Warum ein VPN als Schutz für das Home-Office nicht ausreicht!?

Fragt man die Leute heute, wie sie sich mit ihrem Unternehmen verbinden, um von zu Hause zu arbeiten, dann kommt oft die Antwort “ja, mit einem VPN”. Damit wiegen sich Viele in Sicherheit und glauben, dass damit der IT-Security im Zusammenhang mit der Remote-Arbeit schon genüge getan wäre. Das ist aber ein Irrglaube, der leider sehr weit verbreitet ist. Ich habe mir einmal die Mühe gemacht, ein paar Sicherheitsaspekte rund um die Arbeit im Home-Office näher zu beleuchten und verschiedene Szenarien aufzuzeigen, die trotz eines VPNs zwischen Home-Office und Unternehmen zu einem Sicherheitsrisiko werden können.

Zuvor möchte ich aber eine Lanze für die vielen IT-MitarbeiterInnen in den Unternehmen brechen. In vielen Unternehmen standen die IT-Verantwortlichen nämlich unter immensem Druck, quasi über Nacht, die Unternehmensnetze irgendwie Home-Office-tauglich zu machen. Das war in großen Unternehmen, die schon immer eine Strategie für das Home-Office hatten, sicher leichter als in Unternehmen, die bislang noch keine Berührungspunkte damit hatten. Es ist schlicht nicht möglich, aus dem Stand hunderte von Mitarbeitern mit Home-Office-tauglichen Endgeräten auszustatten oder die notwendigen Bandbreiten beim Unternehmensanschluss über Nacht bereitzustellen. Teilweise waren Notebooks ähnlich ausverkauft wie Klopapier – und Nachschub aus China war aus bekannten Gründen vorerst nicht zu erwarten. Maßnahmen, z.B. um Unternehmensanwendungen über das Internet erreichbar zu machen, gehen normalerweise wochenlange Planungen voraus. Das alles war diesmal nicht möglich. Natürlich ist es immer einfach zu sagen, dass man mit einer frühzeitigen Digitalisierung der Prozesse und dem Einsatz der notwendigen Technologien diesen Umzug hätte problemlos realisieren können, aber diese Erkenntnis hilft augenblicklich Niemandem. So blieben eben vielfach nur handgestrickte Lösungen übrig und die waren zumeist attraktiver als das Unternehmen gleich komplett stilllegen zu müssen.

Es wird Zeit die Provisorien zu überprüfen.

Doch allmählich wird es Zeit, die einfachen Lösungen unter den Home-Office-Anbindungen zu hinterfragen und zu überarbeiten. Zum einen, weil das Risiko, einem Hackerangriff zum Opfer zu fallen, mit jedem Tag steigt und zum anderen weil sich die Home-Office-User möglicherweise an den neuen Umstand gewöhnen und auf die Möglichkeiten der Arbeit von zu Hause auch später nicht mehr verzichten wollen. Es ist für die Unternehmen eine Richtungsentscheidung. Die jetzt gewonnenen Freiheiten einfach wieder zurück zu drehen, wird nicht leichter werden, je länger dieser Zustand anhält.

Deshalb möchte ich eindringlich davor warnen, Provisorien länger als notwendig und insbesondere über den akuten Lock-Down weiter in Betrieb zu halten.

Um auch das gleich vorweg zu sagen, ein VPN oder eine andere Art der verschlüsselten Verbindung zwischen Home-Office und Unternehmen ist unverzichtbar, wenn der Home-Office-User an die Unternehmens-IT angebunden werden soll. Deshalb möchte ich Anbindungen, denen kein VPN zugrunde liegt, hier gar nicht diskutieren. Wer z.B. einen RDP-Zugang offen ins Internet stellt und diesen nicht auf dem Transportweg absichert, der kann auch gleich ein Schild auf die Strasse stellen. Offene RDP-Ports sind eine feine Einladung an jeden Hacker dieser Welt, einen Einbruch zu versuchen. Kurz gesagt, ein VPN oder ein SSH-Tunnel, TLS oder irgendeine andere Art der verschlüsselten Verbindung (z.B. auch ein RD-Gateway mit https) zwischen dem Home-Office und der Firma muss vorhanden sein. Wer das nicht implementiert hat, handelt auch im Angesicht der Krise absolut fahrlässig. Der Fokus meines Artikels ist es daher auch nicht, die Notwendigkeit einer Transportverschlüsselung durch VPN et all anzumahnen, sondern das Augenmerk auf die darüber hinaus gehenden Sicherheitsprobleme zu lenken.

Welche Faktoren bestimmen das Risiko bei Remote-Arbeitsplätzen?

