Web-Seminar-Tag der LANline zum sicheren Arbeiten von zu Hause aus

Home-Office, Jahrgang 2020

22. April 2020, 11:30 Uhr   |  Von Dr. Wilhelm Greiner.

Home-Office, Jahrgang 2020

Angesichts der COVID-19-Pandemie sahen und sehen sich viele Unternehmen genötigt, möglichst große Teile der Belegschaft von zu Hause aus arbeiten zu lassen. Das klassische Home-Office - ausgestattet mit Hardware, Software und Fernzugriffstechnik des Arbeitgebers - muss dabei oft einer weiter gefassten Definiton weichen: Mitunter kommen notgedrungen privat genutzte Notebooks, Tablets und Smartphones zum Einsatz (Bring Your Own Device, BYOD), da sich die nötige Remote-Hardware nicht so schnell beschaffen lässt. Solche Parameter machen der IT-Abteilung die Arbeit nicht gerade leichter. Vor diesem Hintergrund diskutierten Fachleute am Webinar-Thementag der LANline Möglichkeiten, wie Unternehmen den Umzug ins "Home-Office 2020" möglichst reibungsfrei, performant und sicher gestalten können.

Im Eröffnungsvortrag "Sicher aus dem Home-Office arbeiten mit Barracuda CloudGen Firewall" erläuterten Kurt Kirchberger und Peter Nowak von Barracuda die Absicherung einer auf viele Einzelnutzer verteilten Remote-Access-Umgebung. In der heutigen Arbeitswelt finden sich oft unterschiedlichste Endgeräte, mit denen die Nutzer auf das Netzwerk zugreifen wollen. Diese Lage stellt sich aus Nutzersicht einfacher, aus Administratorensicht aber komplexer dar, wenn das Unternehmen eine BYOD-Option bietet. Mit seiner CloudGen Firewall und Advanced Remote Access will der Security-Anbieter hier das sichere Arbeiten von zu Hause aus ermöglichen.

Drei Varianten des Remote Access

Für den Fernzugriff gibt es drei Varianten: die Komplettlösung per Network Access Client, den installationsfreien Browser Remote Access sowie die CudaLaunch-App, entwickelt für Mobilgeräte, aber längst auch erhältlich für Windows und macOS. Barracuda nutzt ein eigenes Remote-Access-Protokoll, laut Hersteller mit besonders schnellem Reconnect im Fall von Verbindungsabbrüchen.

Der Network Access Client, so Barracuda, sei einfach in Betrieb zu nehmen, sodass die IT-Abteilung bei der Verlagerung der Belegschaft in Home-Offices keine Zeit mit aufwendigen Konfigurationsarbeiten verliere. Über rollenbasierte Zugriffe lassen sich laut dem Security-Anbieter auch Zero-Trust-Sicherheitsarchitekturen verwirklichen. Aus Nutzersicht sei die Lösung einfach zu bedienen, einschließlich MFA (Mehr-Faktor-Authentifizierung) per TOTP-Tokens (Time-out One-Time Password). Grundlegende Client-to-Site-VPN-Funktionalität ist laut Hersteller in allen Barracuda-CloudGen-Firewalls ohne Beschränkung der Client-Zahl kostenfrei enthalten.

200421 LL-Webinar HO Bild 1 Barracuda
©

Barracuda ermöglicht sichere Fernzugriffe bis hin zu Rollenmodellen im Rahmen einer Zero-Trust-Architektur. Bild: Barracuda

Mit Browser Remote Access könne der Nutzer über ein Portal hochsicher auf Unternehmensressourcen zugreifen - nützlich insbesondere für BYOD- oder temporäre Zugriffe. Die CudaLaunch-App wiederum dehnt die VPN-Funktionalität auf moderne Mobilgeräte unter iOS, Android, Windows 10 oder macOS aus. Barracuda warnt aber, dass eine sichere Fernzugriffsinfrastruktur nicht vor unbedachtem Umgang mit Phishing-E-Mails etc. schützt. Hier empfiehlt der Anbieter seine hauseigene Lösung für den mehrstufigen E-Mail-Schutz. Content Shield wiederum schütze vor Schadcode auf Websites.

Skalierbare digitale Arbeitsplatzumgebungen

Nutanix will die Arbeit von zu Hause aus so komfortabel wie möglich gestalten, wie Gaby Grau von Nutanix im Webinar "Schnelle und skalierbare Virtual Desktop Infrastruktur mit Nutanix" erläuterte. Dafür liefert der Anbieter HCI-Plattformen (Hyperconverged Infrastructure) für den Betrieb von VDI-Software (Virtual Desktop Infrastructure) oder Terminal-Services von Citrix und VMware in jeder Größenordnung sowie DaaS-Angebote (Desktop as a Cloud). Dadurch, so die Referentin, will Nutanix die Infrastruktur für die Endanwender "unsichtbar machen".

