VDI: Sind Sie sicher im Homeoffice?
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
Passende Arbeitshilfen
Homeoffice ≠ mobiles Arbeiten?
Unter dem Oberbegriff des mobilen Arbeitens wollen wir unsere Betrachtungen und Empfehlungen zusammenfassen – denn letztlich ist es gleichgültig, ob Sie sich im Internetcafé nebenan, in Ihrem Homeoffice oder in Honolulu befinden. Sobald Sie das Netzwerk des Unternehmens verlassen, müssen Sie sich überlegen, wie Sie den Zugriff auf die Ressourcen des Unternehmens gestalten. Dabei geht es selbstverständlich um Sicherheit und Vertraulichkeit.
Zugriff von extern muss geregelt sein
Angesichts der Bedrohungen durch COVID-19 wollten und sollten auf einmal möglichst viele "Schreibtischtäter" ins Homeoffice. Wieso geht das aber nicht so einfach, und was ist dabei zu beachten, wenn man einen Zugang für sogenannte Roadwarrior (so lautet tatsächlich der Fachbegriff für externe Nutzer von IT-Systemen) einrichtet? Viele Fragen wurden im Zuge der oftmals etwas überstürzten Auslagerung von Fachkräften ins Homeoffice gar nicht hinlänglich bedacht oder beantwortet. Da mobiles Arbeiten auch nach COVID-19 ein aktueller Trend bleibt, wollen wir uns in diesem Beitrag all diesen Fragen widmen.
Heute Standard: Trennung aller Netze
Die wichtigste Frage vorweg: Weshalb ist es überhaupt notwendig, sich Gedanken über Arbeit im Büro oder im Homeoffice zu machen? Weshalb können wir uns nicht einfach mit dem Firmenlaptop zu Hause ins WLAN einklinken und unbedarft losarbeiten?
Das hängt natürlich mit der historisch gewachsenen und technisch bedingten Trennung der Netzwerke zusammen. Unternehmen und Heimnetz sind strikt voneinander getrennt durch Firewalls, Router und vor allem vollkommen andere Adressbereiche.
Sicherheitsrisiko Internet
Das war allerdings nicht immer so. Der Autor dieser Zeilen (und vielleicht auch mancher Leser) erinnert sich noch gut an die Zeiten der Jahrtausendwende – also vor etwa 20 Jahren –, als viele Netzwerke, aber auch private PCs direkt an das Internet angeschlossen waren. Zu Hause oder im kleinen Büro stellte ein Modem die Verbindung mit dem weltweiten Netz her, in vielen mittleren und grösseren Firmen oder Institutionen wie zum Beispiel Hochschulen und Universitäten stand lediglich ein Switch an der Nahtstelle zwischen "bösem" Internet und "gutem" lokalem Netzwerk. Da war es noch üblich, dass die Netzwerkkarte Ihres PCs (der dann meist unter Windows 98, Windows 2000 oder Windows ME lief) nicht wie heutzutage über eine nur lokal nutzbare IP-Adresse wie etwa 192.168.1.5 verfügte, sondern über eine "echte", weltweit nutz- und routbare nach dem Muster 1.2.3.4. Der Vorteil dieses Prinzips lag natürlich darin, dass Sie zum einen keinen separaten Router benötigten, der zwischen internem und externem Netzwerk übersetzte – so, wie es heutzutage FritzBoxen, Zyxel, Speedports und wie sie alle heissen im Home- und KMU-Bereich und ausgewachsene Gateways im professionellen Umfeld tun. Zum anderen gab es dadurch gar nicht erst die Probleme, auf die sowohl Netzwerktechniker als auch Anwender stossen, wenn es darum geht, netzwerktechnisch schwierige Protokolle wie FTP oder SIP zu nutzen.
