Nur wenige Unternehmen waren im März 2020 auf den rasanten Wechsel der Belegschaft ins Homeoffice vorbereitet. Die Zahl der Remote-Arbeiter stieg durch Corona in wenigen Wochen von 9 % auf 77 %. Da Eile geboten war, unterstützten viele Arbeitgeber nun den Einsatz mitarbeitereigener Geräte. Manchmal mit, aber oft auch ohne Bring Your Own Device (BYOD)-Strategie. Auch viele Work from Home (WFH) Tools und Technologien wurden weltweit in Windeseile eingeführt. Die gute Nachricht: Fürs erste genügten viele dieser schnellen Implementierungen. Ein Ergebnis, das sehr für die Hingabe und den Einfallsreichtum der stark belasteten IT-Mitarbeiter spricht.
Die schlechte Nachricht: Es wurden damals auch viele ältere Tools und Technologien mit kritischen Schwachstellen implementiert. Dies war für Bedrohungsakteure aus aller Welt ein gefundenes Fressen. Eine unausgereifte WFH-Infrastruktur bietet kaum Schutz für die Privatsphäre der Mitarbeiter. Bis heute werden persönliche Daten auf mitarbeitereigenen Geräten oft noch routinemäßig in Unternehmensnetzwerken veröffentlicht. Auch fehlen in vielen Unternehmen immer noch adäquate BYOD-Richtlinien.
Die bisherigen Ansätze für die Geräte- und Datensicherheit verteilter Belegschaften erwiesen sich oftmals als zu komplex, zu teuer oder zu aufwendig. Es ist daher Zeit für einen neuen BYOD- und WFH-Ansatz, der auch höchsten Ansprüchen hinsichtlich Sicherheit, Produktivität und Datenschutz gerecht wird.
Schwachstelle VPN-Lösungen
Seit Jahrzehnten arbeiten Unternehmen mit Virtual Privat Networks (VPNs), um eine sichere und verschlüsselte Kommunikation zwischen mobilen Geräten und den eigenen Rechenzentren zu ermöglichen. Befeuert vom Anstieg der Remote-Mitarbeiter stieg der Einsatz von VPNs im Jahr 2020 um 27 %. Doch leider weisen VPNs oft Konstruktionsfehler und strukturelle Schwachstellen auf. Diese Sicherheitslücken können gewiefte Angreifer relativ leicht zu ihrem Vorteil nutzen. Nachfolgend einige Beispiele.
Am 24. April 2019 berichtete Pulse Secure außerplanmäßig über mehrere kritische Schwachstellen in seinen VPN-Produkten. Sie ermöglichten Angreifern, private Schlüssel und Passwörter (CVE-2019-11510) zu stehlen sowie via Malware bösartigen Code in kompromittierte Systeme einzuschleusen (CVE-2019-11539). Auch eine Erkundung des Netzwerks und Lateral Movement waren dadurch möglich. Pulse Secure reagierte mit einer Reihe von Software-Patches, die Kunden aus Sicherheitsgründen sofort installieren sollten. Doch damit nicht genug. Ein Jahr später gab die Cybersecurity and Infrastructure Security Agency (CISA) eine Warnung heraus, dass „ungepatchte Pulse Secure VPN-Server weiterhin ein attraktives Ziel für böswillige Akteure darstellen“.
Mehrere dieser ungepatchten Server gehörten Travelex, einer britischen Devisengesellschaft mit Sitz in London. Am 31. Dezember 2019 nutzte die Bedrohungsgruppe Sodinokibi die Schwachstellen von Pulse Secure für einen verheerenden Ransomware-Angriff, der bei Travelex einen Schaden von geschätzten 2,3 Millionen US-Dollar in Bitcoin verursachte.
Nicht nur die VPN-Produkte von Pulse Secure haben Sicherheitsprobleme. Ähnliche Schwachstellen wurden auch bei GlobalProtect™ (CVE-2019-1579) von Palo Alto Networks, Fortinet® FortiOS® (CVE-2018-13379) und Citrix® (CVE-2019-19781) entdeckt.
VPNs schützen nur bedingt die Privatsphäre der Belegschaft. Läuft der VPN-Client beispielsweise auf einem mitarbeitereigenen Gerät, hat der Arbeitgeber nicht nur vollen Zugriff auf die beruflichen, sondern auch auf die persönlichen Daten derjenigen Person. Kompromittiert ein Angreifer nun das VPN des Arbeitgebers, schlägt er zwei Fliegen mit einer Klappe. Er hat Zugriff auf das Netzwerk und kann die persönlichen Daten des Mitarbeiters stehlen.
Ein weiterer Nachteil: VPN-Clients benötigen Hosts mit genügend Arbeitsspeicher und Rechenleistung. Denn die komplexen Berechnungen müssen effizient und nahezu in Echtzeit ausgeführt werden. Viele private Smartphones und Tablets bieten dafür nicht die nötige Performance.
Sind Virtual Desktop Infrastructure (VDI) Lösungen eine Alternative?
Vermehrt bieten Unternehmen wie Microsoft®, VMWare®, Citrix und andere VDI-Lösungen an, die auf physischen Servern in den Rechenzentren der Kunden oder auf virtuellen Servern in der Cloud gehostet werden. VDI-Lösungen können sichere containerisierte Anwendungen und Workspaces für die meisten Remote-Geräte bereitstellen. Doch oft sind sie teuer, komplex und schwierig zu verwalten. Denn IT-Teams werden durch den Kauf, die Bereitstellung der virtuellen Desktops, die Besetzung eines Helpdesks und die laufende Überwachung, Sicherung und Aktualisierung der Infrastruktur stark gefordert sein. Dieser Aufwand ist vor allem für kleine und mittlere Unternehmen mit knappen IT-Budgets und unterbesetzten IT-Teams eine außerordentliche Belastung.
