Sicherheitslücke: Der VPN-Zugang, der vergessen wurde

Es begann mit einem alltäglichen Vorgang…

Gerhard, Mitarbeiter in der Entwicklungsabteilung eines mittelständischen Unternehmens, muss aus familiären Gründen einige Wochen aus dem Home Office arbeiten – eine Option, die das Unternehmen standardmäßig eigentlich nicht anbietet. Da es sich bei Gerhard allerdings um einen langjährigen und verdienten Mitarbeiter handelt, wird eine Ausnahme gemacht: Die IT-Abteilung richtet für Gerhard daher einen VPN-Zugang ein, damit er von seinem privaten PC von zu Hause aus seiner Tätigkeit weiterhin nachgehen kann.
Nach 3 Wochen kann Gerhard seiner Arbeit wieder regulär an seinem Arbeitsplatz in der Firma nachgehen. Über die Rückkehr von Gerhard hat sein Vorgesetzter die IT-Abteilung allerdings nicht informiert. Ganz klar: Der Fokus liegt darauf, Gerhard wieder auf den aktuellen Stand des Projekts zu bringen, an dem er und seine Kollegen aktuell arbeiten. Der VPN-Zugang für Gerhard wird folglich nie wieder entzogen.

Nachdem Gerhard nach einigen Meinungsverschiedenheiten mit seinem Vorgesetzten ein alternatives Jobangebot von einem Unternehmen in der Region erhält und annimmt, fasst er einen folgenschweren Beschluss: Er beginnt, einen Teil seiner Arbeitsergebnisse unerlaubt aus dem Unternehmen zu entwenden, um diese in sein neues Arbeitsverhältnis einzubringen. Der Transfer per USB-Stick ist dabei nicht möglich, da die Device Control der Endgeräte dies verhindert. Der Versand per E-Mail erscheint Gerhard auch zu riskant. Allerdings hat Gerhard – im Gegensatz zur IT-Abteilung – den VPN-Zugang, der ihm vor einigen Monaten eingerichtet wurde, nicht vergessen.
Wie spätere Untersuchungen der Logdateien zeigen, hatte Gerhard über den Zeitraum mehrerer Wochen vertrauliche Daten über die noch bestehende VPN-Verbindung auf seinen Heim-PC kopiert. Darunter, unter anderem, CAD-Zeichnungen und Kalkulationen von unveröffentlichten Produkten seines Arbeitgebers. Wäre der Datendiebstahl nicht aufgrund einer Indiskretion Gerhards gegenüber einem neuen Kollegen aufgeflogen, wäre ein Schaden in Höhe mehrerer Millionen Euro entstanden.

Wie kann ich mein Unternehmen schützen?
Im konkreten Fall wäre selbstverständlich die Aktivierung einer entsprechenden Policy oder der DLP-Funktion in der VPN-Software zwingend erforderlich gewesen und hätte diese spezifische Sicherheitslücke geschlossen.

Es gibt jedoch weitaus mehr mögliche Einfallstore für unberechtigten Zugriff als nur über VPN, zum Beispiel:

  • Nutzung von Anwendungen oder Berechtigungen, die aufgrund früherer Tätigkeiten in anderen Abteilungen weiterhin bestehen
  • Verwendung von Benutzerkonten von Kollegen, die bereits aus dem Unternehmen ausgeschieden sind
  • Nutzung von Projektberechtigungen oder anderen temporären Rechten, die nicht entfernt wurden

Zuverlässigen Schutz vor derartigen Situationen bietet lediglich das Least Privilege-Prinzip, das besagt: „Jeder soll nur genau die Berechtigungen haben, die für seine Tätigkeit betrieblich notwendig sind“. Wäre der VPN-Zugang von Gerhard gesperrt worden, als er zurück ins Unternehmen kam, wäre ein Datendiebstahl über diese Schiene nicht möglich gewesen.

