Was versteht man unter sicheren Homeoffice-Arbeitsplätzen?

Unter sicherer Remote-Arbeit versteht man den geschützten Zugriff auf geschäftliche, private, Freizeit- und Web-Anwendungen. Der Schutz von Remote-Mitarbeitern und ihren Anwendungen umfasst unter anderem die Identifizierung von Schatten-IT, die Risikoreduzierung durch URL- und Webkategoriefilter, die Implementierung von Malwareschutz und den Schutz vor Datenverlust (DLP, Data Loss Protection).

Mit anderen Worten: Sichere Remote-Arbeit erfordert den Schutz vertraulicher Anwendungen und die Sicherstellung einer soliden Anwendungsperformance – auch dann, wenn viele Mitarbeiter, wie in der aktuellen Situation, im Homeoffice sind und Zugriff brauchen. Ihre Remote-Arbeiter legen Wert auf sofortigen Zugriff und eine hohe Performance. Wenn Sie beides bieten möchten, müssen Sie gleichzeitig zahlreiche Bedrohungen, wie etwa nicht vertrauenswürdigen Remote-Zugriff, abwehren.

Entdecken Sie weitere Themen zur sicheren Remote-Arbeit:

Was sind die 3 Säulen sicherer Remote-Arbeit?

Herkömmliche Lösungen für sichere Remote-Arbeit befassen sich ursprünglich mit Virtual Private Networks (VPNs) und Netzwerkgrenzen. Mit der wachsenden Verbreitung hybrider Arbeitsmodelle sind jedoch fortschrittlichere Cybersicherheitsmaßnahmen und weitere Tools für eine sichere IT-Infrastruktur immer wichtiger geworden.

Sichere Remote-Arbeit fußt im Wesentlichen auf drei Säulen:

  1. Sicherer Zugriff auf alle Arten von SaaS-Anwendungen, wie zum Beispiel Kollaborationssoftware und Produktivitätstools, innerhalb von Remote-Arbeitsumgebungen. Dabei spielt es keine Rolle, ob die Anwendungen geschäftlich oder privat genutzt werden.
  2. Schutz vor Bedrohungen und Risiken wie Cyberattacken oder Phishing-Mails, die sich aus dem allgemeinen Internetzugriff ergeben, zum Beispiel durch die Nutzung privater E-Mail- oder Cloud-Speicher-Konten oder den Besuch von Social Media Plattformen, YouTube, Diskussionsforen oder auch Sportwebsites während der Remote-Arbeitszeit.
  3. Anwendungsmanagement der Firmensoftware, die im eigenen Rechenzentrum oder in der Cloud (zum Beispiel AWS, Microsoft Azure oder Google Cloud Platform) gehostet wird – etwa durch Zero-Trust-Netzwerkzugriff (ZTNA) innerhalb einer SASE-Architektur (Secure Access Service Edge).

Was ist für zeitgemäße sichere Remote-Arbeit erforderlich?

Das herkömmliche Perimeter-Modell für die Cybersicherheit, bei dem Remote-Zugriff über ein VPN gewährt wird und alle folgenden Aktivitäten im Unternehmens-WAN als sicher eingestuft werden, reicht heutzutage nicht mehr aus, da hybride Arbeitsmodelle auf dem Vormarsch sind. Remote-Mitarbeiter müssen in der Lage sein, von unterschiedlichen Standorten und Geräten aus auf die erforderlichen Daten und Anwendungen zuzugreifen.

Perimeterbasierte Ansätze reichen jedoch nicht aus, um der Menge und Vielschichtigkeit von Remote-Zugriffsanfragen gerecht zu werden.

Zusätzlich zu lokalen Anwendungen müssen Mitarbeiter heutzutage auch auf SaaS-Anwendungen in Public Clouds zugreifen. Für diese Anwendungen sind perimeterbasierte Sicherheitslösungen und MPLS-WANs nicht ausreichend. SaaS-Traffic, der über ein herkömmliches WAN an VPN-Nutzer weitergeleitet wird, muss zunächst durch das Rechenzentrum geleitet werden – das verschlechtert die Performance und sorgt dafür, dass Remote-Mitarbeiter das VPN nicht mehr nutzen. Wenn sie jedoch direkt auf die Cloud zugreifen, sind sie zahlreichen Cybersicherheitsrisiken ausgesetzt.

Da Remote-Mitarbeiter private Endgeräte anstelle von Firmenhardware benutzen, wird die Endgerätesicherheit komplexer. Unternehmensnetzwerke können erst nach einer Reihe zahlreicher Remote-Sicherheitsmaßnahmen feststellen, ob eine Remote-Zugriffsanfrage berechtigt ist, da viele Anfragen von ungemanagten Geräten eingehen. Dazu kommt, dass sich Nutzer, die erst einmal VPN-Zugriff erhalten haben, uneingeschränkt im Netzwerk bewegen und so Malware verbreiten können. Die richtige Lösung sind hingegen Modelle, bei denen Nutzer zeitlich begrenzt nur auf die Daten und Anwendungen zugreifen dürfen, die sie wirklich benötigen.

