info@genesis.swiss    |   +41 31 560 35 35

Hybride Arbeitsformen: Wie managt man am besten das DNS?

Viele Unternehmen haben in der Pandemie erkannt, dass hybride Arbeitsformen zeitgemäss und ebenso produktiv sind, wie die ständige Anwesenheit am Arbeitsplatz. Vorausgesetzt, die IT-Infrastruktur des Arbeitens ausserhalb des Unternehmens funktioniert. Die sichere Anbindung an die Cloud- und On-Premise-Systeme und -Anwendungen des Unternehmens bleiben ein heikles Thema. Solange sich Mitarbeitende auf dem Firmengelände befinden, steht die gesamte Sicherheitsinfrastruktur zur Verfügung, um die Benutzer:innen, die Anwendungen und die Daten des Unternehmens zu schützen. Anders verhält es sich, wenn die Mitarbeitenden nicht vor Ort sind, angefangen beim Domain Name System (DNS). DNS ist einer der geschäftskritischsten Network Services in der IT. Die Vielzahl und Komplexität von DNS-Angriffen entwickeln sich aussergewöhnlich schnell. Wenn die DNS-Server ausfallen oder gehackt werden, sind Applikationen und IT-Netzwerkdienste nicht mehr erreichbar. Entlastung des VPNs durch Private DNS Für Remote-Arbeit bestand die ursprüngliche Lösung darin, VPNs einzurichten, die die Geräte der Mitarbeitenden mit einem VPN-Konzentrator des Unternehmens verbinden. Dieser ist wiederum mit dem Unternehmensnetzwerk verbunden und hat die Funktion eines Gatekeepers, der zusätzlich den Datenverkehr verschlüsselt. Diese Lösung funktioniert zwar gut, kann aber kostspielig und datenintensiv werden. Die Leistung, die der VPN-Konzentrator erbringen muss, ist immens und treibt die Kosten für den Internet-Uplink am Unternehmensstandort als auch für das Modell und die Lizenzen der VPN-Konzentrator-Appliance in die Höhe. Weiterhin besteht das Risiko, dass neue Geräte oder die neueste Version eines Betriebssystems (noch) nicht vom VPN-Client-Agenten unterstützt werden, so dass die IT-Abteilung sicherstellen muss, dass auf allen angeschlossenen Geräten die richtige Version des VPN-Clients verwendet wird. Letztlich ist die alleinige Nutzung eines VPNs auch nicht effizient, da der gesamte Unternehmensdatenverkehr aller Remote-Benutzer:innen zum VPN-Konzentrator zurückgeleitet wird. Stattdessen könnte der Datenverkehr der Cloud- und SaaS-Anwendungen des Unternehmens direkt über den Breitband- oder 5G-Internetzugang des Remote-Standorts gesendet werden. Die Lösung: Kontrollieren und steuern Sie die Anwendungen und Unternehmensressourcen, auf die Remote-Benutzer:innen zugreifen dürfen, und den Datenverkehr, der wirklich an das Unternehmensnetzwerk gehen muss. Alle IP-Verbindungen zu Anwendungen oder Ressourcen beginnen mit einer DNS-Anfrage. Die Kontrolle des DNS-Dienstes, den Remote-Mitarbeitende nutzen, gewährleistet die Sicherheit, die Vertraulichkeit und den Datenschutz Ihrer DNS-Verbindungen und ermöglicht gleichzeitig die Weiterleitung Ihres Datenverkehrs entsprechend der angeforderten Ressource oder Anwendung. Auf diese Weise können Sie die Nutzung des VPNs auf den Datenverkehr beschränken, der an das Unternehmensnetzwerk gesendet werden muss, und gleichzeitig alle Anwendungen kontrollieren, auf die Ihre Mitarbeitenden intern oder in der Cloud zugreifen. Die Möglichkeit, einen allgegenwärtigen DNS-Dienst für hybride Mitarbeitende bereitzustellen, wird als Private DNS bezeichnet. Verwaltete DNS-Dienste oder Private DNS Sie haben zwei Optionen, Ihren Benutzer:innen und deren Geräten einen solchen Dienst zur Verfügung zu stellen. Die erste und einfachste Möglichkeit besteht darin, die Dienste eines Managed DNS Service Providers in Anspruch zu nehmen. Alternativ dazu können Sie einen eigenen privaten DNS-Dienst für Ihr Unternehmen aufbauen, entweder über TLS (DoT) oder über HTTPS (DoH). DoT stellt eine TLS-Verbindung zwischen dem TCP-Stack des Geräts und dem DNS-Server Ihres Unternehmens her. DoH hingegen stellt eine https-Verbindung zwischen einem Webbrowser des Geräts und der DNS-Infrastruktur des Unternehmens her. Beide unterstützen dieselben DNS-Dienste und sind agentenlos, wobei die erste Variante für alle vom Betriebssystem unterstützten Anwendungen auf dem Gerät funktioniert, während die zweite Variante nur für Webanwendungen funktioniert. Wenn Sie für Ihr Unternehmen • garantierte Vertraulichkeit des DNS-Verkehrs und der Daten Ihrer hybriden Mitarbeitenden, • bessere Kontrolle und verstärkte Sicherheit Ihrer DNS-Infrastruktur zum Schutz Ihrer Anwendungen, Benutzer:innen und Daten, • hohe Verfügbarkeit und Ausfallsicherheit möchten, lohnt es sich, über die Sicherung des DNS mittels einer privaten DNS-Infrastruktur nachzudenken. Gerne beraten wir Sie.

