Privileged Access Security ist besser als VPN

VPNs wurden lange Zeit als der gängige Standard für den Fernzugriff von externen Akteuren wie Dienstleistern oder freien Mitarbeitern auf IT-Netzwerke betrachtet. Heutzutage jedoch sind sie häufig der Ausgangspunkt für Cyberangriffe.

Die moderne und fortschrittliche Lösung für den sicheren Zugang Externer nennt sich PAS, was für „Privileged Access Security“ steht. Diese Technologie basiert auf den Konzepten des Privileged Access Management (PAM), um sowohl den Zugriff als auch die Verwaltung und Sicherung externer Anwender zu optimieren. PAS-Systeme sind äußerst anpassungsfähig und bieten eine erhöhte Sicherheit, da sie individuell auf spezifische Nutzer und Szenarien abgestimmt werden können. Außerdem ermöglichen sie eine teilweise oder vollständige Automatisierung zahlreicher Prozesse, die mit Privileged-Access-Lösungen verbunden sind, was die IT- Sicherheit insgesamt verbessert und die IT-Abteilung merklich entlastet.

Die Südwestfalen‑IT, ein IT-Dienstleister mit Fokus auf Unternehmen und öffentliche Einrichtungen, wurde Ende Oktober 2023 Opfer eines Ransomware‑Angriffs, der weite Teile der IT‑Verfahren von mehr als 70 Kommunen lahmlegte. Laut Forensik erlangten die Angreifer Zugang über eine softwarebasierte VPN‑Lösung, in der eine Zero‑Day‑Schwachstelle steckte und für die keine Multifaktor-Authentifizierung vorgeschrieben war.

Wahrscheinlich kamen die Cyberkriminellen über einen Brute‑Force‑Angriff bzw. das Ausnutzen schwacher Passwörter an die Zugangsdaten. Im internen Netzwerk konnten die Angreifer aufgrund vorhandener Sicherheitslücken in der relevanten Windows‑Domäne ihre Rechte bis zu Domain‑Administrator‑Rechten ausweiten. Diese Faktoren erklären, warum ein einzelner Einstiegspunkt ausreichte, um in kurzer Zeit viele zentrale Systeme zu verschlüsseln.

Der Angriff wurde vermutlich absichtlich an einem Sonntagabend gestartet und blieb deshalb über viele Stunden unerkannt; erst am Montagmorgen wurden Systeme heruntergefahren und vom Internet getrennt. Dadurch konnten u.a. Backups und andere Domänen geschützt werden, aber es kam dennoch zu einem langen Notbetrieb in den Kommunalverwaltungen. Die vollständige Wiederherstellung von rund 160 Anwendungen, mit ca. 22.000 Arbeitsplätzen, und der Übergang in den Normalbetrieb wurden erst elf Monate nach dem Angriff abgeschlossen.

Dieses echte Beispiel zeigt deutlich: Um die Gefahren durch Cyberangriffe effektiv zu reduzieren, ist es unerlässlich, Angriffsoberflächen zu verringern oder vollständig zu eliminieren. Ein vollständiger Schutz kann jedoch nie gewährleistet werden. Früher galten Virtuelle Private Netzwerke (VPNs) als das ultimative Mittel für den sicheren Zugriff von Externen auf interne IT-Strukturen, doch weisen sie mittlerweile Schwachstellen auf, die solche Angriffe begünstigen können. Unternehmen, die Dritten Zugang zu ihren IT-Systemen gewähren, sehen sich daher mit erheblichen Herausforderungen konfrontiert.

Herausforderung: Verwaltung und Kontrolle von VPNs

Wer einmal einen VPN-Zugang erhalten hat, kann diesen jederzeit unkontrolliert nutzen. Dieser Freifahrtschein ist eine Einladung an Cyberkriminelle, denn es ist schwer festzustellen, ob jemand illegal über ein „erobertes“ VPN in das Firmennetz eindringt. Sie können sich dort erweiterte Rechte beschaffen und damit Vollzugriff auf alle Systeme erhalten sowie Dateien hoch- und runterladen. Das heißt, sie können entweder sensible Informationen verändern, stehlen oder Tools für Attacken installieren.