Sicherheit durch NAT
Aber diese Vorteile werden nicht durch den ganz gewaltigen Nachteil aufgewogen, der jedem IT-System im weltweiten Netz innewohnt: Sobald eine Schnittstelle zum Internet vorhanden ist, werden sich daran in Windeseile Angreifer abzuarbeiten versuchen. Der Autor erinnert sich noch mit Schaudern an unbedarfte Anwender, die ihren PC oder eines der seinerzeit noch eher exotischen Notebooks direkt mit dem Internet verbanden. Wenn keine lokale Firewall aktiviert war, die diversen angreifbaren Systemdienste nicht abgeschaltet oder gesperrt wurden oder kein Virenschutz das System vor Schadsoftwarebefall bewahrte, dauerte es je nach Betriebssystem meist nicht länger als eine Viertelstunde (!), bis ein solches ungeschützt dem Internet preisgegebenes System dermassen infiziert war, dass man es eigentlich nur noch neu installieren konnte. Kein Witz! Ausnahmen stellten einige Linux- oder Unixsysteme dar sowie das seinerzeit noch auf einer vollkommen anderen technischen Grundlage als heute beruhende Mac-Betriebssystem MacOS bis OS 9. Ansonsten galt: Wer ins Internet wollte, stellte tunlichst eine Firewall mit Routingfunktionalität davor und verpasste den internen IT-Systemen erst einmal sogenannte lokale IP-Adressen. Das ist noch heute so – Sie werden mit Ihrem PC zu Hause nicht ohne Weiteres auf den PC Ihres Nachbarn schauen können, aber natürlich auch nicht den Server in Ihrer Firma erreichen.
Diese erste Stufe der Sicherheit für Ihre Systeme im heimischen Netzwerk schafft die Network Address Translation (NAT). Sie sorgt dafür, dass aus den im Internet nicht verwendbaren “privaten” IP-Adressen Ihres heimischen oder Unternehmensnetzwerks (dem LAN, Local Area Network) im WAN (dem Wide Area Network) etwas gemacht wird. Letztlich wird lediglich im Router festgeschrieben, dass er stellvertretend für Ihren lokalen PC die Anfragen zu Webseiten, Mailservern, Videokonferenzen und so weiter in die weite Welt schickt, die Antworten entgegennimmt und wieder an den lokalen PC zurückleitet. Es ist unzählige Male kolportiert worden, dass NAT an sich kein Sicherheitsfeature ist. Umgekehrt wäre aber ohne NAT kaum ein lokales Netzwerk sinnvoll nutzbar – Punkt.
NAT und externe IP bei externen Zugriffen beachten
Uns interessieren im Zusammenhang mit unserem Thema auch nur das Prinzip von NAT an sich – und daneben noch der Umstand, dass auch Ihr Router nicht ohne Weiteres von aussen gefunden werden wird, sofern er nicht über eine sogenannte feste, externe IP-Adresse verfügt. Professionelle Standleitungen, aber auch DSL-Anschlüsse im Businessbereich bieten dies fast immer – dieses Feature wird noch wichtig werden im Zusammenhang mit VPN. Falls Sie über keine feste IP-Adresse verfügen können, kann ein Dienst wie DynDNS dabei helfen, Ihr Unternehmensnetzwerk auch aus dem Internet heraus erreichbar zu machen.
Passende Produkt-Empfehlungen
Direkter Zugang, Hineinschauen oder "Treffpunkt Cloud"?
Viele Unternehmen waren natürlich auch schon vor der Corona-Pandemie auf Homeoffice und mobiles Arbeiten eingestellt, beides sind ja beileibe keine Erfindungen dieser Tage. Im Kern geht es immer darum, Ressourcen des Unternehmens für den Zugriff auch von Orten ausserhalb des Unternehmensnetzwerks bereitzustellen. Innerhalb der Firma ist ja ohnehin alles über Datenleitungen miteinander vernetzt – wieso das nicht auch durch den Router hindurchschleusen?
Frage der Sicherheit und Vertraulichkeit
Nun, da ist zum einen die Frage der Sicherheit und Vertraulichkeit. Leider ist es auch im Jahr 2024 noch immer keine Selbstverständlichkeit, die unternehmenseigenen Datenströme grundsätzlich nur verschlüsselt über abgesicherte Leitungen zu leiten. In so manchem Unternehmen könnte man sich wohl auch heute noch ins Netzwerk einklinken und sensible Daten abfangen. Dazu bedürfte es aber eines physikalischen Zugangs zum Firmennetzwerk – und den haben ausser Betriebsangehörigen nur Einbrecher und Hacker – und VPN-Nutzer! Stellen sie Ihre IT-Infrastruktur also über das weltweite Netz quasi jedermann zur Verfügung, müssen Sie strengstens auf Begrenzungen, Reglementierungen und Kontrollen achten.