VPNs sind nicht für Skalierung geschaffen. Der Anstieg der Remote-Arbeit im Homeoffice und die damit verbundene verstärkte Nutzung von VPNs sorgen dafür, dass mehr Sicherheitshardware in den Rechenzentren der Unternehmen gebraucht wird. Die Skalierung einer hardwarebasierten Architektur ist jedoch ein komplexer, langsamer und kostspieliger Prozess. Steigende Mengen verschlüsselten Anwendungsdatenverkehrs mit hohem Bandbreitenbedarf, der an Cloud-Anwendungen und das Internet gesendet wird, verstärken dieses Problem weiter.

Dieses Problem verdeutlicht die allgemeine Herausforderung bei der Bereitstellung einer modernen und sicheren IT-Infrastruktur für die Remote-Arbeit: Wie lässt sich strenger Anwendungs- und Datenschutz mit solider Performance und dem optimierten Zugriff berechtigter Nutzer im Unternehmensnetzwerk vereinbaren? Sicherheitsrisiken wie Malware und Insider-Bedrohungen werden immer häufiger. Remote-Sicherheitslösungen müssen daher:

  • VPN-Strukturen überwinden, in denen wegen zweifelhafter Sicherheitsannahmen zu umfassende Berechtigungen erteilt werden.
  • Hub-and-Spoke-WANs durch eine SASE-Architektur ersetzen, die softwaredefiniertes WAN (SD-WAN) umfasst, das den Anwendungs-Traffic in die Cloud schützen und weiterleiten kann – ohne Backhaul.
  • Bedrohungen aus diesen Quellen, insbesondere SaaS und Internetzugriff, die sich nicht unter der direkten Kontrolle der IT befinden, reduzieren. Dabei sollten SASE-Mechanismen wie Secure Web Gateways (SWGs) und Cloud Access Security Brokers (CASBs) eingesetzt werden.
  • ZTNA-Prinzipien wie Netzwerksegmentierung und Traffic-Isolierung implementieren, um die Angriffsfläche zu reduzieren und Daten und Nutzern in jeder Anwendung, an jedem Standort und auf jedem Gerät zu schützen.
  • Auf von Remote-Mitarbeitern genutzten gemanagten Endgeräten mit Betriebssystemen wie Microsoft Windows, macOS, Chrome OS, Linux, iOS und Android Schutz durch Softwareagenten implementieren.
  • SSO (Single Sign-On) verbessern, etwa durch stärkere Kontextorientierung und Kompatibilität mit einer größeren Anzahl von Anwendungen.

Wenn diese Maßnahmen kombiniert werden, tragen sie dazu bei, Anwender und Daten vor unterschiedlichen Cybersicherheitsrisiken wie dem Verlust von sensiblen Daten zu schützen, die sonst nicht von Remote-Mitarbeitern und Anwendungen erkannt werden würden.

E-BOOK

Stellen Sie mit Remote-Zugriffslösungen der nächsten Generation einen sicheren digitalen Arbeitsplatz bereit

Erfahren Sie, wie Remote-Zugriffslösungen für sichere digitale Arbeitsplätze sorgen und den Benutzerkomfort verbessern

Was sind die größten Sicherheitsrisiken für Remote-Mitarbeiter?

Da es immer häufiger zu Cyberrisiken kommt und diese immer komplexer werden, ist es unerlässlich, Remote-Mitarbeiter mit Sicherheitsmaßnahmen zu schützen, die über VPNs und Backhaul-Architekturen hinausgehen. Häufige Bedrohungen sind zum Beispiel:

Phishing

Phishing-Angriffe sind eine einfache, aber effektive Methode, mit der Angreifer über gängige Kommunikationskanäle wie Chat oder E-Mail versuchen, auf vertrauliche Daten wie etwa Anmeldeinformationen zuzugreifen. Im Kontext der Remote-Arbeit sind Phishing-E-Mails, die vermeintliche Inhalte in Bezug auf Unternehmensrichtlinien enthalten, besonders häufig. Vermeintliche Preise oder „dringende“ Angelegenheiten wie Steuererklärungen sind ebenfalls häufig Bestandteil von Phishing-Angriffen.

