pts20210930016 Unternehmen/Wirtschaft, Technologie/Digitalisierung

Firmendesktops als Einfallstor für digitale Angriffe

Home Office verlagert die digitale Firmentür quer durch die Länder und Städte in den Wohnraum


Schwedische skrivmaskin (Foto:: Wikipedia)
Schwedische skrivmaskin (Foto:: Wikipedia)

Wien (pts016/30.09.2021/09:00) Den Telearbeitsplatz gibt es schon seit über 50 Jahren. Seit dem letzten Jahr hat die virtuelle Art zu arbeiten sehr viel an Bedeutung gewonnen. Die Pandemie hat die Distanz vergrößert und Technologien für den Arbeitsplatz zu Hause haben einen wahren Durchbruch gefeiert. Das lässt sich leider nicht für die Informationssicherheit sagen. Vielen Installationen mangelt es an grundlegender Absicherung, ganz besonders bei der Verwendung von persönlichen Geräten ohne firmeneigene Konfiguration. Die DeepSec Konferenz und Certitude Consulting warnen vor dem Einsatz von Systemen ohne angemessene Absicherung.

Bring Your Own Demise mit privater Hardware

Die COVID-19 Pandemie hat großen Druck erzeugt, Mitarbeiterinnen und Mitarbeitern Zugang zu ihrer Arbeitsumgebung von zuhause zu geben. Die Umsetzung erfordert eine sorgfältige Planung und den Einsatz von sicheren Endgeräten sowie Protokollen in der Netzwerkübertragung. Populäre Lösungen sind das Remote Desktop Protocol (RDP) oder Citrix-Umgebungen, die den Desktop am Bürotisch auf beliebige andere Computer holen. Der kritische Punkt ist die Isolation zwischen der Home-Office-Umgebung und der Firmenumgebung. Austausch von Daten, Druckdienste, Inhalte der Zwischenablage oder Wechseldatenträger müssen angemessen konfiguriert werden. Wie sicher muss nun die Umgebung sein, aus welcher der Zugriff erfolgt? Die Firma Certitude Consulting hat demonstriert, dass eine Infektion mit Schadsoftware die Barrieren zwischen lokalem Gerät und Firmenarbeitsplatz überwinden kann. Simulierte Maus- und Tastaturaktionen können bis in die virtuelle Umgebung reichen, wodurch eine Kompromittierung des Firmennetzwerks über verseuchte Home-Office-Geräte möglich ist.

Training: Attacken auf Desktop

Moderne Desktop-Applikationen verwenden Komponenten, die bisher nur bei Webanwendungen eingesetzt wurden. Modulare Bauweise erlaubt eine leichtere Angreifbarkeit der Software, weil eine Schwachstelle in einem Baustein dann gleich für eine ganze Reihe von Programmen verwendet werden kann. Im Rahmen der diesjährigen DeepSec Konferenz wird ein Training abgehalten, welches speziell auf Angriffe gegen moderne Desktops zugeschnitten ist. Das Ziel der Schulung ist, die Gefahren der Anwendungen zu vermitteln, damit man die Gegenmaßnahmen besser implementieren kann. Attacken gegen Microsoft Teams, Skype, Bitwarden, Slack und Discord sind Teil der Beispiele, die die Trainer Abraham Aranguren und Anirudh Anand vorführen werden. Teilnehmerinnen und Teilnehmer des Kurses bekommen bei Buchung unbegrenzten Support per E-Mail und Zugriff auf ein Portal mit Übungen zum Trainieren der eigenen Fähigkeiten.

Generell sind Desktops Dreh- und Angelpunkte, um Zugriff auf sensitive Informationen zu bekommen. Typischerweise werden mehrere Applikationen verwendet, die mit verschiedenen Systemen wechselwirken. Gerade Personen mit besonderen Privilegien sind daher besonders lohnende Ziele. In der Vergangenheit wurden Unternehmen schon durch solche Wege attackiert. Administrative Zugänge benötigen daher besondere Sorgfalt bei der Absicherung.

Gegenmaßnahmen

Die Prinzipien der Informationssicherheit sind immer Abschottung von Bereichen, Zugangsbeschränkungen, Inspektion von Wechselwirkungen und Ausführen aller Aufgaben mit minimalen Privilegien. Für die Home-Office-Umgebung bedeutet dies konkret die zeitgerechte Installation von Updates, sorgfältige Auswahl von Installationsquellen für Applikationen, starke Authentifizierung, keine automatische Verknüpfung zwischen Dateitypen und Aktionen sowie größte Vorsicht beim Umgang mit externen Daten wie Dokumenten oder Webseiten. Die Ratschläge wurden und werden immer wieder gegeben, wenn es um sicheren Umgang mit vernetzten Arbeitsplätzen geht. Man darf dabei nicht vergessen, dass diese Grundlagen aber immer gelten, wenn Zugriffe auf interne Ressourcen vergeben werden.

Zur ersten DeepSec Konferenz im Jahre 2007 wurde eine Präsentation zum Thema Perimeternetzwerk der eigenen Organisationen gehalten. Schon damals haben einige wenige Firmen auf die Unterscheidung zwischen internem Netzwerk und externem Netzwerk verzichtet. Der Vorteil in diesem Ansatz besteht darin, dass jegliche Datenübertragen direkt ab dem Gehäuse abgesichert sein muss. Das bedeutet die konsequente Implementation von Verschlüsselung, sicheren Protokollen und Authentisierung bei allen Zugriffen sowie Applikationen. Damit fällt das Beachten von Ausnahmen und das Stützen auf Annahmen (wie vertrauenswürdige interne Netzwerke) weg. Die Absicherung wird dadurch wesentlich einfacher. Darüber hinaus sind dann Änderungen wie die Einrichtung von Home-Office-Umgebungen nicht mehr explizit notwendig. Der Client kann überall sicher verwendet werden.

Nachhaltige Informationssicherheit

Die Umstellungen für Home-Office-Betrieb wird nach der COVID-19 Pandemie nicht verschwinden. Es gibt viele Gründe, diese Art des Arbeitens weiter zu unterstützen. Wichtig ist, dass man die Zugänge richtig absichert. Dazu ist nicht nur eine komplette Überarbeitung der Clients notwendig. Es gilt auch die eigene Infrastruktur bezüglich der Sicherheit zu hinterfragen. Sichere Netzwerkverbindungen sind niemals eine temporäre Lösung. Genau dasselbe muss auch für die Arbeitsplatz-Umgebung gelten, egal ob im Büro oder außerhalb - und zu jeder Zeit.

Programme und Buchung

Die DeepSec-2021-Konferenztage sind am 18. und 19. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November, statt. Alle Trainings (bis auf Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von möglichen zukünftigen COVID-19-Maßnahmen teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge geben.

Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43 676 5626390
E-Mail: deepsec@deepsec.net
Website: deepsec.net/
|