“Dreifaltigkeit”
Aber dazu im Folgenden mehr. So vielfältig die Lösungen für mobiles Arbeiten respektive Homeoffice auch erscheinen – prinzipiell gibt es eigentlich nur folgende drei Varianten:
-
direkte Zugänge per VPN (samt zugehörigen Sonderfällen)
-
reine Bildschirmzugänge per umgemodelter Fernwartungs-Software und anderen Lösungen sowie
-
die Verlagerung von Ressourcen an einen dritten Ort – mithin eine Cloudlösung, zu der man sich dann sowohl von Unternehmensarbeitsplätzen als auch vom Homeoffice aus durch das Internet hindurch verbinden muss
Die drei Varianten der Reihe werden wir nun im Detail und mit jeweils einigen Lösungen betrachten.
Direkter Zugang: VPN oder Standleitungen
Für einen direkten Zugang externer PCs, Laptops, Tablets oder Smartphones nutzt man eine Technik, die externe IT-Systeme über das eigentlich "unsichere" Internet auf einer abgeschlossenen, verschlüsselten Verbindung mit dem Unternehmensnetzwerk verbindet. Die externen IT-Systeme verhalten sich dann so, als befänden sie sich physikalisch im Netzwerk (LAN) des Unternehmens.
Solche Techniken werden als "virtuelle private Netzwerke" bezeichnet. Von diesen VPNs hat sicher jeder schon einmal gehört oder nutzt sie bereits für mobiles Arbeiten oder vom Homeoffice aus. Hierzu werden am Router des Unternehmens (vereinfacht gesagt) entsprechende Techniken benötigt, die dafür sorgen, dass ein PC oder Laptop von beliebiger Stelle des Internets aus eine Verbindung zum Unternehmensnetzwerk herstellen kann – so, als sässe derjenige direkt am Arbeitsplatz. Auch Verbindungen zwischen Zweigstellen eines Unternehmens werden heutzutage oftmals über VPN-Techniken realisiert.
VPN-Gateway
Üblich ist, dass man am Router (Firewall, Gateway o.Ä.) ein sogenanntes VPN-Gateway einrichtet. Dieses kann auch hinter dem eigentlichen Internetrouter aufgestellt sein, also etwa in einer DMZ (demilitarisierte Zone, siehe die Beiträge dazu hier im Portal) oder direkt im lokalen Netzwerk des Unternehmens. Auf dem externen PC oder Laptop wird dann eine entsprechende Clientsoftware installiert, zur Absicherung nutzt man entweder Schlüsseldateien oder (möglichst komplexe!) Passwörter.
Viele Informationen zu den verschiedenen VPN-Techniken (IPSec, OpenVPN usw.) finden Sie an entsprechender Stelle in diesem Portal. Verfügen Sie aktuell noch nicht über ein VPN-Systeme, sollten Sie zuerst hier weiterlesen, ob Sie es wirklich dauerhaft benötigen – und sich bei einer positiven Entscheidung in Ruhe über die unterschiedlichen VPN-Lösungen informieren. Beachten Sie vor allem folgende Punkte:
- Verfügbarkeit/Bereitstellungszeit
- Installationskosten
- notwendiges Know-how
- dauerhafte (Lizenz-)Kosten
- Administration
- Umsetzung
Cloudlösungen
Bei den beiden bisher vorgestellten Lösungsansätzen geht es immer darum, von aussen Zugriff auf die Ressourcen des heimischen Netzwerks zu erlangen. Wie wir gesehen haben, ist dies in technischer Hinsicht nicht eben trivial – und wenn es trivial erscheint, berührt es womöglich andere heikle Fragen wie die nach dem Datenschutz oder der Lizenzierung.
Heutzutage ist es aber gar nicht mehr so selbstverständlich, sämtliche Ressourcen im Unternehmen selber bereitzustellen. Prominentes Beispiel hierfür sind die Google-Cloud und Microsofts Collaborationstools, Office 365 lässt grüssen. Damit sind Sie der Sorgen um die notwendige Sicherheitstechnik weitgehend entbunden, die Verbindungen zwischen Cloud und Endgerät sind nach aktuellem Stand der Technik gesichert. Sie müssen sich auch nicht um Server, Router oder Firewalls kümmern, sondern nur noch die Ressourcen verwalten. Liegen E-Mails, Kalender, Kontakte, Dateien in einer Cloud, greifen Sie ja ohnehin schon aus dem Unternehmen selbst darauf zu, als seien Sie ein externer Nutzer (was Sie ja technisch gesehen auch sind).