Sieben Tipps für die sichere QR-Code-Nutzung

Düsseldorf, 28. Juni 2022 – QR-Codes finden sich nahezu überall und fast jeder nutzt sie bedenkenlos. Das Sicherheitsrisiko, das QR-Codes darstellen, wird dabei in der Regel völlig unterschätzt. Sicherheitsexperte CyberArk gibt sieben Tipps für den sicheren Umgang mit QR-Codes. QR-Codes sind aus dem heutigen Lebensalltag nicht mehr wegzudenken. Sie ersetzen Speisekarten in Restaurants, Gutscheine oder Anzeigen in U-Bahn-Stationen. In der Covid-Pandemie spielen sie eine wichtige Rolle bei der Rückverfolgung von Kontaktpersonen oder der Überprüfung des Impfstatus. Prinzipiell sind QR-Codes leicht zugänglich und einfach zu produzieren. Zugleich sind sie aber auch eine perfekte Möglichkeit für Cyberkriminelle, persönliche Daten abzugreifen. Das FBI warnte Anfang 2022 deshalb auch vor der zunehmenden Gefahr des QR-Code-Betrugs. Solche QR-Code-Angriffe finden inzwischen mit alarmierender Häufigkeit statt. In Deutschland etwa haben Cyberangreifer Online-Banking-Kunden mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geführt, um die Zugangsdaten zu entwenden. CyberArk zeigt sieben Möglichkeiten, wie sich Nutzer vor dem QR-Code-Phishing besser schützen können: 1. Nicht scannen Jeder seriöse QR-Code sollte eine zugehörige URL besitzen, die den Nutzern ein direktes Aufrufen der Webseite ermöglicht. Fehlt die URL, ist Vorsicht angebracht. 2. Langsam starten Bevor ein Nutzer einen QR-Code scannt, sollte er sich mehrere Fragen stellen: „Weiß ich, wer den QR-Code dort platziert hat? Kann ich darauf vertrauen, dass er nicht manipuliert wurde? Ist es in dieser Situation überhaupt sinnvoll, einen QR-Code zu verwenden?“ 3. QR-Code-URLs überprüfen Nutzer sollten nach dem Scannen des QR-Codes die URL überprüfen, zu der er führt, bevor sie fortfahren. Dabei ist etwa zu kontrollieren, ob der QR-Code mit der richtigen Organisation verbunden ist. Man kann auch eine schnelle Websuche nach der URL durchführen, um die Echtheit des QR-Codes zu ermitteln. 4. Auf Anzeichen für physische Manipulationen achten Vor allem an Orten wie Restaurants, an denen QR-Codes häufig verwendet werden, ist Vorsicht geboten. Zu achten ist beispielsweise darauf, ob ein QR-Code-Sticker mit einem anderen überklebt ist. 5. Niemals Apps über QR-Codes downloaden Webseiten sind für Angreifer leicht zu klonen und zu fälschen. Apps sollten deshalb immer über einen offiziellen App-Store heruntergeladen werden. 6. Keine elektronischen Zahlungen über QR-Codes tätigen Zahlungsvorgänge sollten ausschließlich über native Apps oder über die Anmeldung an einer offiziellen Domain erfolgen. 7. Multi-Faktor-Authentifizierung (MFA) nutzen Eine MFA-Lösung trägt zum Schutz von vertraulichen Accounts bei, etwa bei Bankgeschäften, der E-Mail-Kommunikation oder bei Social-Media-Anwendungen. Eine zusätzliche Authentifizierungsebene verhindert dabei, dass ein Cyberkrimineller bereits mit einer Login-Information und einem Passwort auf Daten zugreifen kann. „Durch mehr als zwei Jahre pandemiebedingter Internetkriminalität sind viele Verbraucher bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft. QR-Codes hingegen werden nicht wirklich als potenziell gefährlich eingestuft. Sie werden von den meisten Menschen – ohne groß zu überlegen – gescannt“, erklärt Len Noe, Technical Evangelist und White Hat Hacker bei CyberArk. „Da QR-Codes aber zunehmend zu einer beliebten Phishing-Methode der Angreifer werden, ist bei der Nutzung immer Skepsis angebracht. Wie generell im digitalen Bereich sollten immer die möglichen Sicherheitsrisiken bedacht werden. Unsere sieben Tipps können dabei eine erste Hilfestellung geben.“

