Jahrzehntelang verließen sich Unternehmen weltweit auf die Absicherung des Fernzugriffs über ein VPN. Der Weg durch einen abgesicherten Tunnel ins Firmennetzwerk war für viele IT-Sicherheitsabteilungen die beste Möglichkeit, um das Unternehmen vor unbefugten Zugriffen zu schützen und Mitarbeitenden dennoch Remote-Zugang zu ermöglichen. Doch mit den Jahren erwies sich diese Option als zunehmend gefährlich.
Nicht nur Mitarbeiter nutzen den getunnelten Zugang ins Firmennetz, sondern auch Angreifer. Inzwischen finden sich in der CVE-Datenbank fast 500 bekannte VPN-Schwachstellen, die von Hackern für den unbefugten Zugang benützt werden und die Anzahl der Sicherheitsvorfälle steigt stetig. Um das Risiko von Vorfällen einzudämmen, treten Zero Trust-basierte Sicherheitsansätze an, die Angriffsfläche von Unternehmen zu minimieren.
Trends wie Working from Home oder Anywhere machen deutlich, dass Fernzugriff hoch im Kurs steht. Unternehmen haben die Vorteile des flexiblen Arbeitens vor allem während der Pandemie erkannt und auf Fernarbeit umgestellt, um weiter produktiv und profitabel zu bleiben. Die aktuelle Studie VPN Risk Report von Cybersecurity Insiders im Auftrag von Zscaler unter 350 IT-Security Fachleuten zeigt, dass 78 Prozent der befragten Unternehmen künftig auf eine hybride Belegschaft setzen wollen. Durch den Anstieg des mobilen Arbeitens werden neue Sicherheitstechnologien evaluiert und 80 Prozent der Entscheidungsträger gaben an, dass ihr Unternehmen mindestens im Begriff ist, Zero Trust einzuführen.
Zero Trust sichert den Fernzugriff
Die Ergebnisse des Reports zeigen darüber hinaus, dass die Anzahl an VPN-spezifischen Sicherheitsbedrohungen gewachsen ist. Dem Bericht zufolge haben 44 Prozent der Cybersicherheitsexperten im letzten Jahr eine Zunahme von Angriffen auf die VPNs ihrer Unternehmen festgestellt durch die Fernarbeit. Die Verwendung herkömmlicher VPN-Architekturen lässt zu viele Fremdzugriffe ungehindert passieren. Böswillige Akteure nutzen die Angriffsfläche aus, um in Netzwerke einzudringen und Ransomware, Phishing-Angriffe, Denial-of-Service-Attacken und andere Methoden zur Exfiltrierung wichtiger Geschäftsdaten zu starten.
Aktuell verlassen sich dennoch 95 Prozent der befragten Unternehmen immer noch auf VPNs, um Hybrid Work und verteilte Arbeitsumgebungen über Niederlassungen hinweg zu ermöglichen. Zusätzlich zu den Mitarbeitenden an entfernten Standorten gewähren große Unternehmen oft auch anderen externen Drittparteien wie Kunden, Partnern und Auftragnehmern Zugang zum Netzwerk. In manchen Fällen verbinden sich diese User von nicht vertrauenswürdigen Geräten aus über unsichere Netzwerke und erhalten weit mehr Zugriffsberechtigungen als nötig, was zu zusätzlichen Sicherheitsrisiken führt. Im Gegensatz zu komplex zu verwaltenden VPNs verbessert eine Zero Trust-Architektur die IT-Sicherheit des Unternehmens, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Ein solcher Ansatz macht die Applikationslandschaft des Unternehmens für Angreifer im Internet unsichtbar: Was nicht im Web exponiert ist, kann auch nicht angegriffen werden.
Gefahr erkannt – und gebannt?
Allerdings gaben bereits 68 Prozent der befragten Unternehmen an, dass sie unter anderem bedingt durch die Umstellung auf hybride Arbeitsumgebungen ihre Zero Trust-Projekte beschleunigen. Im Gegensatz zu VPNs wird bei der Zero Trust-Architektur die gesamte Netzwerkkommunikation als potenziell feindlich eingestuft, und der Zugriff für berechtigte User wird zuerst mithilfe identitätsbasierter Validierungsrichtlinien gewährt. Dies stellt sicher, dass IT- und Sicherheitsteams Benutzer – Mitarbeitende und Drittparteien gleichermaßen – von nicht autorisierten Anwendungen ausschließen. Durch die granularen Zugriffsrechte auf Ebene der einzelnen Anwendung, ohne das gesamte Netzwerk für User zu öffnen, wird Malware daran gehindert, sich lateral im Netzwerk auszubreiten.
Seit großen Sicherheitsvorfällen und Ransomware-Angriffen, die über VPNs ihren Anfang nahmen, gilt die traditionelle Remote Access-Technologie durch ihre Verwundbarkeit als eines der schwächsten Glieder in der Kette der Cybersicherheit. Architekturmängel bieten einen Einstiegspunkt für Bedrohungsakteure und bieten ihnen die Möglichkeit der lateralen Bewegung, so dass immerhin fast zwei Drittel (65 Prozent) der befragten Unternehmen Alternativen für ihren Fernzugriff in Betracht ziehen.