Ein Mitarbeiter könnte zum Beispiel eine wichtig aussehende E-Mail erhalten, die behauptet, dass das Unternehmen im Rahmen der Rückkehr ins Büro die Richtlinien für sein hybrides Arbeitsmodell aktualisiert. Wenn der Mitarbeiter jedoch auf den Link in der E-Mail klickt, der angeblich zu einer Seite mit weiteren Details führt, wird sein Konto kompromittiert. Bei der Nutzung eines VPNs kann sich der Angreifer dann im schlimmsten Fall frei im Netzwerk bewegen und weiteren Schaden anrichten. Aus diesem Grund sind ständige und kontextbasierte Sicherheitsprüfungen unerlässlich.

Schwacher Passwortschutz

Passwörter sind ein wichtiger Bestandteil gängiger Cybersicherheitsstrategien. Jedoch bringen ihre Erstellung und Verwaltung viele Probleme mit sich. Mitarbeiter nutzen oft dieselben schwachen Passwörter für mehrere Konten. Wenn nur eine Anmeldung kompromittiert wird, können schlimmstenfalls alle Daten abgegriffen werden.

Dieses Risiko erhöht sich noch, wenn Nutzer ihre privaten Passwörter auch für Unternehmenszwecke verwenden. Dies bedeutet, dass ein Verstoß, der sich auf ein privates E-Mail-Konto auswirkt, große Auswirkungen auf die Sicherheit der Daten am Arbeitsplatz haben könnte. Da immer mehr SaaS- und Web-Anwendungen verwendet werden, ist ein mangelhafter Passwortschutz eine der Hauptbedrohungen für sichere Remote-Arbeit im Homeoffice.

Ungemanagte private Endgeräte und Remote-Zugriff beim mobilen Arbeiten

Früher konnte die IT einfach eine Reihe vertrauenswürdiger gemanagter Geräte, wie Unternehmenscomputer, zum Netzwerk hinzufügen und diesen Zugriff per VPN ermöglichen. Mit dem Anstieg der Remote-Arbeit ist dies jedoch nicht mehr so einfach möglich, da Nutzer verstärkt von ungemanagten privaten Endgeräten wie Smartphones oder Laptops aus arbeiten.

Der Zugriff privater Endgeräte auf Unternehmensanwendungen per VPN-Client ist denkbar, bringt jedoch erhebliche Sicherheitsrisiken mit sich. Das ist zum Beispiel der Fall, wenn private Endgeräte nicht mit der aktuellsten Software laufen oder wichtige Patches fehlen. Außerdem besteht die Gefahr neuer Schwachstellen im Netzwerk, wenn sich Cyberkriminelle und andere Unbefugte Remote-Zugriff verschaffen.

Ungesicherter Direktzugriff auf Cloud- und SaaS-Anwendungen

Da sich die Kombination aus VPNs und Hub-and-Spoke-WANs negativ auf die Performance und den Benutzerkomfort auswirkt, suchen Remote-Mitarbeiter oft nach Alternativen, die sich besser anfühlen, aber unsicherer sind. Obwohl VPNs viele Probleme mit sich bringen, ist es viel riskanter, gar keine Schutzmechanismen zu verwenden. Es besteht das Risiko von Malware-Infektionen auf Geräten von Remote-Mitarbeitern, was zum Verlust vertraulicher Daten führen kann. Die Folge: hohe Kosten für Unternehmen durch Datenlecks und Ransomware-Angriffe.

Was sind die wichtigsten Elemente zur Sicherung von Remote-Umgebungen?

Um das Sicherheitsrisiko für Geräte und Daten von Remote-Mitarbeitern zu reduzieren, müssen Firmen Unternehmensanwendungen in der Cloud und im eigenen Rechenzentrum schützen und gleichzeitig sicheren SaaS- und Internetzugriff ermöglichen. Die besten Lösungen für sichere Remote-Arbeit sind dabei fest in eine Single-Pass-Architektur integriert, die die Latenz verringert und die Performance erhöht.

SASE

Grob gesagt macht SASE den Netzwerkzugriff sicherer – und zwar ohne Einbußen bei der Performance. Nutzer können sich mit jeder Art von Anwendung (zum Beispiel SaaS, intern gemanagten oder virtuellen Anwendungen oder Webinhalten) verbinden. Dabei kommen unterschiedliche Sicherheitsmechanismen wie SWGs, CASBs und Sandboxes zum Einsatz. SASE verbindet Remote-Mitarbeiter von jedem Gerät und Standort aus sicher mit jeder Anwendung, ohne dass für jede Niederlassung mehrere Firewalls aufgebaut werden müssen.