Wie hoch das Sicherheitsrisiko bei der Home-Office-Nutzung für einzelne Unternehmen ausfällt, hängt von verschiedenen Faktoren ab:

  1. Ist der RDP-Zugang ausreichend gesichert? RDP ist nicht gleich RDP. Hier gibt es zahlreiche Einstellmöglichkeiten, die einen Angriff über oder auf RDP erleichtern oder erschweren.
  2. Ist der VPN-Tunnel mit Kennworten (Preshared Keys) oder mit Zertifikaten aufgebaut? Zertifikate sind sicherer als Kennwörter.
  3. Ist der RDP-Zugang direkt erreichbar oder wird dieser über ein RD-Gateway zur Verfügung gestellt, das nach außen nur HTTPS spricht?
  4. Wird im Zusammenhang mit der Remote-Einwahl eine 2FA / MFA verwendet?
  5. Werden für die Verbindung zur Firma nur entsprechend konfigurierte und gesicherte Dienstgeräte verwendet oder sind auch private Endgeräte im Einsatz?
  6. Wird im Zusammenhang mit der Einwahl in das Unternehmen eine Endpoint-Protection-Lösung eingesetzt?
  7. Muss zur Bewältigung der Aufgaben im Home-Office auch gedruckt werden? Wird hierzu das private Netzwerk im Haushalt des Anwenders verwendet? Der eigene Drucker? Vielleicht sogar das mehr oder weniger gut gesicherte WLAN?
  8. Werden Unternehmensdaten auf den lokalen Endgeräten verarbeitet oder nur remote genutzt?
  9. Sollte privates Equipment genutzt werden, ist dies entsprechend aktuell, d.h. sind hier aktuelle und wirksame Virenscanner installiert, ist ein aktuelles gewartetes Betriebssystem verwendet (z.B. nicht mehr Windows7) und sind alle wichtigen Updates eingespielt?
  10. Kann das verwendete Endgerät auch außerhalb des VPNs auf externe Netzwerkressourcen zurückgreifen? Ein Klassiker ist, nur den Firmen-Datenverkehr über das VPN zu leiten und jeglichen anderen Internetverkehr über den normalen lokalen Netzwerkanschluss. Damit soll die limitierte Bandbreite des Unternehmensanschlusses geschont werden. Nicht überall lassen sich die physischen Bandbreiten in der notwendigen Geschwindigkeit erhöhen. In manchen Regionen Deutschlands möglicherweise gar nicht.

Egal wie man es dreht und wendet, Fakt ist, dass sich das Endgerät im Home-Office in einer unbekannten und meist weniger sicheren Umgebung befindet als am Arbeitsplatz in der Firma. Das ist im Übrigen ganz entgegen des Empfindens der meisten Benutzer, die sich gerade in den eigenen vier Wänden in einer vertrauensvollen Umgebung wähnen und daher mit dem IT-Schutz eher mal nachlässig umgehen. An dieser Stelle hilft nur eine entsprechende Sensibilisierung sowie klare Unternehmensleitlinien / Richtlinien zur Arbeit im Home-Office. Diesem Thema sollten die IT- und Unternehmensverantwortlichen einen angemessenen Raum geben! Während in der Firma es zur Selbstverständlichkeit gehört, beim Gang in die Cafeteria den Bildschirm zu sperren wird das zu Hause schon mal vergessen. Die Tatsache, dass mit dem Internet-Zugang ein Tor in den digitalen Bereich der Wohnung potentiell sperrangelweit offen steht, ist den meisten Menschen nicht konsequent bewusst.

Das Home-Office als cybersicherheitlicher Hotspot

Der mobile Arbeitsplatz im Home Office ist daher der ideale Angriffspunkt. Sind im häuslichen WLAN noch weitere Geräte im Einsatz, kann ein Angriff unbemerkt von einem dieser Geräte ausgehen. Ein anderes privat genutztes Gerät (z.B. von Familienangehörigen oder MitbewohnerInnen), welches nicht dem geforderten Sicherheitsniveau entspricht, fängt sich Malware ein, die nun auch das Firmengerät angreift. Für einen erfolgreichen Angriff reicht ggf. eine einzige kleine noch unbekannte Schwachstelle auf dem Firmengerät aus (Zero-Day-Exploit). Schlimmer noch sind Fälle, auf denen das eigentlich dienstlich gedachte Gerät auch zu privaten Zwecken genutzt wird. Da lässt man dann auch schonmal die Kinder im Internet surfen oder erledigt seine privaten Bestellungen.

