Was versteht man unter sicherer Remote-Arbeit?

Unter sicherer Remote-Arbeit versteht man den geschützten Zugriff auf geschäftliche, private, Freizeit- und Web-Anwendungen. Der Schutz von Remote-Mitarbeitern und ihren Anwendungen umfasst unter anderem die Identifizierung von Schatten-IT, die Risikoreduzierung durch URL- und Webkategoriefilter, die Implementierung von Malwareschutz und die Konfiguration von Lösungen für den Schutz vor Datenverlust.

Mit anderen Worten: Sichere Remote-Arbeit erfordert den Schutz vertraulicher Anwendungen und die Sicherstellung einer soliden Anwendungsperformance – auch dann, wenn viele Mitarbeiter Remote-Zugriff anfordern. Ihre Remote-Arbeiter legen Wert auf sofortigen Zugriff und eine hohe Performance. Wenn Sie beides bieten möchten, müssen Sie gleichzeitig zahlreiche Bedrohungen, wie etwa nicht vertrauenswürdigen Remote-Zugriff, abwehren.

Entdecken Sie weitere Themen zur sicheren Remote-Arbeit:

• Heutige Anforderungen für sichere Remote-Arbeit
• Die größten Sicherheitsrisiken für Remote-Mitarbeiter
• Daten- und Anwendungssicherheit in Remote-Umgebungen
• Citrix Lösungen für sicheres mobiles Arbeiten

Herkömmliche Lösungen für sichere Remote-Arbeit befassen sich mit Virtual Private Networks (VPNs) und Netzwerkgrenzen. Mit der steigenden Anzahl mobiler Mitarbeiter sind fortschrittlichere Cybersicherheitsmaßnahmen und Tools jedoch immer wichtiger geworden.

Sichere Remote-Arbeit fußt heutzutage im Wesentlichen auf drei Säulen:

1. Sicherer Zugriff auf alle Arten von SaaS-Anwendungen, wie zum Beispiel Kollaborationssoftware und Produktivitätstools, innerhalb von Remote-Arbeitsumgebungen. Dabei spielt es keine Rolle, ob die Anwendungen geschäftlich oder privat genutzt werden.
2. Schutz vor Bedrohungen und Risiken, die sich aus dem allgemeinen Internetzugriff ergeben, zum Beispiel durch die Nutzung privater E-Mail- oder Cloud-Speicher-Konten oder den Besuch von YouTube, Diskussionsforen und Sportwebsites während der Remote-Arbeitszeit.
3. Anwendungsmanagement der Firmensoftware, die im eigenen Rechenzentrum oder in der Cloud (zum Beispiel AWS, Microsoft Azure oder Google Cloud Platform) gehostet wird – etwa durch Zero-Trust-Netzwerksicherheit innerhalb einer SASE-Architektur (Secure Access Service Edge).

Heutige Anforderungen für sichere Remote-Arbeit

In den Jahren von 2005 bis 2019 ist die Anzahl der Remote-Mitarbeiter laut den Daten von FlexJobs um 159% gestiegen. Noch mehr Remote-Mitarbeiter kamen hinzu, als sich 2020 das Coronavirus verbreitete. Gleichzeitig stieg der Bedarf an skalierbaren, flexiblen und zuverlässigen Schutzmechanismen gegen Sicherheitsrisiken.

Das herkömmliche Perimeter-Modell für die Cybersicherheit, bei dem Remote-Zugriff über ein VPN gewährt wird und alle folgenden Aktivitäten im Unternehmens-WAN als sicher eingestuft werden, reicht heutzutage nicht mehr aus. Remote-Mitarbeiter müssen in der Lage sein, von unterschiedlichen Standorten und Geräten aus auf die erforderlichen Daten und Anwendungen zuzugreifen.

Perimeterbasierte Ansätze reichen jedoch nicht aus, um der Menge und Vielschichtigkeit von Remote-Zugriffsanfragen gerecht zu werden.