SASE umfasst zudem den Zero-Trust-Netzwerkzugriff, bei dem niemand standardmäßig als vertrauenswürdig eingestuft wird. Stattdessen wird die Identität aller Nutzer immer wieder anhand von Mechanismen wie der Multi-Faktor-Authentifizierung (MFA) überprüft. Der Zero-Trust-Ansatz eignet sich ideal für sichere Remote-Arbeit. Die Gründe:

  • Nutzer müssen sich per MFA autorisieren und ihre Geräte werden immer wieder anhand unterschiedlicher Kriterien (zum Beispiel Patch-Levels) auf Risiken überprüft.
  • Remote-Mitarbeiter erhalten nur die für ihre Rolle erforderlichen Zugriffsrechte. Dies unterscheidet sich von den umfassenden Zugriffsrechten, die bei einem VPN erteilt werden.
  • Die Mikrosegmentierung von Datenverkehr bietet Schutz vor potenziell risikobehafteten Remote-Nutzern und privaten Endgeräten und beschränkt deren Bewegungsspielraum im Netzwerk.

Sicherer Internetzugang

Unternehmen müssen mit dem steigenden Datenverkehr von Remote-Mitarbeitern Schritt halten. Am einfachsten gelingt dies, wenn sie über die herkömmlichen hardwarebasierten Sicherheitsansätze für Remote-Arbeit hinausgehen. Mehr Datenverkehr – sei es von vom Unternehmen genehmigten, SaaS- oder allgemeinen Web-Anwendungen – belastet Hardware-Appliances. Unternehmen müssen die Appliances also entweder kostspielig aufrüsten oder bei der Prüfung verschlüsselten Datenverkehrs eine schlechtere Performance hinnehmen. Besser ist es hingegen, den Internetzugriff über eine Software zu sichern. Folgende Funktionen spielen hierbei eine Rolle:

  • Zahlreiche Threat-Intelligence-Feeds, die viele unterschiedliche Risiken identifizieren können. Weitere Feeds können einfach über eine offene API-basierte Architektur hinzugefügt werden.
  • Ein Single-Pass-Architektur, die den Datenverkehr einmalig verschlüsseln und prüfen kann und so eine bessere Performance bietet als Architekturen mit mehreren aufeinanderfolgenden Services und Kontrollpunkten.
  • Ein umfassender Schutz, der DLP, Malware-Abwehr, SWGs und mehr umfasst, um unterschiedliche Bedrohungen zu blockieren, die im Anwendungstraffic enthalten sein können.

Analysen

Traffic-Transparenz ist notwendig, um die Risiken durch und für Remote-Mitarbeiter zu bewerten. Damit dies gelingt, ist eine Lösung zur Analyse des Benutzerverhaltens erforderlich, die tiefe Einblicke in Datenpunkte wie Nutzernamen, Zeitstempel und Quell-IP-Adressen gewährt und KI-Funktionen einsetzt, um Hochrisikonutzer und -aktivitäten zu identifizieren.

MFA and SSO

Die Multi-Faktor-Authentifizierung ist eine der zuverlässigsten Methoden, automatisierte Cyberangriffe abzuwehren und den Schaden durch Passwortdiebstahl und -wiederverwendung zu begrenzen. SSO (Single Sign-On) erleichtert die Anmeldung für Nutzer und das Identitäts- und Zugriffsmanagement für die IT. Integrationen mit Identitätsanbietern vereinfachen die MFA- und SSO-Einrichtung.

Citrix-Lösungen für sichere Remote-Arbeit

Citrix bietet umfassende und moderne Lösungen für sichere Remote-Arbeit, die leicht von Sicherheitsteams implementiert werden können:

  • Citrix Secure Internet Access ist ein cloudbasierter Sicherheitsservice für den standort- und geräteunabhängigen Schutz von Remote-Mitarbeitern, auch im Homeoffice. Die Lösung ersetzt Hardware-Sicherheitsstacks und bietet mehr als 10 Threat-Intelligence-Feeds für verlässlichen Schutz vor Malware.
  • Citrix Secure Private Access bietet MFA und SSO, sodass Unternehmen sicheren Remote-Zugriff für ihre Mitarbeiter bereitstellen können – ohne die Risiken und Komplikationen des herkömmlichen Passwortmanagements. Die Lösung erleichtert den VPN-losen Zugriff auf Cloud- und SaaS-Anwendungen und verfolgt einen Zero-Trust-Ansatz um die Angriffsfläche für Cyberbedrohungen zu minimieren. So können Unternehmen eine sicherere und skalierbarere Remote-Arbeit ermöglichen.
  • Citrix SD-WAN ist ein elementarer Bestandteil von SASE. Die Lösung ermöglicht die Bereitstellung eines maßgeschneiderten, anwendungsoptimierten Netzwerks, das die für erfolgreiche Remote-Arbeitsumgebungen erforderliche Performance und Sicherheit bietet.
  • Citrix Analytics bietet die Einblicke, die erforderlich sind, um Sicherheits- und Performance-Probleme schnell zu identifizieren und beheben.

Entdecken Sie die Vorteile sicherer Remote-Arbeit mit Citrix Secure Private Access