VPN als Remote-Work-Lösung? IT-Sicherheit in un­sich­er­en Zeiten: Schutz der Finanzbranche im Homeoffice

Die COVID-19-Pandemie ist weltweit die größte humanitäre Herausforderung der jüngeren Geschichte. Das Gesundheitssystem wird extrem beansprucht, ganze Industriezweige stehen still und andere Branchen sind auf das Arbeiten von zu Hause umgestiegen. Einige Cyber-Kriminelle versuchen leider, aus dieser weltweiten Krise Profit zu schlagen. VPN ist als Remote Work-Lösung nicht empfehlenswert, sagt Adam Bangle (VP EMEA BlackBerry Cylance) – sicherer sei eine Zero-Trust-Architektur

von Adam Bangle, VP EMEA BlackBerry Cylance

Aktuell wird gephished, was das Zeug hält. Das Ziel: Mitarbeiter im Home-Office. Wenn durch diese Phishing-Mails ein Datenleck entsteht, hat das wirtschaftlich schwerwiegende Folgen. In der Finanzbranche ist ein unberechtigter Zugriff durch Dritte aufgrund der sensiblen Daten besonders verheerend. So wurden beispielsweise von Equifax im Jahr 2017 nicht nur über 143 Millionen Kundendaten gestohlen, der Finanzdienstleister musste für die unzureichenden Sicherheitsvorkehrungen auch über 600 Millionen US-Dollar Strafe zahlen.

Viele Mitarbeiter von Banken, Sparkassen, Versicherern und FinTechs arbeiten im Homeoffice und deshalb ist ein durchdachter Plan zur Geschäftskontinuität essenziell, egal wie groß das eigene Unternehmen ist.”

Die Herausforderung besteht darin, der Belegschaft dort sicheres und produktives Arbeiten zu ermöglichen. Aber wie lösen Unternehmen diese Aufgabe?

VPNs sind beliebt, haben aber massive Nachteile

Für Mitarbeiter sind VPNs (Virtual Private Networks) eine einfache und bequeme Lösung, um auf das IT-Netzwerk ihres Unternehmens und die Daten sowie Programme dort zuzugreifen. Sie erleben nun einen erheblichen Nutzungsanstieg. Zum Beispiel verzeichnet NordVPN (Website) bei der durchschnittlichen Zahl der täglichen Nutzer ein Wachstum von 165 Prozent. Dies ist kein Einzelfall, denn andere Anbieter berichten von ähnlichen Entwicklungen.

Allerdings haben VPNs zugleich massiv Nachteile. Ihre Verwendung führt dazu, dass Computer, Unternehmensnetzwerke und andere Endpunkte nicht mehr wirksam gegen die wachsende Bedrohung durch Malware und andere Cyber-Risiken geschützt sind.”

Die Studie “A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients” (hier) hat bei VPNs eine Schwachstelle aufgedeckt, die als IPv6 Leakage bekannt ist. Diese macht unter Umständen Benutzerinformationen für böswillige Akteure zugänglich. Im Rahmen der Studie wurden 14 populäre VPNs auf ihre Sicherheit getestet. Die Untersuchung hat ergeben, dass bei elf von ihnen Informationen durchgesickert sind, wie beispielsweise die von Nutzern besuchten Websites und ihre tatsächliche Kommunikation. Für das Datenleck gibt es zwei Ursachen: Zum einen schützen VPN-Anbieter nach wie vor nur IPv4-Verkehr und zum anderen verlassen sie sich auf veraltete Tunneling-Protokolle, die aggressiven Cyber-Attacken nicht standhalten. Gerade in der Finanzbrache ist das natürlich nicht zu akzeptieren. Bei jedem Zugriff von zu Hause auf das Unternehmensnetzwerk und bei jeder Finanztransaktion müssen sensible Daten zuverlässig und sicher übermittelt werden. Deswegen ist eine reibungslose und sichere Kommunikation unerlässlich. Die Einhaltung der strengsten regulatorischen Standards bei gleichzeitigem Schutz der Kundendaten, die Bereitstellung besserer Geschäftsmodelle und die Verbesserung des Kundenerlebnisses müssen auch im Homeoffice im Fokus stehen.