• Zusätzlich zu lokalen Anwendungen müssen Mitarbeiter heutzutage auch auf SaaS-Anwendungen in Public Clouds zugreifen. Für diese Anwendungen sind perimeterbasierte Sicherheitslösungen und MPLS-WANs nicht ausreichend. SaaS-Traffic, der über ein herkömmliches WAN an VPN-Nutzer weitergeleitet wird, muss zunächst durch das Rechenzentrum geleitet werden – das verschlechtert die Performance und sorgt dafür, dass Remote-Mitarbeiter das VPN nicht mehr nutzen. Wenn sie jedoch direkt auf die Cloud zugreifen, sind sie zahlreichen Cybersicherheitsrisiken ausgesetzt.
• Da Remote-Mitarbeiter private Endgeräte anstelle von Firmenhardware benutzen, wird das Endgeräte-Management komplexer. Unternehmensnetzwerke können erst nach einer Reihe zahlreicher Remote-Sicherheitsmaßnahmen feststellen, ob eine Remote-Zugriffsanfrage berechtigt ist, da viele Anfragen von ungemanagten Geräten eingehen. Dazu kommt, dass sich Nutzer, die erst einmal VPN-Zugriff erhalten haben, uneingeschränkt im Netzwerk bewegen und so Malware verbreiten können. Die richtige Lösung sind hingegen Modelle, bei denen Nutzer zeitlich begrenzt nur auf die Daten und Anwendungen zugreifen dürfen, die sie wirklich benötigen.
• VPNs sind nicht für Skalierung geschaffen. Der Anstieg der Remote-Arbeit und die damit verbundene verstärkte Nutzung von VPNs sorgte dafür, dass mehr Sicherheitshardware in den Rechenzentren der Unternehmen gebraucht wurde. Die Skalierung einer hardwarebasierten Architektur ist jedoch ein komplexer, langsamer und kostspieliger Prozess. Steigende Mengen verschlüsselten Anwendungsdatenverkehrs mit hohem Bandbreitenbedarf, der an Cloud-Anwendungen und das Internet gesendet wird, verstärken dieses Problem weiter.

Das dritte Problem, also das der VPNs, verdeutlicht die allgemeine Herausforderung bei der Bereitstellung moderner Sicherheitslösungen für die Remote-Arbeit: Wie lässt sich strenger Anwendungs- und Datenschutz mit solider Performance und dem optimierten Zugriff berechtigter Nutzer im Unternehmens-WAN vereinbaren?

Sicherheitsrisiken wie Malware und Insider-Bedrohungen werden immer häufiger. Remote-Sicherheitslösungen müssen daher:

• VPN-Strukturen überwinden, in denen wegen zweifelhafter Sicherheitsannahmen zu umfassende Berechtigungen erteilt werden.
• Hub-and-Spoke-WANs durch eine SASE-Architektur ersetzen, die softwaredefiniertes WAN (SD-WAN) umfasst, das den Anwendungs-Traffic in die Cloud schützen und weiterleiten kann – ohne Backhaul.
• Bedrohungen aus diesen Quellen, insbesondere SaaS und Internetzugriff, die sich nicht unter der direkten Kontrolle der IT befinden, reduzieren. Dabei sollten SASE-Mechanismen wie Secure Web Gateways (SWGs) und Cloud Access Security Brokers (CASBs) eingesetzt werden.
• ZTNA-Prinzipien wie Netzwerksegmentierung und Traffic-Isolierung implementieren, um die Angriffsfläche zu reduzieren und Daten und Nutzern in jeder Anwendung, an jedem Standort und auf jedem Gerät zu schützen. ZTNA ist ein wichtiger Bestandteil von SASE.
• Auf diese Weise schützt SASE den Traffic zu SaaS- und Webinhalten und hält gleichzeitig die Anwendungsperformance und den Benutzerkomfort aufrecht, da keine MPLS-Backhaul-Architekturen mehr erforderlich sind.
• Auf von Remote-Mitarbeitern genutzten gemanagten Endgeräten mit Betriebssystemen wie Microsoft Windows, macOS, Chrome OS, Linux, iOS und Android Schutz durch Softwareagenten implementieren.
• SSO (Single Sign-On) verbessern, etwa durch stärkere Kontextorientierung und Kompatibilität mit einer größeren Anzahl von Anwendungen.