Wie erreiche ich das Least Privilege-Prinzip?
Es gibt mehrere Möglichkeiten, um sicherzustellen, dass dieses Prinzip eingehalten wird. Alle der genannten Vorgehensweisen lassen sich mit tenfold sehr einfach umsetzen:

  1. Berechtigungen standardisieren und Standardberechtigungen automatisieren:
    Finden Sie heraus (zum Beispiel mit dem tenfold Profilassistenten), welche Berechtigungen in Ihren Abteilungen zum Standardset gehören. Stellen Sie sicher, dass jeder Benutzer diese Berechtigungen beim Eintritt in die Abteilung erhält (damit er sofort produktiv arbeiten kann) und beim Verlassen der Abteilung wieder verliert (damit die Datensicherheit gewährleistet ist).
  2. Arbeiten Sie mit befristeten Berechtigungen:
    Wenn Berechtigungen zusätzlich zum Standardset einer Abteilung vergeben werden, stellen Sie unbedingt ein Ablaufdatum ein. Sind Sie auf manuelle Mittel angewiesen, so kann dies mithilfe eines Kalenders mit Erinnerungsfunktion in Exchange realisiert werden. tenfold kann diesen Workflow automatisiert abbilden und stellt sogar eine Erinnerung zur Verfügung, die die Möglichkeit bietet, die Dauer bei Notwendigkeit automatisch zu verlängern.
  3. Etablieren Sie einen Re-Zertifizierungsprozess:
    Die Datenverantwortlichen sollten dazu verpflichtet werden, regelmäßig zu kontrollieren, ob die Zugriffe noch der betrieblichen Realität entsprechen. Wird dieser Prozess ernsthaft gelebt, so lassen sich dadurch unerlaubte Zugriffe relativ schnell erkennen. Der Datendiebstahl von Gerhard wäre in einem Unternehmen mit soliden Zertifizierungsprozess nicht möglich gewesen. Der Nachteil liegt in der aufwändigen Datenerhebung durch die IT und die unkomfortable Eingabe der Fachverantwortlichen, wenn der Prozess nicht systemgestützt ist. tenfold bietet integrierte Unterstützung für den Re-Zertifizierungsprozess und bringt alle notwendigen Best Practices mit.

Fazit
Unerlaubte Zugriffe stellen ein großes Problem dar. Diebstahl von intellektuellem Eigentum und unrechtmäßiger Zugriff auf personenbezogene Daten können ernsthafte finanzielle Konsequenzen mit sich ziehen und sich rufschädigend auf Ihre Organisation auswirken.
Sie müssen daher sicherstellen, dass jeder Mitarbeiter über korrekt eingestellte Zugriffsrechte verfügt, die sich mit der betrieblichen Notwendigkeit decken und nicht darüber hinausreichen.
Es existieren zahlreiche Methoden, mit denen ein hoher Grad an Datensicherheit erreicht werden kann. Der notwendige manuelle Aufwand und die operationelle Disziplin für die Umsetzung schrecken viele Unternehmen ab oder führen zu unzureichenden Ergebnissen. Der Einsatz von entsprechenden IT-Werkzeugen, wie zum Beispiel tenfold, kann den Erfolg jedoch bereits kurzfristig sichtbar erhöhen.

Webinar: Lernen Sie tenfold LIVE kennen

Wie Sie mit tenfold das Risiko von Datendiebstahl reduzieren, erfahren Sie in unserem Webinar. Jetzt kostenlos anmelden!

Zum Webinar anmelden
By |2019-01-07T11:03:37+00:0018 / 12 / 2018|BLOG|

About the Author:

Helmut Semmelmayer
Helmut Semmelmayer ist Senior Manager Channel Sales beim Software-Hersteller tenfold. Er gilt als Visionär im Bereich Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Unzählige Kundenprojekte und entsprechende Marktkenntnis in der IT-Security zeichnen den diplomierten IT-Profi aus. Er war maßgebend an der Entstehung des Standard-Software-Produkts tenfold beteiligt. // Helmut Semmelmayer is Senior Channel Sales Manager at tenfold. He is considered a visionary in the fields of user and permission management and identity and access management. The certified IT expert looks back at countless client projects and has extensive knowledge of the IT security market. He was significantly involved in the development of the standard software product tenfold.