200421 LL-Webinar HO Bild 2 Nutanix
©

Nutanix? Xi Frame ermöglicht die kurzfristige Bereitstellung cloudbasierter Arbeitplätze (DaaS). Bild: Nutanix

Man unterstütze für HCI alle namhaften Server-Hersteller und integriere dies zu einer performanten EUC-Plattform (End-User Computing) inklusive Hypervisor, Compute und Storage. Diese Plattformen verkürzen laut Nutanix die VDI-Bereitstellungzeit auf ein Achtel und skalieren linear vom Pilotprojekt zum Produktivsystem. Im DaaS-Segment offeriert Nutanix dazu die cloudnative Lösung Xi Frame, die durch die Akquisition des Anbieters Frame im Sommer 2018 ins Portfolio kam. Damit, so die Referentin, lasse sich innerhalb einer Stunde eine lauffähige DaaS-Umgebung einrichten. Nutanix betreibe dabei die IaaS- und DaaS-Umgebungen, das Anwenderunternehmen müsse sich somit nur noch um die Workspaces und Anwendungen kümmern.

Security Incidents über Home-Offices hinweg im Blick

Florian Hartmann vom US-Security-Anbieter CrowdStrike diskutierte anschließend "Incident Response in Zeiten von Home-Office - wie Sie Angriffe erfolgreich abwehren und beheben". Die Bausteine dafür: Endpoint Protection, Managed Threat Hunting, Incident Response mit proaktiven Services sowie Threat Intelligence. CrowdStrike unterhalte ein weltweites Threat-Intelligence-Team, das über 130 Angreifergruppen auf dem Radar habe (einschließlich regierungsnaher APTs). Die Informationen darüber - ebenso wie die Auswertungen der weltweit verteilten CrowdStrike-Sensoren - stelle man den Anwenderunternehmen bereit, um sie zum Beispiel vor Emotet-Aktivitäten zu warnen.

200421 LL-Webinar HO Bild 3 CrowdStrike
©

Die vier Bausteine von Crowdstrikes cloudbasierter Security-Architektur. Bild: Crowdstrike

Eine Herausforderung, so Hartmann, sei derzeit insbesondere die Reaktion auf Vorfälle (Incident Response). Denn trotz verteilten Arbeitens muss die IT die reibungslose Incident-Bearbeitung weiter sicherstellen, etwa im Fall einer angeklickten Phishing-Mail. Das werfe viele Fragen auf: Was ist passiert? Wurden Daten abgegriffen? Ist der Vorfall meldepflichtig? Und: Darf ich die BYOD-Festplatte des Mitarbeiters mitnehmen und untersuchen? Wichtig sei es daher, dass die Security-Richtlinien auch an Remote Work angepasst sind, einschließlich BYOD - und dass man sie auch durchsetzen kann. Ein schnelles Re-Imaging eines Client-Systems ist laut Hartmann dabei zwar eine schnelle, aber nicht unbedingt die beste Lösung, da sich Angriffswege dann nicht mehr nachvollziehen lassen.

Mit der hauseigenen Security-Plattform Falcon, so Hartmann, lasse sich die schnelle, skalierbare Wiederherstellung von Endpunkten sicherstellen. Der Crowdstrike-Agent verbinde sich dazu mit CrowdStrikes Cloudumgebung, ebenso der Security-Analyst des betroffenen Unternehmens. Die Web-basierte Falcon-Konsole ermögliche dabei den Überblick über alle Endpunkte für die zentral koordinierte Endpoint-Analyse und -Vorfallsbearbeitung (Endpoint Detection and Response, EDR). Dazu lasse sich zum Beispiel eine verdächtige Datei von einem Home-Office-Rechner zur Analyse in die Cloud laden.

Das Rollenkonzept für den Administratorenzugriff sei fein abgestuft und umfasse zum Beispiel drei verschiedene Rollen für die Echtzeit-Response. Mittels Playbooks für Vorfälle könne eine IT-Organisation schnell und präzise auf Incidents wie etwa einen Emotet-, Trickbot- oder Ransomware-Befall reagieren. Wichtig dabei, so Hartmann: Sehr viele Schritte der Incident Response könne der Security-Analyst dank CrowdStrikes Cloudbasis aus der Ferne durchführen, was die Reaktion auf Vorfälle erheblich beschleunige. Mittels Falcon Complete lasse sich dabei der gesamte Lebenszyklus des Sicherheits-Managements von der Erkennung bis zur Behebung (Remediation) von Vorfällen aus der Cloud heraus abdecken - inklusive Versicherung für die Remediation-Kosten.

