TroutTrout
Back to Blog
AuthenticationRemote Access

MFA für den Fernzugriff: VPNs, RDP und Cloud-Portale

Trout Team7 min read

Ein gestohlenes VPN-Passwort. Ein offener RDP-Port. Ein Cloud-Portal mit Ein-Faktor-Anmeldung. Das sind die drei häufigsten Einfallstore für Angriffe auf den Fernzugriff. Die Multi-Faktor-Authentifizierung (MFA) schließt alle drei, indem sie einen zweiten Verifizierungsfaktor verlangt, den ein Angreifer nicht aus der Ferne stehlen kann. Wenn Sie verstehen, wie Sie MFA auf jedem Pfad richtig einsetzen und wo MFA allein nicht ausreicht, können Sie Ihre Sicherheitslage deutlich verbessern.

Den Bedarf an MFA beim Fernzugriff verstehen

Technologien für den Fernzugriff haben die Arbeitsweise von Unternehmen verändert und bieten Flexibilität und Effizienz. Sie führen aber auch neue Schwachstellen ein. Unbefugter Zugriff über kompromittierte Anmeldedaten kann verheerende Sicherheitsvorfälle nach sich ziehen. MFA fügt eine Sicherheitsebene hinzu, indem sie zwei oder mehr Verifizierungsfaktoren für den Zugriff verlangt, was die Risiken der reinen Passwortanmeldung verringert.

Die CISA stellt klar, dass phishingresistente MFA der Goldstandard ist und dass jede MFA weitaus besser ist als keine, weil sie die Credential-Replay-Angriffe stoppt, die den meisten Einbrüchen zugrunde liegen (CISA, Multifactor Authentication). Der Grund ist für die Betriebstechnik (OT) bedeutsam: In industriellen Umgebungen kann eine einzige wiederverwendete Anmeldeinformation eine Brücke von einem Büro-Postfach zu einer Steuerungs-Workstation schlagen.

Die Rolle von MFA bei der Risikominderung

  • Unbefugten Zugriff verhindern: Indem MFA mehrere Identifikationsformen verlangt, senkt sie das Risiko unbefugten Zugriffs über gestohlene oder kompromittierte Passwörter erheblich.
  • Compliance stärken: Rahmenwerke wie NIST SP 800-171 und CMMC schreiben eine starke Authentifizierung vor. Die Kontrolle 3.5.3 von NIST SP 800-171 verlangt MFA für den lokalen und Netzwerkzugriff auf privilegierte Konten sowie für den Netzwerkzugriff auf nicht privilegierte Konten (NIST SP 800-171 Rev. 2).
  • Phishing und Diebstahl von Anmeldedaten verringern: MFA kann Phishing und anderen Diebstahl von Anmeldedaten vereiteln, indem sie einen Verifizierungsschritt hinzufügt, den Angreifer aus der Ferne nicht leicht nachbilden können, besonders wenn der Faktor phishingresistent ist.

Das RDP-Problem in der OT

RDP verdient einen eigenen Abschnitt, weil es eines der am meisten missbrauchten Einfallstore in Industrienetze ist. Wenn ein RDP-Port aus dem Internet erreichbar ist, finden Angreifer ihn durch automatisiertes Scannen innerhalb von Stunden und versuchen dann Brute-Force oder spielen gestohlene Anmeldedaten erneut ein. Bedrohungsberichte führen exponiertes RDP durchgängig unter den häufigsten initialen Zugriffsvektoren für Ransomware auf, und die CISA-Vorgaben zur Absicherung des Fernzugriffs benennen die direkte RDP-Exposition als zu beseitigende Praxis (CISA, Guide to Securing Remote Access Software).

In der OT steht mehr auf dem Spiel als in der IT. NIST SP 800-82, der maßgebliche Leitfaden für OT-Sicherheit, betont, dass der Fernzugriff auf Steuerungsumgebungen streng kontrolliert, über einen gehärteten Vermittler geleitet und niemals direkt nicht vertrauenswürdigen Netzen ausgesetzt werden darf (NIST SP 800-82 Rev. 3). Ein Angreifer, der über einen offenen RDP-Port auf einer Engineering-Workstation landet, ist nur einen Schritt von einer Mensch-Maschine-Schnittstelle (HMI) oder einer speicherprogrammierbaren Steuerung entfernt, wo die Folgen physisch sind und nicht nur Datenverlust bedeuten.

