Thought Leadership
Unternehmen müssen in immer stärkerem Umfang Remote-Mitarbeiter und -Dienstleister in der IT-Sicherheit berücksichtigen. Folglich ist es wichtig, dass sie die verschiedenen Arten von Benutzern kennen, die sich von außerhalb in ihre Systeme einloggen.
Und in einem nächsten Schritt ist es erforderlich, diese Zugriffe zu verwalten, zu sichern und zu überwachen. Dafür ist eine Privileged-Access-Management-Lösung unverzichtbar.
Mehr als die Hälfte der remote arbeitenden Mitarbeiter in Deutschland nutzen unsichere private Geräte für den gelegentlichen oder regelmäßigen Zugriff auf Unternehmenssysteme. Dieses Ergebnis liefert die Untersuchung „Remote Work“, die CyberArk in Auftrag gegeben hat.
92% der befragten IT-Verantwortlichen in Deutschland sind zwar der Meinung, dass sie die neuen Remote-Mitarbeiter sicher an das Unternehmensnetz anbinden. Allerdings haben mehr als zwei Drittel (67%) keine zusätzlichen Sicherheitsmaßnahmen ergriffen, obwohl die Verbindung mit den Unternehmenssystemen in anderer Art und Weise erfolgt und zudem neue Applikationen genutzt werden. Dazu zählen etwa bei 68% der remote arbeitenden IT-Mitarbeiter Kommunikations- und Kollaborationstools wie Zoom oder Microsoft Teams, bei 52% Cloud-Anwendungen und bei 49% VPN-Lösungen.
Diese Ergebnisse zeigen, dass mit der verstärkten Nutzung von Home-Office auch die Gefahren für unternehmenskritische Systeme und vertrauliche Daten steigen. Aber die Remote-Arbeit betrifft keineswegs nur die eigenen Mitarbeiter, sondern in hohem Maße auch den Zugriff externer Dienstleister auf interne Unternehmenssysteme. Sowohl eigene Mitarbeiter als auch externe Personen benötigen dabei oft Zugang zu unternehmenskritischen Systemen.
Zu unterscheiden sind im Wesentlichen fünf unterschiedliche Benutzertypen:
Remote IT- oder IT-Security-Mitarbeiter
Bei den allgemeinen IT- und IT-Security-Mitarbeitern wie Domain- oder Netzwerk-Administratoren müssen die genauen Zugriffsebenen ermittelt werden, die sie bei der Remote-Arbeit benötigen. Auf dieser Basis sind dann entsprechende Least-Privilege-Prinzipien zu etablieren. Nach wie vor setzen viele Unternehmen auf unsichere und ineffiziente Zugriffsmethoden: In der Regel werden VPNs genutzt. Sie bieten aber nicht das erforderliche Maß an granularem Zugriff auf Zielsystem- oder Anwendungsebene, um einen Least-Privilege-Ansatz effektiv umzusetzen.
Drittanbieter von Hardware, Software und IT-Services
Auch bei den Remote-Services etwa für die Fernwartung durch Drittanbieter von Hard- und Software und IT-Dienstleister werden häufig erhöhte Privilegien und Admin-Zugriffsrechte benötigt, zum Beispiel für die Durchführung von Systemaktualisierungen, das Security Patch Management oder Trouble-Shooting. Es ist zwingend erforderlich, alle Benutzer mit Domain-Admin-Rechten zu identifizieren und ihnen nur die für ihre Tätigkeiten erforderlichen Zugriffsrechte zuzuweisen. Status quo ist vielfach, dass oft mehr Rechte zugewiesen werden, als für eine konkrete Aufgabenstellung benötigt werden.
Dienstleistungsunternehmen
Für die Durchführung fachspezifischer Aufgaben in Bereichen wie Rechtsabteilung oder Gehaltsabrechnung benötigen auch Dienstleistungsunternehmen unter Umständen Zugang zu kritischen Geschäftsanwendungen. Auch hier gilt: Jeder einzelne externe Benutzer muss identifiziert werden. Mit der Umsetzung von Least-Privilege-Prinzipien muss dann sichergestellt werden, dass die externen Personen keinen Zugriff auf Anwendungen außerhalb ihres Zuständigkeitsbereichs erhalten.
Supply-Chain-Beteiligte
Bezogen auf den Supply-Chain-Bereich ist zu berücksichtigen, dass eine umfassende Vernetzung verschiedenster Unternehmen vorhanden ist und dadurch oft auch Externe einen – teilweise indirekten – privilegierten Zugriff auf interne IT-Systeme erhalten, zum Beispiel auf sensible Daten im Kontext von Produktionsprognosen oder Qualitätskontrollen. Oft werden Supply-Chain-Beteiligte wie Lieferanten oder Logistiker unter Sicherheitsaspekten außer Acht gelassen, da sie keine Administratorenrechte besitzen. Allerdings verfügen auch sie über Zugriffsmöglichkeiten, die böswillige Angreifer mit Schadenfolge für das Unternehmen nutzen könnten.
Externe Consultants
Nicht zuletzt benötigen Unternehmens- und IT-Berater manchmal einen privilegierten Zugriff auf Systeme. Ein solcher Zugang darf aber nur für den Zeitraum ihrer Tätigkeit eingeräumt werden. Dabei muss definiert werden, welche Art von Zugang die Berater benötigen und wie lange er verwendet werden darf. Außerdem sollte der Zugang eines externen Beraters überwacht und gesichert werden, solange er aktiv ist.
Viele Remote-Tätigkeiten erfordern somit privilegierte Zugriffsrechte für sicherheitskritische Systeme. Für die stringente und aufwandsneutrale Verwaltung, Sicherung und Überwachung der privilegierten Zugriffe ist eine Lösung im Bereich Privileged Access Management notwendig, die auch dezidiert die Verwaltung von privilegierten Zugriffen von Remote-Usern oder Externen wie Drittanbietern und Dienstleistern abdeckt. Eine moderne Lösung bietet dabei Zero-Trust-Zugang, biometrische Authentifizierung und Just-in-Time-Provisionierung. Und im Idealfall werden auch keine VPNs, Agenten oder Passwörter benötigt. Damit sinkt der Administrationsaufwand für Unternehmen und die Sicherheit wird gleichzeitig erhöht.
