Modernes VPN als High-Level-Baustein Ihres ganzheitlichen IT-Security-Konzepts

Wenn ein Unternehmen im Jahr 2023 Opfer eines Cyberangriffs wurde, hat dieser Vorfall die betroffene Firma durchschnittlich 4,45 Millionen Dollar gekostet – 15% mehr als noch vor drei Jahren. [...]

Foto: PeteLinforth/Pixabay

Dies zeigt eine aktuelle Studie von IBM. Zwar ergreifen viele Firmen Maßnahmen zum Schutz vor IT-Angriffen – insbesondere in Form moderner Cloud-Strategien – doch dies ist nicht genug. Kriminellen gelingt es weiterhin jeden Tag, sich Zugriff auf Firmendaten zu verschaffen und Unternehmen in Geiselhaft zu nehmen.

Das zeigt: Auch aktuelle Cloud-IT-Strategien können noch optimiert werden – und zwar durch den Einsatz hochsicherer Security-Lösungen, wie einem flexiblen und modernen VPN. Wir erläutern, wie dies in der Praxis aussieht.

Die Zero-Trust-Architektur, …

Im Zuge des Cloud-Security-Booms fallen immer wieder Begriffe wie „Zero Trust“, „SD-WAN“, SASE“, „SSE“ oder „SSO durch SAML“. Insbesondere der Zero-Trust-Ansatz wird mehr und mehr zum Grundsatzprogramm der IT-Sicherheitsverantwortlichen. Dabei steht vor allem das „Least privilege“-Prinzip im Fokus.

Wo sich zuvor Nutzer nach einmaliger Authentifizierung (meist mittels Username und Passwort) einigermaßen ungehindert im Firmennetz bewegen konnten, wird nun kein blindes Vertrauen mehr ausgesprochen. Stattdessen haben Anwender nur noch Zugang auf die Ordner, Dateien und Anwendungen, die sie für ihre aktuellen Aufgaben akut benötigen.

Gleichzeitig checkt das System im Hintergrund jeden Datenzugriff und prüft, ob der Anwender für die Netzwerkressource zugelassen ist, auf die er gerade zugreifen will. Ist das nicht der Fall, bleibt diese Tür im Netzwerk für ihn geschlossen.

So haben auch Kriminelle wenig Spielraum. Selbst wenn sich ein Angreifer Zugang zum Account eines Mitarbeiters verschafft, kann er nur über die wenigen Daten verfügen, die für diesen Mitarbeiter zum Zeitpunkt des Zugriffes zugänglich sind. Diesen kleinen Teil des Firmennetzes kann der IT-Administrator dann gezielt abriegeln.

… optimiert durch VPN!

So weit so gut – allerdings gibt es für Unternehmen einen Haken: Zero Trust ist kein fertiges Produkt, das man sich einfach kaufen, installieren und anschließend vergessen kann.

ZTNA (Zero Trust Network Access) bezeichnet vielmehr ein IT-Konzept, das jedes Unternehmen für sich auslegen und durch diverse Lösungen mit Leben füllen muss. Die einzelnen IT-Lösungsbausteine übernehmen dabei in der Regel eine spezielle Rolle im Gesamtkonzept, z.B. sichere Datenübertragung, Endpoint Security, Firewall-Konfiguration, Multifaktor-Authentifizierung (MFA) und viele mehr.

Die Spreu vom Weizen trennt sich dann, wenn ein Produkt gleich mehrere dieser Teilbereiche abdecken kann. Das ist unter anderem bei hochmodernen, flexiblen Software-VPN-Produkten, wie den Secure Enterprise Produkten von NCP, der Fall. Diese funktionieren bereits seit Jahren nach dem gleichen Prinzip, dem auch der Zero-Trust-Gedanke folgt. Per zentraler Management-Komponente definieren Administratoren alle Zugriffsrechte der Geräte und ihrer Nutzer mit wenig Zeitaufwand – und zwar nicht nur für Cloud-Applikationen, sondern IP-basiert für den gesamten Netzwerkbereich.

Auf diese Weise kann sehr granular gesteuert werden, welche Geräte und Benutzer auf welche Dateien, Ordner und Anwendungen Zugriff erhalten. Im Falle eines Phishing-Vorfalls ist dadurch genau einzugrenzen, welche Bereiche des Netzwerks von einem Angreifer infiltriert sein könnten und die IT-Abteilung kann entsprechend reagieren.

Ergänzt wird die Lösung durch Funktionen wie „Application based Tunneling“ oder „VPN-Bypass“, wodurch ganze Netzbereiche bei Bedarf am Tunnel vorbeigeleitet werden können. Auf diese Weise wird der Server entlastet, indem datenintensiver, bereits abgesicherter oder nicht sicherheitsrelevanter Traffic außerhalb des VPN übertragen wird.

Sicher von A bis Z

Die Königsdisziplin besteht darin, es überhaupt nicht bis zu einem Cybervollfall kommen zu lassen. Unbefugte Zugriffe müssen dafür bereits vorab verhindert werden. Hierfür gilt es einen Bereich der Security-Infrastruktur besonders abzusichern: den Login.