IT-Sicherheit duldet keine Ausreden

Düsseldorf, 14. Juni 2022 – Die Cyberrisiken steigen kontinuierlich. Die erforderlichen Investitionen in die IT-Sicherheit bleiben aber oft unzureichend, weil viele Unternehmen sich ausreichend geschützt fühlen. Das ist aber häufig ein Trugschluss und mit extrem hohen Sicherheitsrisiken verbunden, meint Sicherheitsexperte CyberArk. Viele Unternehmen treiben die Digitalisierung aktiv voran. Das Thema Cybersicherheit wird dabei aber vernachlässigt. Dies bestätigen 73 Prozent der befragten IT-Entscheider in Deutschland in einer aktuellen Untersuchung von CyberArk (1). Unternehmen begründen den Verzicht auf Investitionen in die Sicherheit unterschiedlich. Gängige Aussagen sind: • „Wir sind schon genug abgesichert, etwa durch den Perimeterschutz.“ • „Was soll denn geschehen? Wir sind doch zu klein und damit uninteressant für Hacker.“ • „Bisher ist ja noch nichts passiert.“ Diese Einschätzungen werden der aktuellen IT-Sicherheitslage nicht gerecht. Schließlich nehmen die Sicherheitsrisiken auf breiter Front zu. Dafür gibt es verschiedenste Gründe wie raffiniertere Methoden der Hacker oder die zunehmende Nutzung von Cloud-Services. Die Cloud ist ein gutes Beispiel dafür, dass klassische Sicherheitsmaßnahmen, die auf den Netzwerkperimeter abzielen, an Bedeutung verlieren. Als neuer Perimeter hat sich die Identität herauskristallisiert. Sie ist damit die wichtigste Verteidigungslinie für Unternehmen. Deshalb sollten Unternehmen auch eine identitätsbasierte Sicherheitsstrategie verfolgen, die alle User, Systeme, Applikationen und Prozesse berücksichtigt. Wichtige Aspekte sind dabei Zero Trust, Least Privilege und MFA. • Das Zero-Trust-Prinzip sieht unter anderem die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu kritischen Systemen herstellen wollen. Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei immer mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung. • Least-Privilege- und Just-in-Time-Ansätze vermeiden eine dauerhafte Rechteansammlung und geben Anwendern abhängig von der durchzuführenden Tätigkeit passende Rechte. Damit wird auch die potenzielle Angriffsfläche für Hacker deutlich reduziert. • Die Multi-Faktor-Authentifizierung (MFA) gehört in einer Zeit zunehmender Cyberangriffe zu den elementaren Sicherheitskontrollen. Von Vorteil ist insbesondere die Nutzung einer adaptiven, kontextbasierten MFA, die einerseits die Produktivität aufrechterhält und andererseits die Sicherheitsrisiken minimiert. „Als Hersteller von Sicherheitslösungen stehen wir im Wettbewerb mit zahlreichen anderen Anbietern. Auf die Frage nach unserem größten Wettbewerber müssen wir aktuell allerdings sagen: Es ist die Haltung einiger Unternehmen, die in Sachen Sicherheit keinen größeren Handlungsbedarf sehen. Das ist aber eine Fehleinschätzung, die schnell nach hinten losgehen kann“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk. „Nicht umsonst warnt etwa das Bundesamt für Sicherheit in der Informationstechnik regelmäßig vor einer wachsenden Bedrohungslage, und zwar nicht nur für große Unternehmen, sondern gerade auch für den deutschen Mittelstand. Digitalisierung und Sicherheit müssen im Einklang entwickelt werden.“

