Remote-Work-Arbeitsplätze anbinden

Home-Office, aber sicher

22. Juni 2020, 14:00 Uhr   |  Yakup Saygin/wg

Home-Office, aber sicher
© sayTEC

Das Thema Home-Office hat durch die Corona-Krise eine rasante Entwicklung genommen. Die Erfahrungen, die die Mitarbeiter in der jetzigen Zeit machen „müssen“, beschleunigen und verändern die Arbeitswelt in Richtung einer stärkeren Nutzung von standortunabhängigen Arbeitsplätzen sowie neuer, flexibler Arbeitsweisen. Teilweise arbeitet die Belegschaft auf den eigenen PCs, auf deren Zuverlässigkeit die Unternehmen vertrauen. Es gilt daher, Lösungen zu etablieren, die Sicherheit, Datenverfügbarkeit und Datenschutz für die Remote-Arbeitsplätze gewährleisten.

Laut Bitkom-Umfrage von Mitte März ist fast jeder zweite Berufstätige in Deutschland (49 Prozent) ganz oder temporär im Home-Office. Teilweise wurden zusätzliche Laptops angeschafft, um Heimarbeit zu ermöglichen. IT-Konzerne wie Twitter, Google und Facebook haben angekündigt, dass sie es ihren Mitarbeitern nach der Krise freistellen, ob sie weiter und dann generell vom Home-Office aus arbeiten wollen.

Die vergangenen Wochen haben gezeigt, dass es funktioniert, wenn Menschen an verschiedenen Orten zusammenarbeiteten. Viele kleinere und mittlere Unternehmen sowie Behörden sehen das ebenfalls so. Sie stehen aber vor der Herausforderung, die Infrastruktur und den Zugang zum Unternehmensnetzwerk mit den nötigen Sicherheitsvorkehrungen zu garantieren.

Denn durch die Zunahme der Remote-Arbeitsplätze steigt die Gefahr für Angriffe auf die Unternehmen deutlich: Jeder Remote-Arbeitsplatz ist ein weiteres Risikoelement für die zu schützenden Daten, Anwendungen und Netzwerkinfrastrukturen. Und illegalen Aktivitäten im Internet nehmen derzeit rasant zu. Bedrohungen durch Ransomware und Angriffe auf Zero-Day-Schwachstellen, also noch ungepatchte Lücken in der Software, haben laut BSI und verschiedenen Landesämtern für Verfassungsschutz massiv zugenommen.

Bereits vor Corona waren Cybervorfälle laut Allianz Risk Barometer das größte Geschäftsrisiko für Behörden und Firmen. Wenn diese vor weniger als einem Jahrzehnt noch den 15. Platz belegten, sind sie jetzt an erster Stelle angelangt. Einfallstore sind dabei auch schlecht geschützte Rechner im privaten Umfeld. Der Client-PC und das Netzwerk, in dem sich dieser befindet, bilden das schwächste Glied in der Kommunikationskette. Nur durch neue Ansätze und Technik lassen sich diese Probleme zielgerichtet lösen.

Gewährleistet sein muss dies durch „Plug and Play“-Lösungen, die Arbeitsumgebungen gegenüber dem Client-Rechner und dem Anwender schützen und auch unerfahrenen Anwendern gewohnte Arbeitsumgebungen einfach und hochsicher bereitstellen. Diese Technologien müssen sich zentral installieren, konfigurieren und ausbringen lassen – die Administratoren können nicht jeden Heimarbeitsplatz vor Ort einrichten. Daher sollen insbesondere Privatrechner im Home-Office ohne Installation sicher zu nutzen sein.

Das gelingt nur, wenn der Anwender keine für Angriffe nutzbaren Spuren, Datenreste oder Verbindungsinformationen auf dem Privatrechner und der Verbindungsstrecke hinterlässt. Zudem sind bekannte Kompatibilitäts- und Integrationsprobleme zu vermeiden und gleichzeitig einfache Bedienoberflächen bereitzustellen. Nur so lassen sich Unternehmensanwendungen und -daten effizient schützen.

Die gesamte Kommunikationskette vom Endpunkt bis zum Unternehmensnetz muss gegen schädliche Einflüsse abgesichert sein. Bild: sayTEC
© sayTEC

Die gesamte Kommunikationskette vom Endpunkt bis zum Unternehmensnetz muss gegen schädliche Einflüsse abgesichert sein.

Künftige Szenarien

Der einfachste Weg, um diese Anforderungen zu erfüllen, ist ein sogenanntes „Office on a Stick“. Die Mitarbeiter haben, beispielsweise auf einen AES 256-verschlüsselten Stick, die gesamte Arbeitsumgebung immer in ihrer Tasche und können an jedem beliebigen Ort und jedem beliebigen Rechner arbeiten. Dies ermöglicht die geforderte hohe Flexibilität. Zusätzlich haben die Mitarbeiter durch diese Lösung ihre Arbeitsumgebung immer in gleicher Weise zur Verfügung: Ob sie zu Hause, auf einem Fremdrechner oder im Unternehmen arbeiten, alle genutzten Programme sind immer an der gleichen Stelle und lassen sich ohne Einschränkung oder Anpassungen verwenden. Bei diesem Konzept verlagert sich das Thema Sicherheit in der Kommunikationskette vom Anwendungsrechner weg und beginnt somit am Ursprung des Geschehens.