Vielleicht ist es also spätestens jetzt Zeit, einmal intensiver über die Nutzung von Cloudlösungen nachzudenken. Hierbei gilt natürlich alles bisher Gesagte weiterhin. Verteilen Sie eine Schadsoftware über One Drive, sind Sie sicherheitstechnisch auch nicht besser dran als bei dem Befall einer lokalen NAS. So warnt der AV-Anbieter Kaspersky:
"Collaboration-Tools können zur Verbreitung von Malware beitragen."
Quelle: www.kaspersky.de
Auch die behutsame Vorgehensweise mit sensiblen Daten wird durch die Nutzung einer Cloud nicht überflüssig. Aber Sie benötigen keinen aufwendigen VPN-Tunnel mehr, und irgendwie zurechtgebastelte Konstruktionen mit halb legalen TeamViewernutzungen auch nicht. Aber aufgepasst: Das lediglich lokal auf einem Server installierte CRM, die speziell für Ihre Belange programmierte WaWi oder das Banking-Programm mit eigener Datenbank werden in einer Cloud nicht oder nur eingeschränkt funktionieren! Hier hilft nur planen, eruieren und gegebenenfalls testen.
Privat oder Firmeneigentum – ist BYOD die Lösung?
BYOD – altbekannt, aber nicht vertraut
BYOD (Bring Your Own Device) oder als Gegentrend LYOD (Leave Your Own Device) war schon vor zehn Jahren ein Trend in der IT, den IT-Administratoren allerdings auch immer mit einer gewissen Sorge beobachtet haben. Dass die Nutzung privater Geräte im Netzwerk des Unternehmens ein Sicherheitsrisiko darstellt, liegt auf der Hand. Ausser dem Besitzer hat niemand so recht Kontrolle über ein solches Gerät. Im Zuge der Corona-Krise kam oder kommt es nun oftmals zu einem dieser beiden Szenarien:
- IT-Systeme des Unternehmens (Laptops, manchmal PCs) werden mit nach Hause genommen und genutzt, um Dokumente auf dem Gerät zu bearbeiten oder um per VPN Zugriff zum Unternehmensnetz zu erlangen.
- Private IT-Systeme werden genutzt, um Dokumente des Unternehmens zu bearbeiten oder um per VPN Zugriff zum Unternehmensnetz zu erlangen.
Beide Anwendungsfälle sind aus Sicht der IT-Sicherheit nicht besonders glücklich – freundlich formuliert. Niemand kann präzise sagen, welche Sicherheitsrisiken im (privaten) Netzwerk des Anwenders bestehen:
- Ist das gesamte Netzwerk vielleicht mit Malware verseucht?
- Späht die halbe Verwandtschaft über die Schulter, wenn Mami oder Papi an sensiblen Unterlagen arbeiten?
- Wird der Bildschirm wirklich immer gesperrt, wenn das Gerät alleine gelassen wird?
- Sind Sichtschutzfolien angebracht, wenn – weiteres Horrorszenario – in der voll besetzten Tram am Laptop gearbeitet wird?
In Zeiten von Corona musste man sich wenigstens über die voll besetzte Tram nicht so viele Gedanken machen – aber ansonsten sollte die Vorstellung, dass Unternehmens-IT durch die Weltgeschichte wandert, jedem IT-Verantwortlichen den Angstschweiss auf die Stirn treiben. Sicher mag es dem einen oder anderen als etwas übertriebene Panikmache erscheinen, wenn wir hier so eindringlich vor den Gefahren warnen, die durch Homeoffice, BYOD, LYOD oder wie auch immer drohen. Aber denken Sie immer daran, dass die Sicherheit Ihrer IT und die Vertraulichkeit Ihrer Daten an erster Stelle stehen müssen – noch vor dem verständlichen Bemühen, das Unternehmen möglichst am Laufen zu halten. Und Sie sollten immer vom schlimmstmöglichen Szenario (dem Worst Case) ausgehen. Vorbeugen ist besser als heilen oder gar heulen!
