnen oder zu Compliance-Problemen führen. Das Risiko eines Anwenders steigt hierbei im Verhältnis zu erteilten Zugriffsrechten und unkontrollierten Privilegien. Im Fall der Fälle verschlimmert sich ein Cyber-Vorfall dadurch, dass Fehler nicht reproduziert werden können, wenn Sitzungs-Aufzeichnungen fehlen oder Aktivitäten nicht sauber Personen zugeordnet werden können.
Nicht-Einhaltung von gesetzlichen und vertraglichen Anforderungen
Die Einhaltung von erlassenen Vorgaben und Richtlinien zur Aufrechterhaltung der Informationssicherheit ist meist schon intern eine große Herausforderung. Wer aber kontrolliert die Passwort-und Zugangsregelung bei Ihrem Drittanbieter, der Zugriff auf Ihre IT-Infrastruktur hat? Oftmals unterliegen die Anmeldeinformationen, die von dem externen Anbieter verwendet werden, nicht der direkten Kontrolle des Kunden. Zwei unterschiedliche und Netzwerke mit zwei Benutzerverzeichnissen und heterogenen Sicherheitsanforderungen machen die Einhaltung der Sicherheitsvorschriften fast unmöglich. Lieferantenaudits und Service Level Agreements erhöhen die organisatorische Sicherheit, doch Selbst wenn Sie sicherstellen könnten, dass bewährte Sicherheitspraktiken eingehalten werden, haben Sie möglicherweise keinen Einblick in die letztendlichen Aktivitäten, die durch Dritte im Verborgenen in Ihrer internen IT-Infrastruktur stattfinden.
Grundlegende Maßnahmen zur Absicherung von Fernwartungszugängen
- Abschaffung von Funktions- und Sammelaccounts
Eine eindeutige Zuordnung von Benutzeraktivitäten zu realen Personen gewährleistet eine saubere Rückverfolgbarkeit im Ernstfall und verhindert die unkontrollierbare Nutzung von gleichen Passwörtern durch mehrere Anwender. Die Dokumentation von Tätigkeiten erfordert die Verknüpfung mit der Personen die diese ausführt. Ausnahmslos. - Multi-Faktor-Authentifizierung (MFA)
Multi Faktor Authentifizierung ist ein Muss für jeden sensiblen Zugriff auf Server, Anwendungen und Daten. Um ein höheres Maß an Identitätssicherheit für den Fernzugriff von Anbietern und Mitarbeitern zu gewährleisten, muss ein zusätzlicher unabhängiger Faktor für die Authentifizierung von Sessions implementiert werden. Es ist wichtig, dass der zweite Faktor niemals auf dem selbem Gerät empfangen wird, auf dem der primäre Login durchgeführt wird. Technisch kann dies ausgeschlossen werden. - Vergabe geringstmögliche Rechte – Der gesamte Zugriff sollte auf genau das Set an Werkzeugen und Berechtigungen beschränkt werden, das ein Benutzer für die Ausübung seiner festgelegten Rolle benötigt. Gepaart mit festen Zeiträumen in denen der Benutzer die Möglichkeit hat, die IT-Infrastruktur zu betreten, mündet dies in einem Just-in-Time-Modell. Kein Zugriff sollte unbefristet und dauerhaft sein und Vorgaben entsprechen, d. h. er wird nur gewährt, wenn bestimmte Parameter erfüllt sind und er wird entzogen sobald die Tätigkeit abgeschlossen ist, sich der Kontext ändert oder eine bestimmte Zeit verstrichen ist.
- Überwachung und Kontrolle der Netzwerkinfrastruktur – Autorisierte Personen innerhalb Ihrer IT-Abteilung sollten stets einen Live-Überblick über alle privilegierten Benutzer haben, die sich im Netzwerk befinden. Darüber hinaus muss retroperspektiv bestimmt werden können, wer wann wo tätig war. Bei Bedarf sollte es möglich sein, alle Benutzer im Netzwerk zu identifizieren und im Notfall aus der Infrastruktur zu entfernen.
Bieten Sie Ihren Lieferanten, Dienstleistern und externen Mitarbeitern ein zentrales Portal zum Zugriff auf die individuell benötigten Ressourcen für ihre tägliche Arbeit innerhalb ihrer IT-Infrastruktur.
Führendes Privileged Access Management Portfolio mit Remote Support aus Deutschland
VISULOX ist eine einzigartige Privileged Access Management Lösung mit Fokus auf die Kontrolle von Fernzugängen.
VISULOX ermöglicht ihrer internen IT-Abteilung, den privilegierten Fernzugriff von externen Mitarbeitern, Dienstleistern sowie Lieferanten zu kontrollieren, zu überprüfen und automatisch zu dokumentieren.
Hierfür sind keine Agents auf Clients oder Modifikationen an Servern notwendig. VISULOX installieren wir on-the-fly ohne Betriebsunterbrechung.