Wenn diese Maßnahmen kombiniert werden, tragen sie dazu bei, Anwender und Daten vor unterschiedlichen Cybersicherheitsrisiken zu schützen, die sonst nicht von Remote-Nutzern und Anwendungen erkannt werden würden.

Die größten Sicherheitsrisiken für Remote-Mitarbeiter

Da es immer häufiger zu Cyberrisiken kommt und diese immer komplexer werden, ist es unerlässlich, Remote-Mitarbeiter mit Sicherheitsmaßnahmen zu schützen, die über VPNs und Backhaul-Architekturen hinausgehen. Häufige Bedrohungen sind zum Beispiel:

Phishing

Phishing-Angriffe sind eine einfache, aber effektive Methode, mit der Angreifer über gängige Kommunikationskanäle wie Chat oder E-Mail versuchen, auf vertrauliche Daten wie etwa Anmeldeinformationen zuzugreifen. Im Kontext der Remote-Arbeit sind Phishing-E-Mails, die angebliche Änderungen von Unternehmensrichtlinien enthalten, besonders häufig. Vermeintliche Preise oder „dringende“ Angelegenheiten wie Steuererklärungen sind ebenfalls häufig Bestandteil von Phishing-Angriffen.

Ein Mitarbeiter könnte zum Beispiel eine wichtig aussehende E-Mail erhalten, die behauptet, dass das Unternehmen im Rahmen der Rückkehr in Büro die Telearbeitsrichtlinien aktualisiert. Wenn der Mitarbeiter jedoch auf den Link in der E-Mail klickt, der angeblich zu einer Seite mit weiteren Details führt, wird sein Konto kompromittiert. Bei der Nutzung eines VPNs kann sich der Angreifer dann im schlimmsten Fall frei im Netzwerk bewegen und weiteren Schaden anrichten. Aus diesem Grund sind ständige und kontextbasierte Sicherheitsprüfungen unerlässlich.

Schwacher Passwortschutz

Passwörter sind ein wichtiger Bestandteil gängiger Cybersicherheitsstrategien. Jedoch bringen ihre Erstellung und Verwaltung viele Probleme mit sich. Mitarbeiter nutzen oft dieselben schwachen Passwörter für mehrere Konten. Wenn nur eine Anmeldung kompromittiert wird, können schlimmstenfalls alle Daten abgegriffen werden.

Dieses Risiko erhöht sich noch, wenn Nutzer ihre privaten Passwörter auch für Unternehmenszwecke verwenden. Der durchschnittliche Nutzer hat im Jahr 2020 dasselbe Passwort für 8 private und geschäftliche Konten verwendet. Das heißt: Wenn das private E-Mail-Konto des Nutzers gehackt wird, steht auch der Schutz der Unternehmensdaten auf dem Spiel. Da immer mehr SaaS- und Web-Anwendungen verwendet werden, ist ein mangelhafter Passwortschutz eine der Hauptbedrohungen für sichere Remote-Arbeit.

Ungemanagte private Endgeräte und Remote-Zugriff

Früher konnte die IT einfach eine Reihe vertrauenswürdiger gemanagter Geräte, wie Unternehmenscomputer, zum Netzwerk hinzufügen und diesen Zugriff per VPN ermöglichen. Mit dem Anstieg der Remote-Arbeit ist dies jedoch nicht mehr so einfach möglich, da Nutzer verstärkt von ungemanagten Geräten, wie ihrem eigenen Smartphone oder Laptop, aus arbeiten.