Alternativ können sogenannte Jump-Hosts betrieben werden, über die der sichere Zugang auf interne Ressourcen gewährt wird. Wartung und Betrieb sind jedoch aufwändig, und die Sicherheitsvorkehrungen wenig flexibel. Wer dort einmal Zugang hat, dem stehen ebenfalls die Tore in das IT-Netzwerk der kompletten Organisation offen.

Zudem erfordern immer mehr IoT-Geräte sichere Wartungszugänge, z.B. Telefonanlagen, Haustechnik, Medizingeräte in Krankenhäusern, Maschinensteuerungen usw. Die Zahl der potentiellen Einfallschneisen für Cyberkriminelle wächst weiter, während die zuverlässige Kontrolle von Tausenden von VPN-Zugängen in der Praxis kaum zu schaffen ist.

Denn es fehlt meist an Ressourcen, um einmal gewährte VPN-Zugänge zu verwalten. Oftmals werden VPN-Zugriffe aus aktuellem Anlass schnell eingerichtet, Zugriffe nicht eingeschränkt und zu viele Ports geöffnet. Im Alltagsgeschäft wird oft nach Abschluss von temporären Arbeiten vergessen, die Zugriffsrechte einzuschränken oder ganz zu entziehen. Und schon ist das Sicherheitsrisiko da.

Sicherer, flexibler, individueller: Privileged Access Security

Privileged Access Security (PAS) ist das Konzept mit dem den Herausforderungen, denen sich Betreiber von VPNs gegenübersehen, begegnet werden kann. Es bietet flexible und hochsichere Lösungen, die das Zeug dazu haben, VPNs zu ersetzen.

Vendor Privileged Access Management (VPAM) kann beispielsweise an Stelle von VPN-Zugängen eingesetzt werden, und besser kontrolliert und viel fein granularer als VPN für den jeweiligen Nutzer eingerichtet werden, und damit die IT-Sicherheit deutlich erhöhen.

So lassen sich mehrere Sicherheitsstufen einziehen. Die Verbindung kann eingeschränkt werden, etwa auf Port 443. Die gesamte Kommunikation kann über diesen Port stattfinden, so dass keine weiteren Ports offen sein müssen. Nach einer Anmeldung kann zusätzlich die Genehmigung eines Zugriffs verlangt werden. Nach Arbeiten an IT-Systemen können Passwörter automatisch erneuert werden, um zu verhindern, dass ausgespähte Passwörter oder solche, die aus dem Arbeitsspeicher extrahiert wurden, noch genutzt werden können. Datentransfer kann generell ausgeschlossen oder nur mit Einschränkungen erlaubt werden, z.B. dass ein Datei-Upload einer extra Genehmigung bedarf.

Mit PAS-Lösungen lassen sich Zero-Trust-Architekturen umsetzen. So können Wartungs-Accounts kurzfristig erst zum Zeitpunkt der Wartung angelegt werden und umgehend danach teilautomatisiert gelöscht werden. Wer die Infrastruktur dafür nicht selbst vorhalten will, kann VPAM als SaaS-Lösung bei Bedarf aus der Cloud beziehen.

Fernwartung und Logs inklusive

Das Konzept der Privileged Access Security bietet enorme Flexibilität, um Fernzugriffe von Externen abzusichern und gleichzeitig einfacher zu machen.

Dienstleister mit vielen Kunden können selbst ein sogenanntes Customer Privileged Access Management (CPAM) aufsetzen. Sie erhalten damit eine Alternative zu gängigen Fernwartungstools. Der Aufwand, neue Wartungskunden anzulegen, ist jedoch mit CPAM geringer.

