Mobil arbeiten und dennoch jederzeit geschützt
Spätestens seit der Pandemie und dem damit verbundenen Wandel in der Gesellschaft ist das Arbeiten von unterwegs oder zuhause nicht mehr aus dem Alltag wegzudenken. Die Risiken, dass ein Gerät manipuliert wird, steigen. Umso wichtiger, dass Ihr Gerät in jeder Umgebung absolut sicher ist. In diesem Beitrag gehen wir auf ein paar wenige aber sehr effektive Sicherheits-Features ein, welche Sie als Userin oder User schützen.
Genauer gesagt, geht es um Applocker, Attack Surface Reduction und die Weitergabe an Conditional Access.
Der SmartWorkplace verbindet Usability und Security. So arbeiten Sie sowohl in der Firma wie auch unterwegs einfach und sicher. Die Security-Themen, die wir in diesem Blog präsentieren, sind bei vielen Kundinnen und Kunden im Einsatz und haben sich sehr bewährt.
Applocker
Diese Software ist grundsätzlich dazu da, die Userinnen und User vor Schadsoftware zu schützen. Das geschieht am einfachsten, wenn bereits im Vorfeld definiert wird, was die Mitarbeitenden installieren dürfen und was nicht und entsprechend saubere Installationsdateien zur Verfügung gestellt werden.
Auf diese Weise werden erlaubte Applikationen über ein Software Management Tool oder einen Administrator zur Verfügung gestellt. Applikationen aus dem Internet werden automatisch geblockt. Lädt ein User ein Programm wie beispielsweise Dropbox herunter, kann er dies nicht ohne Administrator-Rechte starten und wird entsprechend informiert.
Warum macht diese Blockade Sinn?
Es geht nicht darum, den Usern beispielsweise Spotify zu verbieten. Aber die Installation soll mit einer sauberen Datei geschehen. Der User sucht in der Regel auf Google nach einem Programm oder einer App. Es werden unzählige Seiten angezeigt, wo dieses Tool heruntergeladen werden kann. Der User klickt die erst beste Seite an und lädt dieses Tool herunter. Ob dies nun die originale Installationsdatei vom Hersteller ist, kann der User meist nicht beantworten und installiert es. Schon wurde Schadsoftware installiert, welche ihr ganzes Firmennetzerk befallen und damit grossen Schaden auslösen kann.
Wie kommt der User trotzdem zu seiner Software?
Die Applikation wird in einem einfachen Prozess beantragt, von der IT überprüft und über das Management Tool dem User automatisch installiert. Damit sind gleich zwei wichtige Aspekte sichergestellt:
- Es handelt sich um geprüfte Originalsoftware, die sicher ist.
- Es wird eine homogene Umgebung geschaffen mit aktuellen Applikations-Versionen. So entsteht kein Versionschaos.
Applocker eignet sich daher sehr gut zur Vorbeugung gegen Schadsoftware und wird von uns stark empfohlen.
Attack Surface Reduction
Applikationen und Programme haben die Möglichkeit andere Programme, sogenannte Scripts oder Prozesse auszuführen. Oftmals ohne dass der User dies bewusst wahrnimmt. Attack Surface Reduction ist ein Regelwerk, das eine Art Sicherheitsnetz in der zweiten Linie bildet. So werden die erwähnten Zugriffe von Applikationen analysiert und risikobehaftetes Verhalten kann blockiert werden. Damit wird verhindet, dass durch die Installation nicht konformer Software, welche durch andere Programme ausgeführt wird, Schaden entsteht.
Gibt es ein Beispiel?
Ein Manipulierte Applikation wird installiert. Diese Applikation wird nicht durch den User, sondern durch eine schon installierte Software automatisch ausgeführt. Der oben erwähnte Applocker ist hier wirkungslos, da die Hauptapplikation bereits durch ein Management Tool oder den Administrator installiert wurde. Attack Surface Reduction analysiert und bewertet den auszuführenden Prozess. Wird dieser als Risiko eingestuft kann die Applikation nicht gestartet werden und wird blockiert – Schaden wird verhindert, bevor er entsteht.
Werden so nicht die Mitarbeitenden teilweise bei der Arbeit blockiert?
Es gibt tatsächlich Situationen, wo ein Verhalten durch Attack Surface Reduction falsch eingestuft wird. In diesem Fall kann die Applikation zentral freigegeben und ausgeführt werden. Ohne diese Vorsichtsmassnahme kann aber durchaus grösserer Schaden entstehen. Deshalb hilft Attack Surface Reduction dabei, manipulierte Software zu blockieren.
Conditional Access
Gleich der nächste englische Begriff: Conditional Access. Dies wird meist in Verbindung mit Multifactor Authentication (MFA) verwendet, was aber nur ein kleiner Teil seiner Möglichkeiten darstellt. Das Potenzial ist viel grösser.
Im folgenden werden Beispiele aufgelistet, was durch Conditional Access geregelt werden kann:
- User dürfen nur auf die Unternehmensressourcen zuzugreifen, wenn sie ein Business Gerät – also ein von der Firma verwaltetes Gerät verwenden. Zugriffe von Drittcomputern fallen so weg.
- User können auf privaten Geräten ihre Unternehmensresourcen nur online bearbeiten und nicht herunterladen.
- User können nur in bestimmten Ländern auf Unternehmensressourcen zugreifen
- User dürfen nur von Geräten aus auf Unternehmensdaten zugreifen, die gewisse Sicherheitsfaktoren erfüllen.
Wo liegt die Verbindung zwischen Conditional Access und Attack Surface Reduction?
Fast jedes zusätzliche Security Feature, welches auf dem Client integriert wird, bildet eine weitere Schutzmembran und kann mittels Microsoft Defender for Endpoint (MDE) abgefragt und bewertet werden. Im Cockpit von MDE entsteht damit ein Gesamtbild eines Mitarbeitendengeräts, das über einen spezifischen Security Score verfügt. Attack Surface Reduction ist ein Faktor, der ebenfalls im Security Score berücksichtigt wird. Dieser Security Score wird von Conditional Access erfasst. Sollte der Score des zugreifenden Geräts zu tief sein, wird der Zugriff blockiert.
Wie lautet das langfristige Ziel?
Die Daten einer Organisation müssen geschützt werden. Gleichzeitig sollen die Daten für Userinnen und User überall und einfach erreichbar sein. Mit der Implementation der beschriebenen Security Features wird dieser Spagat geschafft: Das Gerät (Client) ist vor Manipulation geschützt und trotzdem kann dieser standortunabhängig verwendet werden. Werden Zugriffe von einem nicht konformen Client aufgerufen, können diese auf einfache Weise blockiert werden. Mit diesen Richtlinien entsteht eine IT-Umgebung, die für die Administratoren viel einfacher kontrollierbar ist und im Zweifel eine verdächtige Aktion unterbindet, um grösseren Schaden für das Unternehmen zu verhindern.