Best Practices für die RDP-Sicherheit

  • Eingehende RDP-Exposition beseitigen: Kein Steuerungs-Host sollte RDP direkt aus dem Internet akzeptieren, und auch nicht aus dem Unternehmensnetz ohne Vermittlung. Entfernen Sie den eingehenden Pfad vollständig, statt sich zu seiner Verteidigung auf ein Passwort zu verlassen.
  • Network Level Authentication (NLA) mit TLS verwenden: NLA erzwingt die Authentifizierung, bevor eine Sitzung aufgebaut wird, und TLS schützt den Kanal. Beide sollten standardmäßig ausgehandelt werden.
  • RDP über ein identitätsbewusstes Gateway vermitteln: Statt Ports zu öffnen, leiten Sie RDP über ein Gateway, das den Benutzer authentifiziert, MFA anwendet, geringste Rechte durchsetzt und die Sitzung zentral aufzeichnet.
  • MFA zusätzlich aufsetzen: Selbst eine vermittelte Verbindung sollte einen zweiten Faktor verlangen, idealerweise phishingresistent, bevor eine Sitzung gewährt wird.
  • Patchen und überwachen: Halten Sie die RDP-Dienste aktuell und prüfen Sie die Sitzungsprotokolle auf Anomalien.

MFA für VPNs einführen

VPNs sind eine gängige Methode, um den Fernzugriff auf Unternehmensnetze abzusichern. Ohne MFA werden sie zum Ziel. Mit MFA sind sie stärker, aber dennoch keine vollständige Antwort.

Schritte zur Integration von MFA mit VPNs

  1. Aktuelle VPN-Konfiguration bewerten: Verstehen Sie Ihre bestehende VPN-Architektur und ihre Kompatibilität mit MFA-Lösungen.
  2. Die richtige MFA-Lösung wählen: Wählen Sie eine MFA-Lösung, die sich in Ihr VPN-Gateway integriert. Bevorzugen Sie nach Möglichkeit phishingresistente Faktoren gegenüber SMS oder Einmalcodes.
  3. Einführen und testen: Führen Sie MFA in Stufen ein, beginnend mit einer Pilotgruppe, um Probleme vor dem flächendeckenden Rollout zu beheben.
  4. Benutzer schulen: Bieten Sie Schulungen an, damit Benutzer die Bedeutung von MFA verstehen und sie nutzen können.

Die Grenzen von VPN plus MFA

VPN plus MFA authentifiziert den Benutzer an der Eingangstür und gewährt danach oft eine breite Netzwerkreichweite, sobald er drinnen ist. Dieser flache Zugriff ist das Problem: Ein kompromittiertes Endgerät, ein Sitzungsdiebstahl oder ein gestohlenes Token kann eine einzige authentifizierte VPN-Sitzung in laterale Bewegung über die gesamte Umgebung verwandeln. Die NIST-Vorgaben zur Zero-Trust-Architektur formulieren die Lösung direkt: jede Anfrage authentifizieren, Zugriff pro Ressource statt pro Netz gewähren und davon ausgehen, dass das Netz bereits feindlich ist (NIST SP 800-207, Zero Trust Architecture). In der Praxis bedeutet das den Übergang von einem VPN, das ein Netzsegment freilegt, zu einem Modell, in dem jede Verbindung vermittelt, auf eine einzige Ressource beschränkt und fortlaufend verifiziert wird. Für die OT ist das der Unterschied, ob ein Dienstleister für ein einziges Wartungsfenster eine HMI erreicht oder derselbe Dienstleister das gesamte Werksnetz scannen kann.

MFA für Cloud-Portale

Cloud-Portale werden zunehmend für den Zugriff auf Dienste und Daten genutzt. MFA hilft, diese Zugangspunkte gegen unbefugte Eindringversuche abzusichern.