Ausgefeilte VPN-Infrastruktur

Stefan Werner und René Nies vom Nürnberger VPN- und IoT-Security-Spezialisten NCP Engineering schließlich erläuterten das Thema "Business Continuity – was sichere Datenkommunikation und Home-Office zu Unternehmenszielen beitragen". Die Szenarien, die Business-Continuity-Konzepte erfordern, sind vielfältig, wie NCP darlegte: Bei Gebäudeausfall - durch Brand, Überschwemmung, Chemieunfall etc. - ähneln sich die Strategien in der Regel: Man weicht auf Notarbeitsplätze aus, die an anderen Unternehmensstandorten vorhanden sind. Derzeit steht hingegen vor allem der Ausfall von Personal im Vordergrund: traditionell meist wetter- oder grippebedingt, derzeit eben aufgrund der Pandemie.

200421 LL-Webinar HO Bild 4 NCP
©

NCP ermöglicht die sichere und bandbreitenschonende Anbindung von Home-Offices mittels Drucken in der Home Zone und WLAN-Roaming. Bild NCP Engineering

Die Besonderheit: Da die meisten Arbeitnehmer arbeitsfähig sind, aber dennoch möglichst zu Hause bleiben sollen, stehen vom Arbeitgeber gestellte Ersatzarbeitsplätze nicht in ausreichender Menge zur Verfügung. Denn, so René Nies, normalerweise arbeite nur etwa ein Achtel der Belegschaft von zu Hause aus. Flaschenhälse seien nun Client-Hardware wie Laptops und die VPN-Gateway-Kapazitäten. Erschwerend hinzu kommen laut dem NCP-Experten der Zeitaufwand für das Ausrollen und Management der Clients, Bandbreitenengpässe, unterschiedliche Anforderungen der diversen Nutzer und Nutzergruppen sowie die "guten alten Layer-8-Probleme" - sprich: eine Vielzahl von Helpdesk-Requests, zum Beispiel zur Anbindung heimischer Hardware wie Drucker oder Scanner.

NCP, so betonte Nies, arbeite hier mit softwarebasierten Gateways, sodass keine Beschaffung zusätzlicher VPN-Appliances erforderlich sei. Mittels K-Fall- und Pandemielizenzen könne eine Unternehmen temporär erhöhten Bedarf abfedern, dies werde derzeit sehr umfangreich genutzt. Alternativ bietet NCP auch Pay-per-Use-Modelle (Abrechnung nach Nutzung) mit vorinstallierten Default-Clients, bei denen Kosten erst ab Einsatzbeginn entstehen.

Die Verteilung der VPN-Clients erfolge über die übliche Softwareverteilungslösung, wie sie in Unternehmen sowieso verbreitet ist. Das Updaten der VPN-Clients laufe automatisiert im Hintergrund ab, auch bei Home-Office-Rechnern. Im Fall von Bandbreitenengpässen rät NCP - wie zahlreiche andere Experten auch - zu Split Tunneling (Nutzung eines VPN-Tunnels mit zusätzlichen getrennten Übertragungskanälen). Hierfür biete man eine granulare Definition, welche Applikationen zu tunneln sind, sowie QoS-Funktionen zur Garantie der Bandbreite im Tunnel für VoIP etc. Mittels sogenannter "Home Zone"-Funktionalität müsse kein Druckdatenverkehr über den VPN-Tunnel ins Unternehmensnetz laufen - eine große Entlastung für Remote-Access-Infrastrukturen.

Über die NCP-eigene Management-Oberfläche lasse sich die Verwaltung aller Clients zentral steuern, also sowohl für Windows als auch für macOS, iOS und Android. Des Weiteren unterstütze man PKI (Public Key Infrastructure), Policy Enforcement (Durchsetzung der Sicherheitsrichtlinien) sowie Mandantenfähigkeit für die Fernbetreuung verschiedener Kunden. Dank der patentierten Pathfinder-Technik könne man auch VPN-Verbindungen in Ländern aufbauen, in denen verschlüsselte Verbindungen gerne staatlicherseits gekappt werden, wie etwa in China. Seamless Roaming schließlich ermögliche es, VPN-Verbindungen selbst bei WLAN-Wechseln aufrechtzuerhalten.

Weitere Informationen finden sich bei den genannten Anbietern unter:
www.barracuda.com
www.nutanix.com/de
www.crowdstrike.com
www.ncp-e.com

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Home-Office-Arbeit wirkungsvoll absichern
Zehn Tipps für sicheres Arbeiten im Home-Office
Endpoint Security Cloud: Schutz von Unternehmensdaten im Home-Office

Verwandte Artikel

LANline

Barracuda

CrowdStrike