Der Zugriff privater Endgeräte auf Unternehmensanwendungen per VPN-Client ist denkbar, bringt jedoch erhebliche Sicherheitsrisiken mit sich. Das ist zum Beispiel der Fall, wenn private Endgeräte nicht mit der aktuellsten Software laufen oder wichtige Patches fehlen. Außerdem besteht die Gefahr neuer Schwachstellen im Netzwerk, wenn sich Unbefugte Remote-Zugriff verschaffen.

Ungesicherter Direktzugriff auf Cloud- und SaaS-Anwendungen

Da sich die Kombination aus VPNs und Hub-and-Spoke-WANs negativ auf die Performance und den Benutzerkomfort auswirkt, suchen Remote-Mitarbeiter oft nach Alternativen, die sich besser anfühlen, aber unsicherer sind. Obwohl VPNs viele Probleme mit sich bringen, ist es viel riskanter, gar keine Schutzmechanismen zu verwenden.

Es besteht das Risiko von Malware-Infektionen auf Geräten von Remote-Mitarbeitern, was zum Verlust vertraulicher Daten führen kann. Die Folge: hohe Kosten für Unternehmen durch Datenlecks und Ransomware-Angriffe.

Daten- und Anwendungssicherheit in Remote-Umgebungen

Um die Geräte- und Datensicherheitsrisiken für Remote-Mitarbeiter zu reduzieren, müssen Firmen Unternehmensanwendungen in der Cloud und im eigenen Rechenzentrum schützen und gleichzeitig sicheren SaaS- und Internetzugriff ermöglichen. Die besten Lösungen für sichere Remote-Arbeit sind dabei fest in eine Single-Pass-Architektur integriert, die die Latenz verringert und die Performance erhöht.

SASE

Grob gesagt macht SASE den Netzwerkzugriff sicherer – und zwar ohne Einbußen bei der Performance. Nutzer können sich mit jeder Art von Anwendung (zum Beispiel SaaS, intern gemanagte oder virtuelle Apps oder Webinhalte) verbinden. Dabei kommen unterschiedliche Sicherheitsmechanismen wie SWGs, CASBs und Sandboxes zum Einsatz. SASE verbindet Remote-Mitarbeiter von jedem Gerät und Standort aus sicher mit jeder Anwendung, ohne dass für jede Niederlassung mehrere Firewalls aufgebaut werden müssen.

SASE umfasst zudem den Zero-Trust-Netzwerkzugriff, bei dem niemand standardmäßig als vertrauenswürdig eingestuft wird. Stattdessen wird die Identität aller Nutzer immer wieder anhand von Mechanismen wie der Multi-Faktor-Authentifizierung (MFA) überprüft. Der Zero-Trust-Ansatz eignet sich ideal für sichere Remote-Arbeit. Die Gründe:

• Nutzer müssen sich per MFA autorisieren und ihre Geräte werden immer wieder anhand unterschiedlicher Kriterien (zum Beispiel Patch-Levels) auf Risiken überprüft.
• Remote-Mitarbeiter erhalten nur die für ihre Rolle erforderlichen Zugriffsrechte. Dies unterscheidet sich von den umfassenden Zugriffsrechten, die bei einem VPN erteilt werden.
• Die Mikrosegmentierung von Datenverkehr bietet Schutz vor potenziell risikobehafteten Remote-Nutzern und privaten Endgeräten und beschränkt deren Bewegungsspielraum im Netzwerk.

Sicherer Internetzugang

Unternehmen müssen mit dem steigenden Datenverkehr von Remote-Mitarbeitern Schritt halten. Am einfachsten gelingt dies, wenn sie über die herkömmlichen hardwarebasierten Sicherheitsansätze für Remote-Arbeit hinausgehen. Eine Lösung wie Citrix Secure Internet Access bietet umfassende Funktionen für sicheres mobiles Arbeiten in einem einzelnen skalierbaren Service.

