Interview

Endpunktsicherheit in Zeiten von Remote-Arbeit und Cloud-Nutzung

, München, Thycotic | Autor: Herbert Wieler

Endpunktsicherheit in Zeiten von Remote-Arbeit und Cloud-Nutzung

Interview mit PAM-Spezialisten Stefan Schweizer von Thycotic

Die Natur der Endpunkte in der IT hat sich in den letzten 10 bis 15 Jahren erheblich verändert und damit auch ihre Sicherheit. Ging es für die Cyber Security-Teams früher vor allem darum, das zu schützen, was auf dem System installiert war, und um den Perimeter, der das LAN des Clients umgab, ist letzterer heutzutage fast vollständig verschwunden. Seitdem der Großteil der Anwendungen und Dienste in der Cloud gehostet wird und Endgeräte immer häufiger die geschützten Unternehmensumgebungen verlassen, steht der Schutz von Cloud-Diensten, Cloud-Access, Remote-Endpunkten und Daten im Transit im Mittelpunkt.

Wir sprachen darüber mit Stefan Schweizer, Vice President DACH beim PAM-Spezialisten Thycotic .

Stefan Schweizer, Vice President DACH beim PAM-Spezialisten Thycotic

Wo haben Unternehmen heute noch Nachholbedarf in Sachen Endpunktschutz?

Viele Unternehmen machen nach wie vor einen Fehler: Sie betrachten das Thema Endpunktsicherheit immer noch von den einzelnen Endgeräten aus. Das wird den aktuellen IT-Strukturen aber nicht mehr gerecht. Endpunkte sind längst nicht mehr nur Geräte, sie sind überall gehostet und im Internet der Dinge existieren heute mehr vernetzte Endpunkte als sich die meisten Menschen vorstellen können. Viele dieser Endpunkte werden zudem nicht mehr von Menschen, sondern Maschinen gesteuert. Weil der Perimeter verschwunden und IT-Umgebungen sehr verteilt sind, müssen IT-Sicherheitsverantwortliche ihren Fokus verstärkt auf Benutzer-Identitäten, Authentifizierung und den Schutz von Zugriffen auf Unternehmensanwendungen, Datenbanken etc. richten, als auf Malwareschutz von Geräten.

Effektive Cybersicherheit beginnt heute mit einer umfassenden und kontinuierlichen Risikobewertung der Daten und der verschiedenen Arten der Zugriffe darauf. Schließlich sollen diese auch geschützt werden. Je kritischer Zugriffe sind und je mehr Schaden durch einen Missbrauch entstehen könnte, desto stärker muss die Absicherung sein.

Geht man auf Nummer sicher, wenn man Zugriffe so stark wie möglich einschränkt?

Grundsätzlich gilt: Bevor endgültige Entscheidungen über Implementierungen, Strategien und Kontrollmaßnahmen getroffen werden, muss man zunächst einmal verstehen, welche Risiken für das eigene Unternehmen damit verbunden sind. So muss man sich etwa fragen: Wenn ein bestimmter Service ausfallen und einen Tag lang nicht verfügbar sein sollte, welche Konsequenzen kommen dann auf mein Unternehmen zu, welche Kosten zieht das nach sich? Außerdem darf man nicht vergessen, dass unnötige Einschränkungen schnell die Arbeitsprozesse der Mitarbeiter behindern, was kontraproduktiv für alle ist. Die kritische Balance zwischen Produktivität und Sicherheit darf nie aus den Augen verloren werden, d.h. das eine sollte niemals dem anderen geopfert werden. Sicherheit funktioniert nur dann, wenn sie auch nutzbar ist und es nicht zu unerwünschten Reibungsverlusten kommt.

Sie sprechen einen wichtigen Punkt an. Viele Security-Tools sind heute komplex und nicht besonders benutzerfreundlich. Demgegenüber stehen der Fachkräftemangel in der IT-Branche und immer kleinere, überarbeitete Teams.