Wesentliches Element ist dabei die Prüfung des Anwenders auf berechtigten Zugriff. Dies kann am einfachsten durch Biometriedaten und ein personengebundenes Zertifikat für die individuelle Arbeitsumgebung erfolgen. Zusätzlich lassen sich die Arbeitsorte definieren und für sensible Anwendungen Orte festlegen, von denen der Endanwender auf die Unternehmensapplikationen zugreifen darf. Sind diese Berechtigungen gegeben, schottet sich die Verbindung zur Firmen-Arbeitsumgebung gegenüber dem Client-Rechner und auch gegenüber dem unsicheren Internet ab.

Sicherheit beruht auf drei Bausteinen: Authentifizierung, Defense in Depth und laufende Überwachung.
© sayTEC

Sicherheit beruht auf drei Bausteinen: Authentifizierung, Defense in Depth und laufende Überwachung.

Ausschließlich die erlaubten Zugriffe auf Anwendungen, Maschinen und Ressourcen sind möglich, abgekapselt gegenüber den Einflüssen des Client-Rechners, Client-Netzwerks und des Internet. Nicht erlaubte und nicht bekannte blockiert das System. Des Weiteren lassen sich in dieser Umgebung Telefon-, E-Mail- und Konferenzsysteme einbinden. Die Anwendungen müssen sich dazu auf mobilen Geräten befinden, die nur sichere Kommunikation zu lassen. Die Daten liegen dabei ausschließlich auf dem verschlüsselten Gerät.

Remote-Anbindung und Cloud-Services abkapseln

Künftig werden Arbeitsumgebungen unweigerlich aus internen und externen Ressourcen sowie Cloud-Diensten bestehen. Arbeiten in der Cloud ist für viele Unternehmen ein Segen, aber zugleich – wegen der damit verbundenen Risiken – ein Dorn im Auge der IT-Administratoren, die für die Sicherheit verantwortlich sind. Auch hier hilft ein abgekapselter Zugang, die geforderten Sicherheitskriterien einzuhalten.

Eine zukunftsorientierte Technologie darf nicht nur die zu schützende Arbeitsumgebung gegenüber dem Client-PC und dem Netzwerk, in dem sich der Client befindet, abkapseln. Sie muss auch die Cloud-Anwendungen vom Client entkoppeln und damit das Unternehmensnetzwerk sicher halten. Gleichzeitig ist es nötig, die kritischen Infrastrukturen – Server wie auch Daten – innerhalb des internen Netzwerks gegenüber jeglichen Einflüssen zu schützen.

Zukunftsfähig bleiben

Anwendungen und Technik entwickeln sich mit nie dagewesener Geschwindigkeit. Neue Techniken wie KI, IoT, 5G und Blockchain, deren Ausmaß und potenziellen Nutzen, aber auch Gefahren wir heute nicht voll erfassen können, stellen eine Herausforderung an die sichere Anbindung von Remote-Arbeitsplätzen dar. Sicher ist nur, dass die Anzahl der möglichen Einfallstore exponentiell steigen wird. Mussten wir bisher die Kommunikation des Menschen mit einem Netzwerk sicherstellen, sind künftig Mensch-Mensch-, Mensch-Maschine-, Maschine-Maschine-Kommunikation zu personifizieren, zu schützen und abzukapseln.

Gefahren drohen nicht nur durch kriminellen Missbrauch von KI, die sich selbstständig weiterentwickelt und sich der Abhängigkeit von uns Menschen immer mehr entzieht; ein weiteres Risiko bildet die Vielzahl der Sensoren, die sich in den einzelnen Geräten, Maschinen und Fortbewegungsmitteln befinden, untereinander kommunizieren und KI-gesteuert agieren. Wir bewegen uns in der digitalen Kommunikation in Geschwindigkeitsbereiche ähnlich dem des menschlichen Nervensystems.

Gleichzeitig erhöhen sich die Bandbreiten exorbitant und die Latenzen fallen unter eine Millisekunde. Dies erfordert eine ebenso schnelle Reaktion bei der Absicherung. Moderne Sicherheitstechnik zielt darauf ab, nach eindeutiger Identifizierung und Berechtigungsabgleich eine sichere, abgekapselte Kommunikation mit ineinandergreifenden Sicherheitsstufen (Defense in Depth) zwischen Menschen und Maschine oder dem Netzwerk aufzubauen. In Zukunft müssen zudem Sensoren eindeutig identifiziert und personifiziert sein, um von einer KI gesteuert zu werden. Die gesamte Kommunikationsumgebung muss gegen die Außenwelt geschützt und sicher abgekapselt sein.

Yakup Saygin ist Vorstand und CTO von sayTEC, www.saytec.eu.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Cloud-Security