Zudem sind VDI-Lösungen, wie auch die VPNs, nicht immun gegen digitale Manipulationen oder Kompromittierungen. Am 23. November 2020 warnte beispielsweise VMWare vor einer kritischen Command Injection-Schwachstelle, die eine Gruppe von VMware Workspace ONE®-Produkten betraf. Getrackt von CISA als CVE-2020-4006 ermöglicht diese Schwachstelle den Angreifern, mit gestohlenen Zugangsdaten „Befehle mit uneingeschränkten Rechten auf dem jeweiligen Betriebssystem auszuführen“. Einen Monat später warnte die Nationale Sicherheitsbehörde der USA (NSA) davor, dass russische, staatlich unterstützte Bedrohungsakteure diese Sicherheitslücke aktiv ausnutzten. Sie forderte die Netzwerkadministratoren aller Bundesbehörden auf, der Aktualisierung der Server höchste Priorität einzuräumen. Ähnlich kritische Schwachstellen wurden auch für Citrix Appliances und Anwendungen, die Apache-Webserver nutzen, entdeckt.
Neben den Sicherheitsherausforderungen bringen VDI-Lösungen aber auch gewaltige Datenschutzprobleme mit sich. Dies gilt vor allem für mobile BYOD-Szenarien. Bei einer Bitglass-Umfrage gaben 60 % der IT-Experten an, dass ihr Unternehmen physischen Zugriff auf ein mobiles Gerät verlangt, bevor es beruflich genutzt werden darf. Weitere 51 % wollten auch die PINs der Geräte wissen. Einige gingen so weit, Root-Zugriff, Passwörter für Cloud- und Backup-Konten und mehr zu verlangen. Für die Überwachung und Verwaltung der Sicherheit sind diese Maßnahmen oft notwendig, doch dieses Maß an Kontrolle ist nicht nur aufdringlich, sondern auch eine eindeutige Gefahr für die Privatsphäre.
Zukunftsweisender BYOD-Ansatz von BlackBerry für mehr Sicherheit, Datenschutz und Produktivität
VPN und VDI können Netzwerkverbindungen zuverlässig sichern, allerdings summieren sich die Ausgaben für Lizenzierung, Hardware, Software, Infrastruktur und Helpdesk-Support recht schnell. Diese herkömmlichen Technologien sind nur bedingt in der Lage, die Privatsphäre der Mitarbeiter zu wahren und die Geräte vor modernen Malware-Bedrohungen und anderen Cyberangriffen zu schützen. Daher ist es jetzt an der Zeit über einen neuen Security-Ansatz nachzudenken.
Mit der robusten, in sich geschlossenen Plattform von BlackBerry® Digital Workplace können Sie Ihren Mitarbeitern, Auftragnehmern und Partnern einen sicheren, „ortsunabhängigen“ Zugriff auf Ressourcen hinter der Firewall bieten. Dank der künstlichen Intelligenz, die Sie kontinuierlich vor Bedrohungen schützt.
- Awingu® bietet Ihnen einen einheitlichen und leichtgewichtigen Single-Sign-on-Arbeitsbereich für Windows®, Linux®, Web- und Intranet-Anwendungen, Desktops und Dateien innerhalb des sicheren Browsers an. Dadurch können Ihre Anwender verwaltete und nicht verwaltete Geräte nutzen, um auf firmeneigene Server, Inhalte und Webanwendungen wie Zoom zuzugreifen. Außerdem können sie Microsoft® Word-, Microsoft® Excel®- und Microsoft® PowerPoint®-Dateien erstellen, bearbeiten und teilen sowie bewährte Productivity Apps wie BlackBerry® Work und BlackBerry® Workspaces nutzen.
- Zudem verschlüsselt BlackBerry® Dynamics™ Ihre BlackBerry Access Daten im Ruhezustand und bei der Übertragung. Sorgen Sie für mehr Sicherheit durch Container-Technologien der nächsten Generation. Denn sie trennt berufliche und private Daten auf den Geräten strikt voneinander. Auch der Schutz der Privatsphäre wird optimiert, da Sie den Zugriff über BlackBerry Access verwalten und nicht über Host-Geräte.
- BlackBerry® Desktop bietet Ihnen eine sichere Verbindung zu E-Mails, firmeneigenen Websites, Servern, Inhalten und Dateien auf privaten und nicht verwalteten Windows® 10- und macOS®-Geräten. Kombinieren Sie BlackBerry Access und BlackBerry Work. So erhöhen Sie die Sicherheit und ersparen sich Lizenzausgaben, die Wartungskosten für VPN- und VDI-Produkte, komplexe Hardware, Zertifikats- und Authentifizierungsmechanismen, aufdringliche Anmeldeverfahren und eingehende Ports.
Mit dem BlackBerry Ansatz profitieren Sie gleich vierfach:
- Ihre Anwender erhalten überall und mit jedem Gerät Zugriff auf vertraute Tools und Unternehmensressourcen, die sie für ihre Arbeit brauchen.
- Berufliche und private Daten werden strikt getrennt und zuverlässig vor Cyberangriffen geschützt.
- Durch den Wegfall der VPN- und VDI-Ausgaben haben Sie mehr Budget für strategische IT-Investitionen.
- Durch die einfachere Verwaltung entlasten Sie Ihre IT-Abteilung. So stehen Ihnen mehr Ressourcen für die digitale Transformation zur Verfügung.
Erfahren Sie, wie Sie mit den BYOD-Lösungen von BlackBerry die Sicherheit, die Produktivität und den Datenschutz für Ihre Remote-Mitarbeiter nachhaltig optimieren können.