Exakt. Die „menschlichen Abwehrkräfte“ in Unternehmen sind heutzutage einfach limitiert. Umso wichtiger ist es, dass Cybersicherheitslösungen anwenderfreundlich sind und die Teams nachhaltig entlasten. Sind Tools zu komplex oder beanspruchen sie zu viel Zeit oder Ressourcen, werden sie oft nicht oder nur kurze Zeit eingesetzt, auch wenn sie eigentlich gute Ergebnisse liefern. Deshalb brauchen Unternehmen Sicherheitskontrollen, die auf Automatisierung beruhen und nahtlos und ohne Mehraufwand funktionieren. Sie sollten möglichst im Hintergrund arbeiten und von den Teams nur bedingtes Eingreifen erfordern.

Ein Thema, das in der Diskussion über Endpunktsicherheit seit Jahren immer wieder aufkommt, ist BYOD. Seit der Corona-Pandemie und dem flächendeckenden Arbeiten von zuhause mit privaten, ungeschützten Geräten sprechen viele auch von „Bring your own disaster.“ Was können IT-Abteilungen tun, um Risiken, die durch private Geräte im Unternehmenseinsatz entstehen, zu minimieren?

Private Geräte sind in der Tat nur schwer zu kontrollieren, ihr Einsatz aber gerade in Zeiten staatlich angeordneter Remote-Arbeit nicht immer zu vermeiden. Hier komme ich wieder auf das Thema Zugriffskontrolle und die Absicherung von Unternehmensanwendungen zurück. Einzelne Geräte kann eine IT-Abteilungen nicht vor Kompromittierung schützen, wohl aber den Zugriff darüber auf Applikationen, Daten und kritische Ressourcen. Auch hier gilt es, das Risiko einzelner Zugriffe zu priorisieren und diese eventuell zu unterbinden. „Wenn ein Mitarbeiter etwa über sein Mobiltelefon auf berufliche E-Mails zugreifen möchte, ist es vielleicht völlig ausreichend, dass er sich mit einem Benutzernamen und einem Passwort verifiziert. Wenn er von seinem Privatlaptop aber auf sensible Kundendaten oder interne Geschäftszahlen zugreifen möchte, dann wäre diese Sicherheitskontrolle wahrscheinlich nicht mehr zufriedenstellend und das Risiko für Missbrauch viel zu hoch. Hier müssen dann granulare Zugriffskontrollen zum Einsatz kommen, die auf Mehrfaktor-Authentifizierung beruhen und verschiedene Parameter einbeziehen.

Wie kann dies umgesetzt werden?

Moderne Privileged Access Management-Lösungen bieten den Unternehmen hier effektive Kontrollen, die vordefinierte Richtlinien für Zugriffe automatisiert und ohne manuelles Eingreifen umsetzen. Das kann so weit gehen, dass Zugriffe von Privatgeräten grundsätzlich verweigert werden oder dass Zugriffsanfragen zu ungewöhnlichen Uhrzeiten oder an ungewöhnlichen Orten erstmal abgelehnt werden, bevor eine Kompromittierung ausgeschlossen wurde. Moderne Tools wie unser Thycotic Cloud Access Controller gehen dabei über reines Access-Management hinaus, sondern bieten Application-Management im Allgemeinen. Sie ermöglichen es IT-Abteilungen, genau steuern, was ein Benutzer innerhalb einer Datenbank oder Webanwendung anklicken, lesen oder abändern kann. Dazu gehört zum Beispiel die Möglichkeit, Mitarbeitern auf dem Privatlaptop zwar Zugriff auf Salesforce zu geben, die Funktion zum Export von Dateien hier aber zu unterbinden, etwa indem der entsprechende Button überhaupt nicht sichtbar ist.

Zusammenfassend lässt sich also sagen, dass der Schlüssel zu effektiver Endpunktsicherheit und generell Cybersicherheit in Benutzerfreundlichkeit der Tools und einem hohen Maß an Automatisierung liegt.

Genau so ist es. Bildlich gesprochen sollten Cybersicherheit wie Elektrizität sein, d.h. man drückt den Schalter und das Licht geht an – ohne weiteres Zutun und ohne, dass man die Komplexität im Hintergrund auf das Genaueste verstehen muss.