MFA in Cloud-Umgebungen einführen

  • Integrierte MFA-Funktionen nutzen: Viele Cloud-Anbieter bieten integrierte MFA. Aktivieren Sie sie überall und deaktivieren Sie veraltete Authentifizierungspfade, die sie umgehen.
  • Einen Identitätsanbieter integrieren: Verwenden Sie einen Identitätsanbieter, der MFA unterstützt, um eine konsistente, phishingresistente Authentifizierung über mehrere Cloud-Dienste hinweg anzuwenden.
  • Zugriffsprotokolle überwachen und prüfen: Prüfen Sie Zugriffsprotokolle regelmäßig auf verdächtige Aktivitäten, die auf ein kompromittiertes Konto hindeuten könnten.

Wie das auf Compliance abbildet

Die obigen Kontrollen sind nicht nur gute Hygiene, sondern ausdrückliche Anforderungen. NIST SP 800-171 stellt MFA klar in seine Familie Identifizierung und Authentifizierung (IA) und verlangt MFA für privilegierte Konten und für den Netzwerkzugriff auf Systeme, die kontrollierte, nicht klassifizierte Informationen verarbeiten. CMMC übernimmt diese IA-Kontrollen direkt: Eine OT-Umgebung, die RDP vermittelt, MFA durchsetzt und den Zugriff pro Ressource beschränkt, baut zugleich ihre Compliance-Nachweise auf. Die CISA-Vorgaben zu Fernzugriff und MFA sowie die OT-spezifische Ausrichtung von NIST SP 800-82 runden das Bild ab: direkte Exposition beseitigen, über Identität vermitteln und fortlaufend verifizieren.

Herausforderungen und Lösungen bei der MFA-Einführung

MFA ist wirkungsvoll, doch die Einführung hat Reibungspunkte. Die häufigen Probleme zu kennen, erleichtert den Rollout.

Häufige Herausforderungen der MFA-Einführung angehen

  • Widerstand der Benutzer: Manche empfinden MFA als umständlich. Begegnen Sie dem mit benutzerfreundlichen, phishingresistenten Optionen und klaren Schulungen.
  • Technische Kompatibilität: Stellen Sie sicher, dass Ihre gewählte MFA-Lösung mit den vorhandenen Systemen funktioniert, einschließlich veralteter OT-Anlagen, die keine Agenten ausführen können und auf der Netzwerkebene geschützt werden müssen.
  • Kosten: MFA hat Kosten, doch die Kosten eines Sicherheitsvorfalls sind weitaus höher. Betrachten Sie MFA als Investition in Resilienz.

Fazit

Setzen Sie MFA auf jedem Fernzugriffspfad ein: VPN, RDP und Cloud-Portale. Beim RDP besteht die Priorität darin, die eingehende Exposition vollständig zu beseitigen und den Zugriff über ein identitätsbewusstes Gateway mit NLA und TLS zu vermitteln und dann MFA zusätzlich aufzusetzen. Bei VPNs wählen Sie einen phishingresistenten MFA-Faktor, testen vor dem flächendeckenden Rollout und erkennen an, dass VPN plus MFA Ihnen weiterhin einen flachen Netzwerkzugriff lässt, solange Sie nicht zu einer Vermittlung pro Ressource übergehen. Bei Cloud-Portalen aktivieren Sie die integrierte MFA des Anbieters oder integrieren Ihren Identitätsanbieter. Der Compliance-Nutzen ist unmittelbar: NIST SP 800-171 und CMMC schreiben beide MFA für den Fernzugriff auf kontrollierte Daten vor. Der Sicherheitsnutzen ist größer: Ein gestohlenes Passwort allein kann Ihr Netz nicht mehr erreichen, und in der OT kann das den Unterschied zwischen einem eingedämmten und einem physischen Vorfall ausmachen.

Other Articles

OPC UAOT security

OPC UA Security: What Every OT Engineer Should Know

OPC UA ships with a layered security model that most deployments leave half-configured. This primer walks through the SecureChannel, message security modes, security policies, and the difference between application and user authentication, so you can tell a hardened endpoint from an open door.

ModbusDNP3

How to Detect Anomalies in Modbus and DNP3 Traffic

A practical guide to detecting anomalies in Modbus and DNP3 traffic: baselining normal behavior, spotting function-code and object anomalies, catching unauthorized writes, and monitoring passively.

Modbus TCPICS security

How to Secure Modbus TCP: Best Practices for Modern ICS Networks

Modbus TCP has no built-in authentication or encryption. Here's how to lock it down without breaking your process.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles