Die US-amerikanische Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat die „Emergency Directive ED 24-01“ veröffentlicht, nachdem weit verbreitete Sicherheitslücken in zwei VPN-Produkten aktiv ausgenutzt wurden. Zu den zahlreichen Schwachstellen, von denen allein im Januar fünf bekannt wurden, gehören die Umgehung der Authentifizierung und Einschleusung von Befehlen sowie eine Rechteausweitung und serverseitige Anforderungsfälschung in der SAML-Komponente. Die Notfall-Direktive weist alle zivilen Bundesbehörden an, die betroffenen VPN-Lösungen außer Betrieb zu nehmen, zusätzliche forensische Analysen durchzuführen und weitere Maßnahmen zur Problembehebung zu ergreifen.
Das US-Amt für Cybersicherheit und Infrastruktursicherheit warnt, dass betroffene Produkte auch nach dem Einspielen eines nachgelieferten Patches nicht gegen die Ausnutzung der gefundenen Schwachstellen geschützt seien. Bedrohungsakteure könnten sich demnach lateral im Netzwerk bewegen, Daten exfiltrieren und einen dauerhaften Systemzugriff einrichten, was zu einer vollständigen Kompromittierung der Zielinformationssysteme führe. Die CISA stellte fest, dass diese Voraussetzungen ein inakzeptables Risiko für die Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch, FCEB) darstellten und Notfallmaßnahmen erforderten.
Die drastische Behördenwarnung unterstreicht das Risiko beim VPN-Zugriff auf privilegierte Systeme oder geschäftskritische Umgebungen. Angesichts der veränderten Cyberbedrohungslage sind robuste Sicherheitsmaßnahmen dringend erforderlich. In diesem Blogbeitrag erhalten Sie Einblicke in aktuelle Bedrohungen, die von herkömmlichen VPN-Lösungen verursacht werden. Sie erfahren auch, wie moderne Technologien dabei helfen, die Abhängigkeit von VPN-Zugängen zu reduzieren und Unternehmen besser vor aktuellen Bedrohungen zu schützen.
Risiken klassischer VPN-Technologien
VPNs leisten zwar gute Arbeit, um einen generellen Allgemeinzugang von außen auf der IP-Adressebene zu ermöglichen, aber für granulare Zugriffe sind sie bei Konfiguration und Kontrolle weniger geeignet. Sie gewähren oft einen breiten Netzwerkzugriff anstelle eines spezifischen, kontrollierten Zugriffs. Das setzt die Vertrauenswürdigkeit aller Personen innerhalb eines VPNs voraus — einschließlich Drittanbietern, IT-Dienstleistern oder Gastnutzern.
Gelingt allerdings die Kompromittierung des VPN-Einstiegspunkts (wie im oben geschilderten Fall), sind die Folgen erheblich. Die Sicherheit einer Organisation hängt dann vom Sicherheitsstatus des externen Endpunkts mit verschlüsseltem Tunnelzugriff auf die Unternehmensumgebung ab. Schließlich verfügt jeder Anwender mit VPN-Zugriff auf ein geschäftliches Netzwerk über uneingeschränkten Direktzugang auf große Teile der IT-Umgebung. Das verursacht gravierende Sicherheitsrisiken, wenn bösartige Akteure diese Schwachstelle ausnutzen und diese durch Seitwärtsbewegung im Netzwerk erweitern können.
Sicherheitsverletzungen vorbeugen: Schützen Sie Ihr Unternehmen mit Privileged Remote Access
Cyberangriffe werden immer komplexer und Bedrohungsakteure können modernste IT-Ressourcen und Technologien für die Erkennung von Schwachstellen einsetzen. Deshalb müssen Unternehmen proaktiv Risiken mindern. Wie allerdings die CISA-Direktive zur Behebung der Schwachstellen in den betroffenen VPN-Lösungen zeigt, können die empfohlenen Gegenmaßnahmen genauso aufwendig sein wie die Bereitstellung einer ganz neuen Lösung. Anstelle der erneuten Bereitstellung der bisher eingesetzten Lösung könnte also im konkreten Fall der Einsatz einer ganz neuen Technologie, die eine Vielzahl von Anwendungsfällen für den Fernzugriff auf sichere Weise abdeckt, in Betracht gezogen werden.
BeyondTrust Privileged Remote Access (PRA) ist eine moderne, identitätsbasierte Fernzugriffslösung, die ganz ohne VPN-Einsatz den Mitarbeitern einen geschützten Zugriff auf Cloud- und lokale IT-Ressourcen ermöglicht. Der Remote-Access-Zugriff für interne und externe Nutzer auf geschäftliche IT-Systeme wird nur für diejenigen Ressourcen aktiviert, die von autorisierten Benutzern tatsächlich benötigt werden — und nur für ein begrenztes Zeitfenster. Im Gegensatz zu herkömmlichen VPNs, die einen umfassenden Netzwerkzugriff auf alle dort gehosteten IT-Ressourcen bieten, stellt Privileged Remote Access eine Punkt-zu-Punkt-Lösung mit Just-in-Time-Zugriff für RDP, SSH, Kubernetes, Datenbanken, Proxy-Webbrowser-Funktionen (HTTPS) und Cloud-Plattformkonsolen dar. Ein echter Zero-Trust-Ansatz ohne weit gefasste Nutzerprivilegien, der von Privileged Remote Access unterstützt wird, bedeutet, dass zur Erreichung der Geschäftsziele keine Kompromisse mehr bei der Sicherheit eingegangen werden müssen.
Tunneling als neue und sichere Alternative zu VPNs
In der aktuellen Version 24.1 baut Privileged Remote Access die Funktionen zur Identitätssicherheit aus, einschließlich der Verfügbarkeit von Privileged Remote Access Network Tunneling als perfekte Alternative zu VPN-Technologien.
Ein herkömmliches VPN bietet jedem Benutzer mit Zugriffsrechten einen direkten und uneingeschränkten Zugriff auf das gesamte Firmennetzwerk — mit entsprechenden Sicherheitsgefahren. Bildlich gesprochen ist das vergleichbar mit einem Gast, der neu in ein Hotel eincheckt und eine Schlüsselkarte erhält, mit der sich jedes Zimmer im Hotelkomplex öffnen lässt. Tunneling hingegen ermöglicht die granulare Kontrolle des Zugriffs auf jedes einzelne System — von der Cloud-IT bis zu industriellen Geräten.
Mit Tunneling können Nutzer verschiedene Anwendungsfälle abdecken — einschließlich Betriebstechnologie (Operational Technology - OT), Internet der Dinge (IoT) und speicherprogrammierbare Steuerungen (SPS). Dafür werden UDP- (User Datagram Protocol) und Layer-3-Tunneling mit granularer Punkt-zu-Punkt-Zugriffssteuerung auf Grundlage der Nutzeridentität kombiniert. So werden Sicherheitslücken und -risiken vermieden, die für herkömmliche VPNs typisch sind. Personen haben also keinen Zugang zu anderen Hotelzimmern — um beim oben genannten Vergleich zu bleiben — und sehen nicht einmal die Türen der anderen Räume.
Die neue Funktion kombiniert nützliche VPN-Vorteile (wie beispielsweise die Möglichkeit zur Steuerung des Zugriffs auf IP-Ebene) mit identitätsbasierten Zugriffsfunktionen von Privileged Remote Access (SSO, MFA, Protokollierung und Überprüfung vollständig aufgezeichneter Sitzungen oder Ende-zu-Ende-Verschlüsselung) und übertrifft damit die Einschränkungen herkömmlicher VPNs. Geschäftliche Anwender verfügen über moderne und identitätssichere Zugangsmöglichkeiten, die klassische VPN-Lösungen nicht bieten können.
Dieser neue Ansatz bei der Bereitstellung von Zugriffen ist gegenüber VPNs überlegen und minimiert die Angriffsfläche. Zugriffe lassen sich granular konfigurieren, bedarfsgerecht einschränken, vollständig überwachen und protokollieren.
Privileged Remote Access für identitätssichere Cloud- und On-Premises-Zugriffe
Im Vergleich zu unkontrollierten VPNs bietet Privileged Remote Access eine bessere Möglichkeit, sichere Zugriffe auf Ihre Systeme und Netzwerke einzurichten. Die wichtigsten Vorteile von Privileged Remote Access auf einen Blick:
Unterstützung für alle Systeme — Privileged Remote Access bietet über eine einheitliche Benutzeroberfläche geschützten Zugriff auf unterschiedlichste IT-Systeme im Unternehmen – von Cloud-Anwendungen, Servern und Containern bis hin zu industriellen Maschinen. Der sichere, kontrollierte Zugriff auf Cloud-Konten ist genauso einfach wie für lokale Konten.
Bedarfsgesteuerter Zugriff — Privileged Access Management setzt ein sicheres Sicherheits-Framework ohne Dauerzugriff durch. Benutzerzugriffe werden nur dann zugewiesen, wenn sie tatsächlich benötigt werden. Nutzen Sie Just-in-Time-Zugriff, minimieren Sie die Angriffsfläche, unterbinden Sie permanenten Zugriff und nutzen Sie stattdessen dynamische Zugriffsrechte, die Arbeitsabläufe nicht unterbrechen.
Schutz der Zugangsdaten — Privileged Remote Access führt Anmeldeinformationen automatisch und für Benutzer nicht einsehbar zu. Die häufigste Gefahrenquelle bei der Kompromittierung von Anmeldedaten wird also vermieden und es wird sichergestellt, dass nur autorisierte Zugriffe auf Systeme erfolgen.
Nach Best-Practice-Vorgaben erstellte Kennwörter — Der Passworttresor von Privileged Remote Access verwahrt alle Zugangsdaten und rotiert sie automatisch. Anmeldeinformationen lassen sich nach einer festgelegten Zeit ändern, so dass alte Passwörter nicht mehr einsetzbar sind. Auch eine manuelle Rotation der Kennwörter ist möglich.
Cloud-Zertifikate mit Diebstahlsicherung — Privileged Remote Access verwendet die SSH-Zertifizierungsstelle, um identitätsspezifische und kurzlebige Zertifikate auszustellen, die sofort nach ihrer Verwendung ablaufen. Diese Zertifikate gewährleisten die Sicherheit für Cloud-Dienstkonten: Selbst ein Diebstahl der Passwörter wäre sinnlos, da Bedrohungsakteure sie in der IT-Umgebung nicht mehr einsetzen könnten.
Sitzungsüberwachung gegen Bedrohungen — Privileged Remote Access stellt durch eine automatisierte Sitzungsprotokollierung und -überwachung von Benutzerzugriffssitzungen sicher, dass sich keine böswilligen oder schädlichen Aktivitäten in kritischen Infrastrukturen durchführen lassen. Diese Funktion kann auch in Threat-Detection-Systemen integriert werden, um verdächtige Aktivitäten sofort zu unterbinden.
Die nächsten Schritte
In der Cybersicherheitswelt kommt es gerade bei Remote-Mitarbeitern und beim Einsatz von Netzwerktechnologien darauf an, eine Sicherheitsverletzung schnellstmöglich zu erkennen und Schwachstellen immer einen Schritt voraus zu sein. Die CISA-Notfall-Direktive unterstreicht, wie wichtig es ist, Sicherheitslücken in Softwareprodukten beheben und Cyberbedrohungen wirksam minimieren zu können. Mit BeyondTrust Privileged Remote Access gibt es eine praxiserprobte Alternative zu herkömmlichen VPN-Lösungen, die erweiterte Sicherheitsfunktionen und granulare Zugriffskontrollen bietet. Privileged Remote Access stärkt die Cybersicherheitsabwehr im Unternehmen, gewährleistet geschäftliche Kontinuität in digitalen Umgebungen und setzt Vorgaben anhand des Zero-Trust-Modells durch.
Melden Sie sich für eine kostenlose Testversion an und erfahren Sie, wie Ihr Unternehmen von Privileged Remote Access profitieren kann. Kontaktieren Sie uns gerne direkt und erfahren Sie mehr über die Vermeidung von VPN-Zugriffsrisiken.