Grundsätzlich wird bei Privileged-Access-Management-Lösungen immer eine Dokumentation mitgeführt. Das heißt: Es ist zu jederzeit nachvollziehbar, wer, wann, welche Änderungen am System vorgenommen hat. So lässt sich beispielsweise feststellen, von welchem Mitarbeitenden zu welcher Zeit eine Software oder eine Maschine mit welchen Parametern eingestellt wurde.

PAS-Systeme sind äußerst anpassungsfähig und bieten eine erhöhte Sicherheit, da sie individuell auf spezifische Nutzer und Szenarien abgestimmt werden können.

Olaf Milde, Imprivata

Bei der Fernwartung von CTs, MRTs oder Sterilisatoren in Krankenhäusern kann mit VPAM trotz lokal installierter Steuerungssoftware direkt auf die Steueranlage des jeweiligen Geräts zugegriffen werden. Damit wird es überflüssig, jedes Gerät, in dem die Steuerung umprogrammiert werden muss, zu besuchen. Dieses Szenario gilt natürlich auch für andere industrielle Großanlagen, etwa Windräder im Offshore-Betrieb und kann zu erheblichen Ressourceneinsparungen führen, ohne dass das Risiko einer VPN-Kaperung besteht.

Multifaktorauthentifizierung erhöht Sicherheit

PAS-Lösungen, einschließlich VPAM und CPAM, erlauben es, Verfahren vorzugeben, wie sich Externe authentifizieren müssen. Hier kann zwischen Token, Biometrie (Fingerabdruck oder Gesichtserkennung), Windows Hello oder Codes, die per Mail oder SMS versandt werden, ausgewählt werden. Wenn gewünscht kann auch Mehrfaktorauthentifizierung ausgewählt werden, die über zwei Faktoren hinaus geht. Zudem kann eingestellt werden, welche Aktionen dem Externen erlaubt sind, etwa in puncto Dateitransfer oder Einsatz von Remote Desktop Protocol (RDP). Bei Bedarf können sogar Tastatureingaben und Bildschirmansichten aufgezeichnet werden, um Änderungen nachvollziehen zu können.

Wird ein VPAM in der Cloud betrieben, können sich Hersteller sogar selbst für Fernzugriffe registrieren. Viele große Dienstleister, wie General Electric, Philips oder Siemens, sind sogar bereits voreingestellt und müssen nur aktiviert werden.

Wenn auf IoT-Geräte oder -Maschinen zugegriffen werden soll, die mittels lokal installierter Programme angesprochen werden müssen, kann über https-Verbindungen „durchgetunnelt“ werden.

PAS-Lösungen werden VPN vielerorts ersetzen

Das Zeitalter des massenweisen Einsatzes von VPN zur Lösung aller Herausforderungen des Fernzugriffs Externer neigt sich dem Ende. Der Trend geht zu Web-Plattformen, an denen sich Externe für den Zugriff anmelden und authentifizieren müssen. Die Prüfung von Zertifikaten ist wesentlich sicherer als die Eingabe von Benutzername und Kennwort über die Tastatur. Der Trend geht dabei zu passwortlosen Verfahren über Gesichtserkennung, Passkeys oder den offenen Standard für passwortlose Authentifizierung Fast Identity Online, abgekürzt FIDO2.

Das weiterwachsende Risiko, durch Cyberkriminelle attackiert zu werden, macht es für IT-Abteilungen, CISOs, CIOs und Geschäftsführer notwendig, sich gegen neue und zukünftige Bedrohungen zu wappnen. NIS2 wird sicher nochmal für einen Schub sorgen, wenn Unternehmensleiter in die persönliche Haftung genommen werden, falls sie nachweislich zu wenig getan haben, um IT-Risiken zu vermeiden. Vor diesem Hintergrund ist auch der Trend weg von VPN hin zum Privileged-Access-Security-Lösungen zu sehen.