Die digitale Arbeit verändert die Anforderungen an die IT-Sicherheit rasant. Die klassische Firewall hat ausgedient. Doch wie können sich KMU trotzdem effizient schützen? Ein Einstieg in die moderne IT-Sicherheit.
Umfassender Schutz mit beem
Einfach alle und alles, überall und immer sicher mit beem: Sicher surfen und auf Unternehmensdaten zugreifen mit Smartphone und Computer.
Die Firewall ist das digitale Pendant zum Büroschloss. So, wie dieses ungebetene Gäste abhält, schützt die Firewall das Firmennetzwerk vor unerwünschten Zugriffen. Doch das reicht heute nicht mehr. Denn Daten und Anwendungen sind dank der Cloud längst in die grosse weite Welt des Internets abgewandert. Und viele Mitarbeitende arbeiten nicht nur im Büro, sondern auch im Homeoffice und unterwegs. In diesen Szenarien greift das digitale Schloss alias Firewall nicht, weil die Arbeit ausserhalb des geschützten Büros stattfindet.
«Diese veränderten Arbeitsweisen und zunehmende Cyberangriffe erhöhen die Ansprüche an die IT-Sicherheit und verlangen nach neuen Schutzkonzepten», konstatiert Michael Mäder, Security-Architekt und assoziierter Professor an der Hochschule für Technik und Architektur Freiburg.
Die Firewall alleine reicht nicht mehr
Durch die veränderten Arbeitsweisen eröffnen sich für Cyberkriminelle neue Angriffsflächen. Firmendaten und Geschäftsanwendungen sind heute meistens übers Internet zugänglich, entweder in der Cloud oder via VPN im lokalen Netzwerk. Cyberkriminelle haben es zunehmend auf Zugangsdaten zu Cloud-Diensten und VPN-Zugängen abgesehen. Sie dienen als Einfallstor in die Unternehmens-IT und ermöglichen es den Angreifern, Daten zu stehlen und mittels Ransomware zu verschlüsseln.
Haben die Angreifer erst einmal Zugriff auf Cloud-Dienste oder das Netzwerk haben sie häufig leichtes Spiel und schnell Zugriff auf sämtliche Daten. «Klassische Schutzmassnahmen wie die Firewall im Büro reichen da nicht mehr aus», meint Mäder. Denn sie greifen nicht, wenn sich Mitarbeitende, Daten und Anwendungen ausserhalb des Büros befinden. Und je nach Funktionalität ist die Firewall zudem auch im Büro nicht in der Lage, beispielsweise Ransomware zu erkennen und zu blockieren. Dennoch sind rein klassische Schutzmassnahmen weit verbreitet, sagt dazu Julién Gueron, Account Manager bei Swisscom: «In meinem Alltag treffe ich häufig die Situation an, dass KMU vorwiegend auf traditionelle Schutzmassnahmen wie Firewalls setzen.»
Das Problem dabei: Auch KMU müssen sich um ausreichenden Schutz ihrer Daten und Konten kümmern – ob lokal oder in der Cloud. Denn Cyberkriminelle gehen Unternehmen meist nicht gezielt an, sondern suchen automatisiert nach Schwachstellen und verschicken millionenfach Phishing-Mails. Wenn sich irgendwo eine Sicherheitslücke auftut oder jemand über ein Phishing-Mail Kontodaten preisgibt, greifen die Cyberkriminellen dort an – unabhängig von der Grösse und Wichtigkeit des potenziellen Opfers. KMU können deshalb genauso betroffen sein wie Grossunternehmen.
Typische Einfallstore für Cyberkriminelle
Mitarbeitende greifen mit unterschiedlichen Geräten (Notebooks, Smartphones, Tablets) und an unterschiedlichen Standorten (im Büro, im Homeoffice, unterwegs, bei Kunden) übers Internet oder aus dem Firmennetzwerk auf Daten und Anwendungen zu. Das eröffnet Cyberkriminellen neue Einfallstore, um auf Firmendaten zuzugreifen oder Kontodaten abzuzügeln.
- Phishing-Mails: Sie dienen häufig als erste Angriffsmethode, um Login-Daten zu erbeuten. Fällt ein Mitarbeitender darauf herein, kann sich der Angreifer Zugriff aufs Firmennetzwerk via VPN, das Gerät selbst oder auf Business-Anwendungen und Unternehmensdaten beschaffen. Häufig dient Phishing Angreifern auch dazu, um Ransomware und andere Schadsoftware einzuschleusen.
- Konten mit schwachen Passwörtern: Zu einfache oder mehrfach verwendete Passwörter erleichtern es Angreifern, Zugriff zu erlangen, beispielsweise auf das Microsoft-Konto oder die Buchhaltungssoftware. Eine Zweifaktor-Authentifizierung (mittels Authenticator-App, SMS, Mobile ID usw.) erhöht zwar den Schutz. Doch auch 2FA kann ausgehebelt werden.
- Unsichere Geräte: Notebooks, Smartphones und Tablets können Sicherheitslücken aufweisen. Deshalb ist es wichtig, Betriebssysteme und installierte Programme stets aktuell zu halten und keine Geräte zu verwenden, für die es keine Sicherheits-Updates mehr gibt. «Werden unsichere Geräte für den Zugriff auf Geschäftsdaten genutzt, können die Angreifer über bekannte Sicherheitslücken Daten abgreifen oder Schadsoftware einschleusen», warnt Gueron.