Kontakt

Telefon +41 31 560 35 35
Fax +41 31 560 35 45
info@genesis.swiss

Hotlinks

Jobs
Über Uns
News
Newsletter

Rechtliches

Impressum
Datenschutzerklärung
Cookie-Richtlinie
Allgemeine Geschäftsbedingungen

News

Durch den rasanten Aufstieg generativer KI, die Flut von Ransomware-Angriffen im Jahr 2023 und die ständige Präsenz von Technologie in unserem Alltag hat Cybersicherheit endlich den Stellenwert in Unternehmen erlangt, den sie unbedingt benötigt. Eine der wichtigsten Entwicklungen ist der Übergang zum Zero-Trust-Prinzip. Zero Trust hat sich mittlerweile zum Goldstandard für sichere Netzwerke entwickelt, um die Widerstandsfähigkeit zu erhöhen und potenzielle Angreifende abzuwehren. Das Prinzip ist nicht einfach eine Lösung, die man kaufen kann, sondern viel mehr der Anstoss zum Überdenken aller grundlegenden Sicherheitsannahmen. Das Modell bietet eine agile und dynamische Sicherheitsgrundlage, die auf organisatorische Veränderungen reagiert und flexibel genug ist, um die Herausforderungen moderner Geschäfts- und Technologietrends zu meistern. Was ist Zero Trust? Zero Trust führt die Anwender:innen weg von der herkömmlichen Perimetersicherheit hin zu einem Modell, das sich auf den Schutz kritischer Ressourcen in Echtzeit konzentriert. Der Ansatz sieht eine kontinuierliche Authentifizierung und Validierung sowie die Überwachung aller Interaktionen zwischen Benutzer:innen, Geräten und den Daten, auf die sie zugreifen, vor. Das zugrundeliegende Prinzip ist einfach: Vertraue niemals irgendetwas oder irgendjemandem, auch nicht internen Netzwerkgeräten. In der Praxis bedeutet das, dass alle Bausteine der IT-Architektur nur Zugriff auf die Daten und Dienste erhalten, die sie wirklich benötigen. Wie setzt man Zero-Trust-Schutz um? Die Umsetzung ist allerdings weniger einfach. So erfordert das Zero-Trust-Prinzip eine Reihe verschiedener Fähigkeiten, darunter die kontinuierliche Überwachung und Validierung der gesamten IT-Infrastruktur, die proaktive Suche nach Bedrohungen und die Aufrechterhaltung strenger Zugangskontrollen. Viele kleine Unternehmen verfügen nicht über die notwendigen Ressourcen oder Kenntnisse, um alle diese Punkte abzudecken. Wo fängt man also am besten mit dem Zero-Trust-Schutz an? Der Vorteil: Er kann gut in einzelne kleinere, überschaubare Schritte eingeteilt werden, beispielsweise Legen Sie Ihre Hauptrisiken fest und priorisieren Sie diese. Um sich einen ganzheitlichen Überblick über die Sicherheitslage, die Risiken und die Bedürfnisse des Unternehmens zu verschaffen, sollte das Team mit den wichtigsten Stakeholdern zusammenarbeiten, darunter IT-, Anwendungsentwicklungs-, Cybersicherheits-, Data-Governance- und