Branchenunabhängig verlassen sich unser Kunden auf unsere Privileged Access Management Lösung und legen größten Wert auf die Vorteile unserer einzelner Module:
- Das Prinzip der Vergabe geringster Berechtigungen: Stellen Sie einem privilegierten Anwender ausschließlich seine benötigten Anwendungen, Tools und Berechtigungen bereit, die er auch zur Ausführung seiner Arbeit zwingend benötigt. Und das nur in den Zeiträumen, in denen er diese benötigt – Just in Time. Legen Sie fest auf welche Endpunkte, ein Benutzer wann zugreifen darf und welche Aktionen während einer Sitzung erlaubt sind. Entziehen Sie dem Benutzer bspw. die Copy & Paste Funktionalitäten oder stellen Sie ihm eine einzige dedizierte Anwendung ohne Desktop-Oberfläche bereit. Bei Bedarf ist es möglich Benutzer auch aufgrund ihres Standorts einzuschränken und autorisierte Personen zu benachrichtigen, falls gegen festgelegte Sicherheitsparameter verstoßen wird.
- Sichere Authentifizierung und Passwortverwaltung:
Erhöhen Sie die Login-Sicherheit adhoc durch das Erzwingen einer Multi-Faktor-Authentifizierung (MFA). Identitätssicherheit durch die Integration einer MFA zur Verwaltung von Passwörtern von Anbietern und externen Mitarbeitern. Es ist möglich Single Sign On Funktionalitäten zu etablieren, so dass bei ausgewählten Sitzungen, Benutzer niemals ein Passwort zu Gesicht bekommen. Der integrierte Passwort-Cache unterstützt die IT-Organisation bei der Durchsetzung von Passwortrichtlinien auch für Nutzer außerhalb der eigenen IT-Infrastruktur. Eine fortlaufende Änderungen der privilegierten Benutzerkennwörter, SSH-Keys verstärkt die Robustheit der Externen Zugangsplattform. Eine standardmäßig integrierte MFA-Funktionalität unterstützt zahlreiche Faktoren, wie z.B. OTP, E-Mail, SMS, Voice, physische Token usw. Herstellerunabhängig ist es möglich bestehende MFA-Lösungen nahtlos zu integrieren. - Belastbare Tätigkeitsnachweise auf Knopfdruck:
Auf der einen Seite sollten alle Tätigkeiten, die durch Dritte innerhalb Ihrer IT-Infrastruktur durchgeführt werden dokumentiert werden. Im Idealfall dienen diese Aufzeichnung als operativer Leistungsnachweis für Tätigkeiten. Auf der anderen Seite hat ein privilegierter Benutzer die Möglichkeit, kritische Befehle oder herausfordernde Tätigkeiten freiwillig zur Nachvollziehbarkeit aufzuzeichnen. Ein Benutzer kann unter keinen Umständen heimlich aufgezeichnet werden. Selbst im Falle der Kooperation mehrerer Benutzer durch Application-Sharing, ist es möglich Benutzerinterkationen individuell und getrennt voneinander aufzuzeichnen. Das optionale Key-Stroke Recording erlaubt es, Konsoleneingaben und Befehle transparent festzuhalten. Die Filme besitzen eine definierbare Speicherdauer entsprechend gesetzlicher oder organisatorischer Anforderungen und werden bei einem Volumen von ca. 5 Mb pro Stunde verschlüsselt und revisionssicher gespeichert.
VISULOX ist eine führende Privileged-Access-Management-Lösung mit integrierter Remote-Support-Plattform für sicheren externen Zugriff. Wir helfen bei der Beantwortung der Frage, wer was, wo und wann in IT-Infrastrukturen getan hat.
amitego ist der führende Anbieter von Privileged Access Management Lösungen und Remote Support Plattformen in Deutschland. Wir entwickeln unsere Lösungen in Stuttgart seit 2003.
VISULOX ist global im Einsatz und erfüllt bei Kunden zum einen die Aufgaben, die durch den eigentlichen Betrieb gestellt werden. Und liefert zum anderen die durch Gesetze oder Regularien geforderten Nachweise. Gerade die Transparenz der Tätigkeiten durch Dritte ist zwingend erforderlich, um die Kontrolle über die eigentlichen Nutzeraktivitäten bei Zugriffen auf die IT-Infrastruktur zu gewährleisten.
Die Lösung wird heute bei einer Vielzahl von Unternehmen aus verschiedensten Branchen in vielen Ländern eingesetzt. Von Installationen mit 5 Usern bis hin zu Enterprise Installationen mit über 7.500 gleichzeitigen Anwendern, bei KMUs und Dax30 Unternehmen. Alles zu implementieren ohne Änderungen an Clients oder Servern.
Unsere Erfahrung zeigt, dass wir gut zuhören können. Ein kurzes persönliches Gespräch kann sehr oft lange Wege ersparen. Wir würden uns freuen Sie in einem kurzen Termin, auf Wunsch mit einer möglichen Live Demo, kennenzulernen.