Die private Umgebung lässt sich im Vergleich zu einem Firmennetz ungleich viel schwerer schützen und überwachen. Hierzu fehlen entsprechende Intrusion Detection Systeme (IDS), wie sie in Firmennetzwerken großer Unternehmen üblich sind. Viele Heimnetz-Router erlauben per UPNP eigenständige Portfreigaben für lokale Anwendungen. Dieser Mechanismus kann auch von Malware eingesetzt werden, um unbemerkt eine bidirektionale Kommunikation mit externen Servern zu ermöglichen. So lässt sich die Firewall-Funktion des Routers durchlöchern wie einen Schweizer Käse. Am Ende ist die Firewall eigentlich nichts mehr wert.

Wie man leicht einsieht, ist das lokale Heimnetz des durchschnittlichen Anwenders selten so abgesichert, dass ein professioneller Angriff von außen erkannt und ggf. abgewehrt werden könnte. Es hängt also maßgeblich davon ab, wie stark der für die geschäftlichen Zwecke genutzte Rechner selbst geschützt ist. Ein für diese Zwecke eingerichteter Firmenlaptop mag entsprechend gehärtet sein, ein privates Endgerät ist es meistens nicht. Da kann man schon froh sein wenn ein einigermaßen aktuelles Betriebssystem aufgespielt ist, welches auch regelmäßig aktualisiert wird, von einem aktuellen Virenscanner mal ganz abgesehen. Und ob der im heimischen Netz eingesetzte Internetrouter überhaupt eine aktuelle Firmware besitzt oder vielleicht unter anderen eklatanten Fehlkonfigurationen leidet, die das Netz zum Scheunentor machen, ist in der erforderlichen Breite ebenfalls kaum zu überprüfen.

Sollte der genutzte Rechner im Heimnetzwerk aber durch Malware infiziert worden sein, so kann die Verbindung ins Unternehmensnetzwerk auch durch diese huckepack genutzt werden. In der Folge greift die Malware auch die im Unternehmen erreichbaren Komponenten an. Und genau an dieser Stelle ist die Art der Transportverschlüsselung dann fast schon nebensächlich. Auch über ein VPN lässt sich dieser Angriff nicht vollständig verhindern.

Als kurzes Zwischenfazit lässt sich also festhalten, dass ein privater PC als Home Office-Arbeitsplatz per definition schon als potentiell kompromittiert angesehen werden muss. Dies gilt umso mehr, als dass die meisten Anwender auf ihren privaten Geräten meist auch Administratoren sind und ihre administrativen Kennungen für den normalen Gebrauch benutzen. Einmal infiziert, hat dort Malware ein leichtes Spiel.

Nutzt man einen solchen PC, um sich beispielsweise per RDP auf einen Firmenserver anzumelden, dann gibt man der Malware im Zweifel seine Zugangsdaten zum Firmenserver bekannt (z.B. über einen versteckten Key-Logger). Unter Windows 10 benötigt es schon die Enterprise-, mindestens jedoch die Pro-Version, um solchem Identitätsdiebstahl einen wirksamen Riegel vorzuschieben. Windows-10-Home-Versionen sind als Home-Office-Arbeitsplatz daher gänzlich ungeeignet.

Mit den abgezapften Zugangsdaten kann die Malware Angriffe auf den RDP-Server versuchen. Besonders kritisch wird es, wenn Nutzer mit hohen Rechteprivilegien solche Zugänge benutzen, da damit auch solche Zugänge leicht kompromittiert werden können. Das gilt nicht nur für IT-Administratoren sondern auch für Mitarbeiter, die z.B. Zugriff auf besonders sensible Daten haben dürfen. Für administrative Aufgaben empfiehlt Microsoft den Einsatz entsprechend gehärteter spezieller Laptops, sogenannte PAWs (Privileged Access Workstations), die ausschließlich für Zugriffe mit hoch privilegierten Zugriffskennungen genutzt werden dürfen (z.B. als Domain-Administrator) Mehr dazu findet sich auf den Seiten von Microsoft: https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations.

2FA / MFA macht brute force Angriffe wesentlich schwerer.

Eine gute Möglichkeit, dem Identitätsdiebstahl im Home-Office zu begegnen, ist die Nutzung von 2FA /MFA. Damit ist zumindest kein eigenständiger Verbindungsaufbau in das Unternehmensnetzwerk durch Schadsoftware oder fremde Dritte mehr möglich. Dennoch bleibt die Möglichkeit, dass Schadsoftware eine einmal aufgebaute Verbindung für Einbruchsversuche im Hintergrund verwendet. Der Aufbau einer zusätzlichen 2FA/MFA bedarf meistens eines Einsatzes von Drittanbieterprodukten oder der Nutzung einer entsprechenden Cloud-Lösung, wie sie hier von Microsoft beschrieben wird: https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension-rdg. Für Administratoren, die sich mit einer solchen Lösung noch nicht beschäftigt haben, ist es keineswegs trivial, diese unter Hochdruck mal eben schnell umzusetzen. Zudem darf dabei der notwendige Support-Bedarf bei den Benutzern, die plötzlich und alle gleichzeitig eine solche Lösung nutzen müssen, nicht vernachlässigt werden.