Als allererstes sollten dabei veraltete Login-Mechanismen wie die reine Name-Passwort-Kombination durch zeitgemäße Multifaktor-Authentifizierung abgelöst oder erweitert werden. Nicht zuletzt ist MFA auch eine Kernkomponente von ZTNA und stellt eine der einfachsten Methoden dar, um die Netzwerksicherheit mit wenig Aufwand deutlich zu erhöhen.

Im Firmenkosmos kann man auch noch einen Schritt weiter gehen und auf komplexere Protokolle wie SAML (Security Assertion Markup Language) zurückgreifen. Nach dem Prinzip des SSO (Single Sign-On) wird darüber die Verwendung von Anmeldeinformationen für mehrere Webseiten möglich. In der Praxis muss sich der Endnutzer dabei nur ein Master-Passwort merken, mit dem er sich einmal zu Beginn der Arbeit authentisiert und anschließend Zugang zu allen Portalen und Tools erhält, ohne sich bei jedem Dienst neu anmelden zu müssen.

Die Integration dieser Technologie in die eigene Infrastruktur setzt allerdings erneut ein IT-Security-Grundgerüst mit entsprechender Kompatibilität voraus. Auch dies ist bei modernen Remote-Access-VPN-Lösungen gegeben. Der VPN-Client mit SAML ermöglicht den Datenaustausch zwischen einem internen Authentication-Provider und einem Online-Identity-Provider, der die Authentifizierung und Verwaltung der SAML-Benutzer z.B. über Okta oder Microsoft Azure AD ermöglicht. Auf diese Weise können die Produkte nahtlos miteinander kommunizieren und es kommt zu keinen Kompatibilitätsproblemen.

Kompatibilität und Usability gehen Hand in Hand

Dasselbe Prinzip ist auch für Netzwerk-Technologien wie SD-WAN, SASE und SSE gültig. Solche Netzwerkzusammenschlüsse setzen ein sehr hohes Sicherheitsniveau voraus, um das gesamte Netzwerk robust zu gestalten. Diese Absicherung einer SASE-Lösung können beispielsweise moderne softwarebasierte VPN-Lösungen übernehmen, die sich nahtlos in die derartigen Security-Konzepte dieser Systeme einfügen.

Neben der reinen Sicherheit darf jedoch auch die Nutzerfreundlichkeit der Lösung nicht vernachlässigt werden. Das umfasst sowohl den Administrationsaufwand im Betrieb der Komponenten, als auch die Bedienbarkeit des Endusers, auf dessen Endgerät die Lösung für Sicherheit sorgt. Die tägliche Arbeit der Nutzer darf durch neue Technologien und IT-Anwendungen nicht eingeschränkt werden.

Stattdessen muss moderner IT-Schutz immer mit einer hohen Usability vereint werden. Nur so können sowohl IT-Administratoren als auch Endanwender produktiv und damit auch sicher arbeiten. In den Augen des Endanwenders muss die Lösung unsichtbar im Hintergrund laufen, sein Gerät nicht ausbremsen und seine Handgriffe nicht einschränken.

Idealerweise muss der Mitarbeiter beim Start seines Rechners nur seine Anmeldeinformationen im Client eingeben und auf „Verbinden“ klicken. Der Nutzer merkt von den sicherheitsrelevanten Prozessen im Hintergrund nichts und arbeitet von überall aus so, als würde er sich lokal in der Firma befinden – mit voller Geschwindigkeit und hochsicher.

Auf der anderen Seite hat der IT-Administrator andere Anforderungen, die jedoch gleichermaßen erfüllt sein müssen. Besonderes Augenmerk liegt hier auf der Möglichkeit des zentralen Managements. Auf einer zentralen Verwaltungsplattform hat der Admin die gesamte Firma mit allen Standorten, Benutzergruppen sowie Abteilungen im Blick und kann alle gewünschten Einstellungen vornehmen.

Mit wenigen Mausklicks weist er den Nutzer einer speziellen Gruppen zu, rollt global Updates aus und verteilt granulare Firewall- und Zugriffsrichtlinien – entweder an einzelne Nutzer, bestimmte Abteilungen oder die gesamte Organisation. Umständliches und zeitraubendes Management einzelner Accounts entfällt damit vollständig.

Vereinen Sie das Beste aus beiden Welten!

Eine moderne IT-Infrastruktur einzuführen, heißt nicht, dass sich Firmen vollständig der Cloud hingeben müssen. Transparenter Netzwerkzugriff gehört auch 2024 für viele Unternehmen zum IT-Alltag und wird nicht von heute auf morgen verschwinden. Daher ist es für Unternehmen wichtig, dass ihre IT beide Welten bedienen kann.

So bleibt beispielsweise auch eine im Firmennetz befindliche Telefonanlage im IPsec-Tunnel weiterhin nutzbar, während diese bei den meisten anderen, rein Cloud-basierten Zero-Trust-Produkten in der Cloud stehen müssen. Moderne VPN-Lösungen integrieren sich dadurch in komplexe Technologiekonzepte wie SASE, SSE oder Zero Trust und liefern gleichzeitig bedeutende Vorteile.

Weitere Informationen finden Sie unter: https://www.ncp-e.com/de/loesungen/cloud-vpn

*Dennis Christ, Content Marketing Manager bei NCP


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*