Betriebsteams, interne Kommunikation und die Führungsebene. Schützen Sie zuerst Ihre sensibelsten Daten oder IT-Systeme. Schützen Sie unverzichtbare IT-Dienste wie DNS oder Active Directory VPNs haben zunehmend Schwierigkeiten, die wachsende Zahl von Remote-Mitarbeitenden und Cloud-Diensten zu sichern, die in modernen Unternehmen verwendet werden. Ersetzen Sie Ihren VPN durch ZTNA (Zero Trust Network Access). Erstellen Sie eine Zero-Trust-Richtlinie, die Benutzerrollen, Berechtigungen und die Art der Authentifizierung festlegt. Wenden Sie Zero-Trust-Prinzipien und -Strategien auch auf Ihr Cloudsicherheitskonzept Um das Zero-Trust-Prinzip wirkungsvoll umzusetzen, bedarf es nicht sofort einer umfangreichen Strategie oder grosser Investitionen. Vielmehr muss eine Zero-Trust-Architektur mit der betrieblichen Realität übereinstimmen. Haben Unternehmen aber erst einmal Zeit und Geld investiert, müssen sie ihr Vertrauensmodell kontinuierlich kontrollieren und weiterentwickeln. Denken Sie auch daran, alle Mitarbeitenden in den Prozess einzubeziehen und sie über die Änderungen und ihre Bedeutung zu informieren. Wir beraten und begleiten Sie gerne bei der Übersetzung Ihrer Zero-Trust-Strategie.
Durch das Ersetzen von Passwörtern durch passwortlose Authentifizierungsverfahren wird das Risiko einer Kompromittierung von Konten erheblich reduziert. Dies ist ein effektiver Weg, um Benutzeridentitäten vor Phishing, Keylogging und Man-in-the-Middle-Angriffen zu schützen. Durch den Wegfall komplexer Kennwortanforderungen und häufiger Kennwortaktualisierungen wird auch die Benutzererfahrung vereinfacht. Die passwortlose Authentifizierung kann zudem die Produktivität steigern, da passwortbezogene IT-Supportaufgaben wie das Zurücksetzen von Passwörtern entfallen. Die größten Hindernisse, die Unternehmen davon abhalten, auf passwortlose Authentifizierung umzusteigen, sind Altsysteme, die Passwörter erfordern, und die Komplexität der Verwaltung größerer, heterogener Infrastrukturen mit Tausenden von Benutzern, unzähligen Anwendungen, hybriden und Multi-Cloud-Umgebungen und komplexen Anmeldeverfahren. Ein Identitäts- und Zugriffsmanagement (IAM) kann Unternehmen den Übergang zu einer passwortlosen Welt durch Funktionen wie passwortlose Endpunkt-Authentifizierung erleichtern. Unternehmen sollten Passkeys in Betracht ziehen – einen neuen, geräteübergreifenden passwortlosen Faktor, der die Sicherheitsfunktionen der Geräte nutzt. Passkeys sind in hohem Maße Phishing-sicher und eliminieren Angriffsvektoren, die bei passwortbasierter Authentifizierung möglich sind.

Copyright 2021 GENESIS Swiss Team AG

Loading...