Wir halten fest: Den kompletten Büroarbeitsplatz am heimischen Schreibtisch aufzubauen ist in diesen Tagen durchaus keine Seltenheit, aber so richtig praktikabel ist es nicht. Üblicherweise stellt man eigene Mobilgeräte zur Verfügung und erlaubt die Nutzung der privaten PCs und Laptops nur im Notfall.
Potenzielle Risiken
Ob die Nutzung privater Geräte eine Gefährdung sensibler Daten oder der IT-Systeme eines Unternehmens überhaupt darstellt, ist eine strittige Frage unter IT-Sicherheitsexperten und Datenschützern.
- Wenn von einem externen Gerät aus per VPN-Tunnel Netzlaufwerke, Drucker oder sonstige freigegebene Ressourcen des Unternehmens genutzt werden, geschieht die Verarbeitung auf dem externen Gerät, und somit ist eine direkte Verbindung Extern <=> Intern hergestellt. In einem solchen Fall sollten private Geräte nicht genutzt werden, sondern lediglich Geräte, die durch die unternehmenseigene IT eingerichtet, kontrolliert und gewartet werden.
- Eine überhaupt nicht empfehlenswerte Methode ist die Mitnahme von Daten des Unternehmens auf Datenträgern (USB-Stick o.Ä.) beziehungsweise die Übertragung per digitaler Infrastruktur (Versand per E-Mail, Cloud, Dropbox o.Ä.)! Ein solches Vorgehen ist aus naheliegenden Gründen des Datenschutzes und der IT-Sicherheit unbedingt zu unterlassen! Geeignete technische Massnahmen (Sperren von USB-Ports, Fileserverlinks u.a.) müssen durch organisatorische Massnahmen flankiert sein (Betriebsbestimmungen über die Nichtgestattung solcher Datenübertragungen, Sensibilisierung der MA usw.).
- Wenn auf den extern genutzten Geräten keine Daten des Unternehmens direkt verarbeitet werden, sollte die Nutzung unter IT-Sicherheitsaspekten oder aus datenschutzrechtlicher Sicht kein Problem darstellen. Dies ist der Fall, wenn über sogenannte VDI- oder Remote-Desktop-Techniken auf die Systeme des Unternehmens zugegriffen wird.
- Der Zugriff per Fernwartungs-Software (TeamViewer, AnyDesk o.Ä., siehe unten) und/oder Remote Desktop (RDP) stellt keine lokale Verarbeitung der Daten auf dem externen Gerät dar. Es werden lediglich die Bildschirmausgabe wiedergegeben und die Maus- und Tastatureingaben übertragen.
- Ob für den Zugriff zuvor ein VPN-Tunnel aufgebaut wurde, spielt nur eine untergeordnete Rolle.
Es gibt zudem einige Einschränkungen:
- Unabhängig von der verwendeten Technik stellt der Zugriff auf Ressourcen des Unternehmens von externen Geräten aus immer eine potenzielle Gefährdung der IT-Sicherheit und der Belange des Datenschutzes dar! Es kann nicht kontrolliert werden, wer alles die Geräte nutzt und/oder wer bei der Verarbeitung Einblick hat.
- Die Gefahr, dass externe (mithin private) Geräte von einer Schadsoftware befallen sind und hierüber auch die Ressourcen des Unternehmens betroffen sind, ist bei einem privaten Gerät in der Regel (!) höher als bei einem unternehmenseigenen Gerät, welches von der IT kontrolliert und in entsprechende Sicherheitsmassnahmen eingebunden wird. Es sollten also zumindest aktuelle Betriebssysteme mit allen Updates sowie ein Schutz vor Schadsoftware aufgespielt sein!
Es besteht theoretisch immer die Möglichkeit, dass externe Geräte über einen VPN-Tunnel unerwünschten Zugriff auf unternehmenseigene Ressourcen erlangen. Hier ist im Einzelfall abzuwägen, ob und wie der Zugriff gestattet sein soll.
Und abschliessend:
Das direkte Einbinden von Netzwerkfreigaben sollte grundsätzlich nur gestattet sein, wenn Geräte des Unternehmens genutzt werden!