Mehr Datenverkehr – sei es von vom Unternehmen genehmigten, SaaS- oder allgemeinen Web-Anwendungen – belastet Hardware-Appliances. Unternehmen müssen die Appliances also entweder kostspielig aufrüsten oder bei der Prüfung verschlüsselten Datenverkehrs eine schlechtere Performance hinnehmen. Besser ist es hingegen, den Internetzugriff über eine Software zu sichern. Folgende Funktionen spielen hierbei eine Rolle:

• Zahlreiche Threat-Intelligence-Feeds, die viele unterschiedliche Risiken identifizieren können. Weitere Feeds können einfach über eine offene API-basierte Architektur hinzugefügt werden.
• Ein Single-Pass-Architektur, die den Datenverkehr einmalig verschlüsselt und prüft und so eine bessere Performance bietet als Architekturen mit mehreren aufeinanderfolgenden Services und Kontrollpunkten.
• Ein umfassender Schutz, der DLP, Malware-Abwehr, SWGs und mehr umfasst, um unterschiedliche Bedrohungen zu blockieren, die im Anwendungstraffic enthalten sein können.

Analysen

Traffic-Transparenz ist notwendig, um die Risiken durch und für Remote-Mitarbeiter zu bewerten. Damit dies gelingt, ist ein Analysetool erforderlich, das tiefe Einblicke in Datenpunkte wie Nutzernamen, Zeitstempel und Quell-IP-Adressen gewährt und KI-Funktionen einsetzt, um Hochrisikonutzer und -aktivitäten zu identifizieren. 

MFA and SSO

Die Multi-Faktor-Authentifizierung ist eine der zuverlässigsten Methoden, automatisierte Cyberangriffe abzuwehren und den Schaden durch Passwortdiebstahl und -wiederverwendung zu begrenzen. SSO (Single Sign-On) erleichtert die Anmeldung für Nutzer und das Identitäts- und Zugriffsmanagement für die IT. Integrationen mit Identitätsanbietern vereinfachen die MFA- und SSO-Einrichtung.

Citrix Lösungen für sicheres mobiles Arbeiten

Citrix bietet umfassende und moderne Lösungen für sichere Remote-Arbeit, die leicht von Sicherheitsteams implementiert werden können:

• Citrix Secure Internet Access ist ein cloudbasierter Sicherheitsservice für den standort- und geräteunabhängigen Schutz von Remote-Mitarbeitern. Die Lösung ersetzt Hardware-Sicherheitsstacks und bietet mehr als 10 Threat-Intelligence-Feeds für verlässlichen Schutz vor Malware.
• Citrix Secure Workspace Access bietet MFA und SSO, sodass kleine Unternehmen sicheren Remote-Zugriff für ihre Mitarbeiter bereitstellen können – ohne die Risiken und Komplikationen herkömmlichen Passwortmanagements. Die Lösung erleichtert den VPN-losen Zugriff auf Cloud- und SaaS-Anwendungen und verfolgt einen Zero-Trust-Ansatz um die Angriffsfläche für Cyberbedrohungen zu minimieren. So können Unternehmen eine sicherere und skalierbarere Remote-Arbeit ermöglichen.
• Citrix SD-WAN ist ein elementarer Bestandteil von SASE. Die Lösung ermöglicht die Bereitstellung eines maßgeschneiderten, anwendungsoptimierten Netzwerks, das die für erfolgreiche Remote-Arbeitsumgebungen erforderliche Performance und Sicherheit bietet.
• Citrix Analytics bietet die Einblicke, die erforderlich sind, um Sicherheits- und Performance-Probleme schnell zu identifizieren und beheben.

Erfahren Sie mehr über die ersten Schritte mit Citrix Workspace oder lesen Sie mehr zu SASE.

Zusätzliche Ressourcen

• SD-WAN-Leitfaden
• Nachteile von VPNs
• Was ist Zero-Trust-Sicherheit?
• Den „Remote Works“-Podcast von Citrix anhören

Nächster Schritt