Archiv 1. April 2020

HomeOffice, aber sicher!

Sicherheit im Heimnetz

Die Arbeit im HomeOffice läuft normalerweise zunächst mal über das heimische Netzwerk ab, das nicht so gut überwacht und abgesichert ist wie das Netzwerk in der Firma. Deshalb ist es wichtig, dass man möglichst immer das Firmen-VPN verwendet, um die geschäftliche Kommunikation gut zu verschlüsseln. So können andere Geräte, die auch am heimischen Netzwerk hängen, die Kommunikation nicht im Klartext mitverfolgen. Falls sich dort ein Spion befindet, dann könnte das der Fall sein. Und Spione gibt es immer wieder, beispielweise in Form von allzu neugierigen Apps oder Assistenten.

Verschlüsselte Kommunikation ist zwar eh mehr und mehr der Standard, aber es gibt auch immer wieder Ausnahmen. Beispielsweise verwenden immer noch nicht alle Webseiten das verschlüsselte HTTPS, sondern noch HTTP, was eine unverschlüsselte Kommunikation darstellt. Angreifer könnten hier also mitlesen, wenn sie sich im Heimnetz befinden.

Außerdem gibt es weitere unsichere Protokolle, wie FTP für Dateiübertragung, SMB für freigegebene Order und Drucker. Auch die E-Mail Protokolle POP3, SMTP und IMAP, die in den 1980ern spezifiziert wurden, sind per se nicht abgesichert. Insbesondere ist standardmäßig die Authentifizierung unverschlüsselt, so dass Benutzername und Passwort im Klartext zum Mailserver übertragen werden. Es sein denn, die Option TLS ist im Mailclient aktiviert, was oft nicht der Fall ist.

Tipps für sichere Mailserver:

  • Um Angreifern den Zugriff auf die Mailserver zu blockieren, sollten sorgsam konfigurierte Firewall-Regeln verwendet werden.
  • Für Zugriffe aus der Ferne sollte eine Multifaktor-Authentifizierung aktiviert werden.
  • E-Mail-Dienste müssen so eingerichtet werden, dass nicht-authentifizierte Zugriffe aus der Ferne nicht möglich sind. 
  • Um zu verhindern, dass die Multifaktor-Authentifizierung umgangen werden kann, sollte IMAP dafür deaktiviert werden. IMAP unterstützt dies nicht.
  • Falls es Mitarbeiter geben sollte, die dadurch auf keine Mails mehr zugreifen können, weil sie Legacy-Mail-Dienste verwenden, können diese dann immer noch per Webclient und HTTPS auf ihre Mails zugreifen. Das wäre dann auch die richtige Gelegenheit, unsichere und veraltete Mailclients in den Ruhestand zu verabschieden.

Im Firmennetzwerk sind solche unsicheren Protokolle zumindest noch durch Firewalls und Gateways gesichert, aber im Heimnetzwerk ist das oft nicht der Fall, es sei denn, das VPN ist aktiv, so dass der komplette Traffic übers Firmennetzwerk geht.

Der aktuelle Boom der HomeOffice-Arbeit bringt aber die Kapazität vieler Firmen-VPNs an ihre Grenzen, so dass bei der IT hier dringend aufgerüstet werden muss, um diese große Last zu bewältigen. Deshalb aktivieren viele Mitarbeiter im HomeOffice das VPN erst gar nicht, so dass damit eine grosse neue Angriffsfläche entsteht. Ob diese vermehrt ausgenützt wird, werden wir wohl erst in ein paar Wochen oder Monaten erfahren, wenn es zu spät ist.

Um die genannten Spione zu bändigen, hier weitere Tipps für mehr Sicherheit und weniger Angriffsfläche im Heimnetz:

  • Alle Geräte im Heimnetz sollten mit den neuesten Sicherheits- und Firmware-Updates versorgt sein. Dies ist ein Problem für viele Geräte im LAN wie Spielekonsolen, Smartphones, TV, etc. Wenn diese veraltete Firmware haben, sind diese sehr oft angreifbar. Insbesondere der Router – das Herz Ihres LANs – muss immer aktuell sein.
  • „Tote Geräte“, die nicht mehr versorgt werden mit Updates, sollten unbedingt aus dem Heimnetz verbannt werden.
  • Standardbenutzername und das Standardkennwort müssen geändert werden. Dies ist das erste, was ein Angreifer ausprobiert, wenn er versucht anzugreifen. Die Web-Interfaces dieser Geräte sind häufig anfällig für schwerwiegende Sicherheitslücken, selbst wenn es sich um ein „dummes“ Produkt wie einen Satellitenempfänger oder eine Netzwerkfestplatte handelt. Von dort aus wird ein Angreifer den Rest des LANs inspizieren.
  • Die Verschlüsselung sollte auch auf dem privaten Netzwerkspeichergerät (NAS) aktiviert sein. Falls dabei kein Zugriff auf ein Verschlüsselungstool besteht, können die Dateien auch einfach in eine kennwortgeschützte ZIP-Datei eingefügt werden. Das ist immer noch besser, als überhaupt nichts zu tun.
  • Die meisten Heimrouter und Switches haben die Möglichkeit, mehrere verschiedene DMZ / VLAN einzurichten. Dies bedeutet, dass ein eigenes „privates“ Netzwerk für die Netzwerkgeräte einrichten werden kann, wodurch der Netzwerkzugriff auf und von diesem Gerät eingeschränkt wird.

Es hilft an dieser Stelle, den gesunden Menschenverstand zu bemühen und zu verstehen, dass ALLES gehackt werden kann, auch Ihre Hardwaregeräte. Wirklich paranoide Menschen können den ausgehenden Netzwerkverkehr ihrer Geräte jederzeit überwachen, um festzustellen, ob etwas Seltsames vor sich geht. Dies erfordert jedoch einige technische Kenntnisse. 

Ein weiterer guter Tipp ist, Netzwerkgeräte daran zu hindern, auf Websites zuzugreifen, auf die sie nicht zugreifen sollen, und ihnen nur das Abrufen von Updates und sonst nichts zu erlauben. Dazu kann man im Router meist die integrierten Firewallregeln anpassen.

Datenschutz
Ich, Bernhard Hirschmann (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.
Datenschutz
Ich, Bernhard Hirschmann (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.