Natürlich gibt es Lösungen am Markt, die solche Probleme adressieren. Unter dem Begriff der Endpoint-Protection gibt es Verfahren, die den Zugriff eines Endgeräts von seinem Sicherheitsstatus abhängig machen und einen Zugriff erst dann erlauben, wenn das Gerät über aktuelle Patches, Virenscanner und sonstige sicherheitsrelevante Einstellungen verfügt. In Kombination mit entsprechenden Firewall-Produkten lässt sich damit schon ein hohes Maß an Sicherheit herstellen. Aber auch solche Lösungen führt man nicht eben über Nacht ein und daher dürften sie in den meisten adhoc-Szenarien fehlen.

Kompromittierte RDP-Zugänge gibt es in Massen zu kaufen

Es wurde kein Alt-Text für dieses Bild angegeben.

Quelle: McAffee

Um ein Gefühl für die starke Bedrohung von RDP-Zugängen durch internationale Hacker zu bekommen, lohnt es sich, die beiden nachfolgenden Artikel auf dem McAffee-Blog zu lesen.

Es gibt noch weitere Stolpersteine

RDP als eines der am häufigsten genutzten Verfahren, um auf eine Windows-Infrastruktur zuzugreifen, bietet ein paar weitere Aspekte, die es zu beachten gilt, auch wenn der Zugang über 2FA/MFA und eine Transportverschlüsselung /VPN abgesichert ist.

Zunächst ist da der Ausschluss administrativer Anmeldungen auf einem RDP-Server, der für normale Non-Privileged User zur Verfügung steht. Ähnlich wie beim Konzept der PAWs (siehe oben) sollte der Zugang zu administrativen Ressourcen über einen eigenen besonders geschützten RDP-Server erfolgen (den man im Microsoft-Jargon gerne auch als Jump-Server bezeichnet). Auch auf diesem Server darf sich kein Privileged User anmelden. Jedoch kann man sich von dort mit privilegierten Kennungen an anderen Systemen im Unternehmensnetz anmelden. Der privileged Account wird so außerhalb des Unternehmensnetzes überhaupt nicht benutzt. Damit stellt man sicher, dass nicht Sicherheitslücken in den Betriebssystemen des Home-Office-PCs sowie des allgemeinen RDP-Servers das Ausspähen administrativer, hoch-privilegierter Kennungen durch andere Prozesse ermöglichen. Für den RDP-Port des Jump-Servers sollte man einen vom Standardport abweichenden Port nutzen, um üblichen RDP-Schädlingen das Auffinden des Ports zu erschweren. Genauso muss man auf allen anderen sensiblen Systemen einen administrativen RDP-Login von nicht vertrauenswürdigen Endgeräten verbieten und nur von den gesicherten Jump-Servern erlauben.

Verbindung mit lokalen Ressourcen – Malware-Angriff leicht gemacht. Datenschutzverletzung inklusive.

RDP-Verbindungen können den Zugriff auf lokale Ressourcen des initiierenden Rechners erlauben. So ist der Zugriff auf lokale Laufwerke oder andere Ressourcen im lokalen Netzwerk wie Drucker möglich. Ein direkter Austausch von Daten zwischen dem Home-Office und der Unternehmensumgebung erhöht die Gefahr, dass zum einen Malware in das Unternehmen gelangt, birgt aber auch das Risiko, dass über diesen Weg Daten das Unternehmen unerkannt verlassen. An dieser Stelle muss ernsthaft hinterfragt werden, ob diese Möglichkeiten wirklich gebraucht werden. Schon die Möglichkeit, Unternehmensdaten auf lokalen Druckern im Home-Office ausdrucken zu können, birgt enormes Mißbrauchspotential. Wie ist die datenschutzkonforme Entsorgung der Ausdrucke geregelt? Landen die Papiere anschließend grob zerrissen in der privaten Papiertonne oder laufen sie wenigstens durch einen Schredder?

In der Fortsetzung dieses Artikels werde ich mich damit beschäftigen, was es bedeutet, Web-Frontends interner Applikationen zu veröffentlichen, um Usern den Zugriff mittels Web-Browser zu ermöglichen.