Abgesehen davon kommt es bei VPNs auch zu Problemen bei der Performance, die sich negativ auf die Produktivität innerhalb der Finanzbranche auswirken. Sie sind nur so leistungsfähig, wie die jeweilige Internetverbindung es zulässt. Die Verbindungsgeschwindigkeit in lokalen Unternehmensnetzwerken ist dagegen deutlich schneller. Darüber hinaus wird bei VPNs jedes Datenpaket erst ver- und nach der Übertragung wieder entschlüsselt, worunter die Performance ebenfalls leidet. Wenn zudem zu viele Personen zugleich auf ein lokales Unternehmensnetzwerk zugreifen oder datenintensive Dienste wie Videokonferenzen über ein VPN laufen, verschärft sich die Situation weiter.

Zero Trust ist angebracht

Für besseren Schutz und mehr Produktivität im Homeoffice ist in der Finanzbranche daher stattdessen eine Zero-Trust-Architektur ratsam.”

Zero Trust zeichnet sich dadurch aus, dass prinzipiell niemandem vertraut wird, auch nicht den Mitarbeitern innerhalb des eigenen Netzwerks. Das heißt, jeder einzelne Zugriff auf das Netzwerk benötigt eine eigene Autorisierung. Erst wenn diese erfolgt ist, stehen Collaboration Tool‎s für die Zusammenarbeit mit anderen Mitarbeitern oder Partnern bereit. Durch den Administrator wird vorab genau festgelegt, auf welche Daten ein Mitarbeiter zugreifen kann, um selbst bei einem unbefugten Zugriff nur einen geringen finanziellen Schaden zu erleiden.

Diese Vorkehrung lohnt sich, denn die Konsequenzen eines Sicherheitsbruchs genauer gesagt eines Datenlecks können gravierend sein: Abnahme der Produktivität, Strafzahlungen und/oder fehlendes Vertrauen von Kunden und Partnern die Sicherheiten des Finanzinstituts. Damit aber beim Zero-Trust-Ansatz durch die Sicherheitsvorkehrung die Leistung nicht abnimmt und der Workflow weitgehend unbeeinträchtigt bleibt, kommen beim Authentifizierungsprozess künstliche Intelligenz und Machine Learning zum Einsatz. Die tatsächlichen Lösungen für den Zero-Trust-Ansatz fallen vielfältig aus.

Für den Zugriff auf Daten und Programme im lokalen Netzwerk eines Finanzunternehmens kann bei einem UEM (Unified Endpoint Management), das auf einer Zero-Trust-Architektur aufbaut, zum Beispiel eine Secure Web Gateway dienen. Dabei handelt es sich um einen Browser, der einen sicheren Zugang zu Unternehmensdaten ermöglicht. Da er zudem auf jedem Gerät, zu jeder Zeit und an jedem Ort funktioniert, schränkt er die Produktivität der Mitarbeiter nicht ein.

Für Unternehmen der Finanzbranche stellt der Browser eine wesentlich sichere und robustere Alternative gegenüber den VPNs dar, da sämtliche Zugriffe innerhalb eines Browsers aufgezeichnet werden. Der Administrator hält die Zügel in der Hand und kann via Audit-Trails den Zugriff einschränken.”

Er vereinfacht die Administration der Zugriffsrechte und Mitarbeiter erhalten anders als bei den VPNs nicht grundsätzlich Zugang zum ganzen Netzwerk, was erfolgreiche Sicherheitsbrüche von vorneherein eindämmt, sondern nur zu ihrem Bereich. Außerdem können bei dem Browser prädiktive künstliche Intelligenz, Machine Learning und eine weitreichende Automatisierung für die kontinuierliche Cyber-Threat-Prävention und -Abwehr genutzt werden. Die künstliche Intelligenz ist dabei in der Lage, Risiken zu verstehen und zu definieren, kontextbezogene Entscheidungen auf der Grundlage großer Datenmengen zu treffen und eine Reihe von Richtlinienkontrollen dynamisch anzuwenden. Ebenso möglich sind bei dem Browser eine Traffic Segmentation für eine bessere Performance und eine kontinuierliche Authentifizierung für noch mehr Sicherheit.

Mit Zero Trust die Geschäftskontinuität sichern

Ob die aktuelle Gesundheitskrise in der Finanzbranche den Umgang mit dem Arbeiten im Homeoffice nachhaltig verändert, bleibt offen. Wichtig ist jedoch, dass jederzeit die Geschäftskontinuität gesichert ist. Allen Stakeholdern muss es möglich sein, von zu Hause effektiv ihren Aufgaben nachzukommen, wofür eine Zero-Trust-Architektur die notwendige sichere IT-Umgebung schafft.aj