Die Büros füllen sich allmählich wieder – doch nicht jeder Mitarbeitende ist täglich vor Ort. Die Mehrheit dürfte vermutlich auch in Zukunft abwechselnd im Büro und zu Hause tätig sein. Dies erfordert neue Lösungen, nicht nur in Sachen Kollaboration, sondern auch in Bezug auf Cybersicherheit. [...]
Die COVID-19-Pandemie ist zweifellos das einschneidendste Ereignis in der Arbeitswelt der letzten 70 Jahre. Unternehmen waren quasi über Nacht gezwungen, sich mit Homeoffice im großen Maßstab zu befassen. Dabei stellten sie fest, dass es nicht nur möglich war, sondern auch produktiv sein konnte, alle Mitarbeitenden ständig von zu Hause aus arbeiten zu lassen.
Entsprechend hat sich die Einstellung der Unternehmen gegenüber Telearbeit in den letzten anderthalb Jahren deutlich verändert. Es gibt schon Unternehmen, die bereits jetzt und auch in Zukunft in einem vollständig dezentralen Modus arbeiten. Doch die meisten werden wahrscheinlich ein hybrides Modell verfolgen, bei dem einige Mitarbeitende von zu Hause aus tätig sind, andere im Büro und wieder andere in einer Kombination aus beidem.
Hybrid Work ist somit der neue Standard. Doch diese scheinbar einfache Aussage hat einen tiefgreifenden Einfluss auf die Zukunft der Zugangsstrategien zu den Unternehmensnetzwerken und Anwendungen.
IP-basierter Zugang über VPN
Herkömmliche IP-basierte Technologien nutzen weitgehend einen festen Satz von Netzbereichen und Adressen. Richtlinien verweigern oder erlauben den Zugang zu Netzwerken und Anwendungen auf Grundlage der IP-Adresse. So besteht der Sinn eines VPN darin, Mitarbeitenden eine „lokale“ IP-Adresse zuzuweisen. Diese gehört zu dem Bereich von IP-Adressen, die im Unternehmensnetzwerk frei verkehren dürfen.
Grundsätzlich könnten Unternehmen diese Lösung auch in Zukunft verwenden. Doch sie besitzt einige Nachteile. Zum Beispiel benötigen viele Mitarbeitende für zahlreiche Anwendungen gar kein VPN. Die Suche auf Google oder die Nutzung von Microsoft Teams funktioniert ohnehin über das Internet und Cloud-Angebote. Wenn sich die Aufgaben komplett über solche Anwendungen erledigen lassen, belastet der VPN-Zugang unnötig die Netzwerk-Ressourcen und beeinträchtigt deren Performance.
Ein Verzicht auf VPN erhöht auch die Sicherheit: Denn eine möglichst starke Einschränkung des Netzwerkzugriffs reduziert auch mögliche Vorfälle durch Malware, Ransomware und andere bösartige Software. Diese Gefahr dürfen Unternehmen nicht unterschätzen. Im Alltag wird sich eine hybride Belegschaft wahrscheinlich irgendeine Schadsoftware einfangen und sich anschließend in das VPN einloggen. Daher enthalten viele VPN-Lösungen entsprechende Sicherheitsmechanismen. Aber nicht immer entdecken sie sämtliche Malware und einige Unternehmen nutzen gar nicht die integrierten Scans.
Auch der Zugang zu Anwendungen basiert häufig auf IP-Adressen, so dass der Management-Aufwand ständig steigt. Laut dem NetDevOps Annual Survey muss mehr als die Hälfte der Administratoren zwischen 251 und 5.000 Geräte verwalten. Hinzu kommen die persönlichen IP-Adressen aller Homeoffice-Mitarbeitenden. Weiterhin ist eine zunehmende Zahl für die Maschine-zu-Maschine-Kommunikation abzusichern. So sagt der Cisco Annual Internet Report voraus, dass es „bis 2023 mehr als dreimal so viele vernetzte Geräte auf der Erde geben wird wie Menschen. Etwa die Hälfte der weltweiten Verbindungen werden Maschine-zu-Maschine-Verbindungen sein.“ Dadurch sind Betreiber, Sicherheitsteams und letztlich auch die Dienste und Systeme, welche die Richtlinien durchsetzen müssen, überfordert.
Identität ist die Lösung
Die mit der hybriden Arbeitsweise verbundenen Sicherheitsanforderungen werden zu identitätsbasierten Ansätzen führen. Diese berücksichtigen nicht nur menschliche, sondern auch maschinelle Nutzer wie Workloads, Geräte und Skripte. Zwar kann die IP-Adresse Teil einer identitätszentrierten Sicherheitsrichtlinie sein. Doch sie ist nicht mehr der primäre oder entscheidende Faktor für die Gewährung des Zugangs zu einer Ressource. Vielmehr wird sie zu einem Attribut, das dabei hilft zu bestimmen, welches Maß an Identitätsüberprüfung erforderlich sein sollte.
Im VPN oder Firmennetz reichen die Anmeldedaten vielleicht aus. Aber außerhalb davon sollte ein zweiter Faktor nötig sein. Für Zugriffsversuche von einer bisher unbekannten IP-Adresse könnte vielleicht sogar ein dritter Faktor ergänzt werden. Unabhängig davon, wie die IP-Adresse verwendet wird, sollte sie nicht mehr alleine entscheidend sein, auch nicht für Workloads. Schließlich kann sich bösartige Software im Unternehmensnetz befinden, sie sollte aber niemals Zugang zu Anwendungen und Ressourcen erhalten.
Deswegen ist das Verständnis von Identität über Menschen hinaus auf Workloads, Anwendungen und Geräte zu erweitern. Zum Beispiel sind viele Management-Konsolen in erster Linie durch IP-basierte Kontrollen gesichert. Diese werden oft sogar deaktiviert, weil sie den Fernzugriff beeinträchtigen. Eine robuste, identitätsbasierte Zugriffskontrolle bietet dagegen unabhängig vom Standort Schutz vor unbefugter Nutzung. Darüber hinaus blockiert sie kompromittierte Systeme, die versuchen, andere Ressourcen aus dem sicheren Unternehmensnetzwerk heraus zu infizieren, zu kapern oder anderweitig auszunutzen.
Fazit
Unternehmen bewegen sich zunehmend in Richtung identitätsbasierte Sicherheit. Die explosionsartige Zunahme von Automatisierung und Digitalisierung sowie der Trend zu hybriden Arbeitsmodellen beschleunigen diese Entwicklung. So werden IP-Adressen als primäre Methode der Zugangskontrolle sukzessive abgelöst, um die Sicherheit zu verbessern.
*Lori MacVittie ist Principal Technical Evangelist, Office des CTO bei F5.
Be the first to comment