Wie moderne IT-Sicherheit funktioniert
Sie betreten einen Flughafen, das Gepäck im Koffer verstaut. Schon beim Check-in müssen Sie sich das erste Mal ausweisen. Zum Gate kommen Sie nur, wenn Sie Ihr Ticket an der Zugangsschleuse scannen und den Sicherheitscheck erfolgreich durchlaufen haben. Dabei wurden Sie und ihr Handgepäck gründlich durchleuchtet. Und beim Boarding müssen Sie erneut Ausweis und Boardingpass vorlegen. Erst danach erhalten Sie Zutritt zum Flugzeug. Dieses Prozedere ist zwar mühsam, dafür fühlen Sie sich wahrscheinlich sicher, weil keine ungebetenen Passagiere und kein gefährliches Gepäck es bis ins Flugzeug schaffen.
Der Flughafen ist die Analogie zur modernen IT-Sicherheit. Die frei zugängliche Eingangshalle ist das Internet. Während sich dort alle frei bewegen können, ist der Zutritt zu den Daten (zum Flugzeug oder zur Reisedestination) erst nach umfangreichen Kontrollen möglich: Wer sind Sie? Auf welche Daten (die Destination) möchten Sie zugreifen? Ist Ihr Notebook oder Smartphone für den Zugriff zugelassen (Gepäck)? Dürfen Sie am heutigen Tag zu dieser Tageszeit auf diese Daten zugreifen (Tag und Zeit des Fluges)?
Nach diesem Ansatz funktioniert ein moderner, sicherer Zugriff auf Unternehmensdaten: Bei jedem Zugriff wird die Person geprüft und das Gerät. Erst, wenn die Prüfung erfolgreich war, erhalten Sie Zugriff auf Daten – und zwar nur für ausgewählte Daten und für einen bestimmten Zeitraum. Dieses Konzept: «niemals vertrauen, immer überprüfen» wird in der Fachwelt als Zero Trust («kein Vertrauen») bezeichnet. Die Zugriffsprüfung aufs Netzwerk selbst erfolgt mit einem Mechanismus namens Zero Trust Network Access («vertrauensloser Netzwerkzugang») oder kurz ZTNA.
Wie Zero Trust Network Access (ZTNA) KMU schützt
Sie möchten mit Ihrem Computer oder Smartphone Ihren Kalender, ein Worddokument oder die Buchhaltungssoftware öffnen. Sie werden aufgefordert, sich bei der Anwendung zu identifizieren – etwa bei SharePoint, Outlook, Salesforce oder Bexio. Sie melden sich mit Benutzername und Passwort an und bestätigen mit einem zweiten Faktor. Gleichzeitig prüft ZTNA im Hintergrund, ob alle Kriterien für die Anmeldung an dieser Anwendung erfüllt sind: Ist es ein registriertes Firmengerät? Sind Virenschutz und Betriebssystem aktuell? Erfolgt der Zugriff aus Schweiz? Nur, wenn diese Voraussetzungen erfüllt sind, erhalten Sie Zugang.
«Mit einem solchen Ansatz können KMU Cyberkriminellen den Zugriff auf Unternehmensdaten und die Ausbreitung im Firmennetz erschweren», erläutert Mäder den wichtigsten Nutzen. Selbst wenn ein Cyberkrimineller die Zugangsdaten und den zweiten Faktor erbeutet hat, kann ZTNA ihn trotzdem stoppen. Seinem unregistrierten Gerät wird der Zugriff verweigert oder auch der Zugriff aus dem Ausland. Dabei können die Sicherheitsmassnahmen nicht nur Daten und Anwendungen in der Cloud schützen, sondern auch lokale Server im Firmennetz. Damit können Zero-Trust-Lösungen auch herkömmliche VPN ersetzen und die Sicherheit beim Fernzugriff erhöhen.
«Heute sind Zero-Trust-Ansätze mit ZTNA eher in Grossunternehmen anzutreffen», sagt Mäder. «Das liegt oftmals an der Komplexität solcher Lösungen.» Doch Mäder wie auch Guéron betonen, dass dieser Sicherheitsansatz zunehmend auch für KMU relevant wird: «Wollen sich KMU wirkungsvoll vor Cyberangriffen schützen, müssen sie sich mit solchen Ansätzen befassen.» Das bedingt passende Lösungen, betont Guéron: «Sie müssen für KMU einfach und kostengünstig sein.»
ZTNA mit Swisscom und beem
Mit beem bietet Swisscom KMU einen standardisierten Ansatz, um ZTNA mit geringem Aufwand umzusetzen. Dabei integriert beem die zentralen Elemente von ZTNA wie Zugriffsrichtlinien, Benutzer- und Geräteverwaltung, geht aber darüber hinaus: Firmenstandorte, auch mit lokaler IT-Infrastruktur, lassen sich ebenfalls integrieren. Das spart Zeit und Kosten. Mit beem lässt sich Zero Trust für Cloud- und lokale Anwendungen umsetzen – unabhängig davon, ob Mitabeitende vom Büro oder von auswärts auf Daten zugreifen.
Michael Mäder
Michael Mäder ist assoziierter Professor für Informatik und Telekommunikation an der Hochschule für Technik und Architektur in Freiburg. Er hat umfassende Erfahrung als Security-Architekt und war mehr als 20 Jahre in der Sicherheitsberatung und Entwicklung von Sicherheitsdienstleistungen tätig.
Julien Guéron
Julien Guéron ist Account Manager bei Swisscom für die grösseren KMU in der Region Bern. Mit über zehn Jahren Erfahrung im B2B-Umfeld kennt er die heutigen Herausforderungen und Bedürfnisse der Unternehmen.
Titelbild: Michael Mäder (links) und Julien Guéron.
