06.05.2011 | Autor / Redakteur: Klaus Brandstätter / Andreas Donner
Dass Mitarbeiter heute remote auf ihren Arbeitsplatz zugreifen können ist keine Innovation, sondern eine banale Selbstverständlichkeit. Allerdings stellt sich die Frage nach der richtigen, d.h. für das individuelle Unternehmen passenden Technik für den sicheren Fernzugriff auf Daten und Anwendungen im Firmennetz. Für eine Entscheidung gilt es, die technischen und wirtschaftlichen Vor- und Nachteile der beiden wichtigsten Varianten IPSec und SSL-VPN gegeneinander abzuwägen.
Es gibt viele Gründe, warum Angestellte und freie Mitarbeiter oder auch Geschäftspartner per Remote Access entweder auf ihren eigenen Arbeitsplatzrechner oder Unternehmensdaten zugreifen möchten oder müssen. Ganz aktuell mag dies zum Beispiel angesichts der fast täglich steigenden Kraftstoffpreise schlicht die Einsparung von unnötigen Fahrten zum Arbeitsplatz sein, wenn sich die Arbeit zumindest teilweise auch von zu Hause aus erledigen lässt. Aber auch während Dienstreisen mag ein Zugang nötig sein – oder Kunden bzw. Geschäftspartner benötigen Einblick in bestimmte Preislisten von Zulieferteilen.
Sowohl zu Hause als auch unterwegs ist es heute jedem User möglich, über PC, Note- und Netbook, Smartphone oder über einen Internetcafé-Rechner prinzipiell möglich, auf Firmendaten zuzugreifen.
Aus Administratorensicht besteht allerdings durchaus ein Unterschied, ob sich ein Anwender vom eigenen heimischen PC, einem Smartphone oder dem Intercafé-Rechner aus ins Firmennetz einloggen möchte: Während auf der eigenen Hardware auch Client-Software installiert werden kann, ist dies auf fremdem Rechnern in der Regel nicht möglich.
Entscheidend für die Zugriffsstrategie ist daher die Frage, welche Anwender – Sachbearbeiter, Abteilungsleiter und freie Mitarbeiter oder auch Geschäftspartner – den Fernzugang nutzen sollen. Dementsprechend ist zu überlegen, wie umfassend der Zugriff sein muss oder darf: Auf den eigenen Arbeitsplatz, auf alle Firmenssysteme oder gezielt auf bestimmte Anwendungen und Daten.
Nach diesen Analysen müssen Administratoren bei der Wahl der technisch optimalen Variante der Remote-Anbindung strategisch vorgehen und die einzelnen Vor- und Nachteile abwägen.
Sicherheit, Praktikabilität und Administrierbarkeit sowie Kosten sind die wichtigsten Aspekte für die Auswahl der Technik. Die Sicherheitsrisiken bei WLANs in Home Offices und Hotels oder bei Hotspots auf Flughäfen oder Bahnöfen sind oft erheblich – nicht zuletzt dadurch, dass häufig auch aus Bequemlichkeit zu einfache Passwörter gewählt werden, die kaum oder gar keinen Schutz darstellen.
Die Authentifizierung der Kommunikationspartner sowie die Integrität und Vertraulichkeit der Daten müssen also an erster Stelle stehen.
Tatsächliche Sicherheit ist nur gegeben, wenn die eingesetzten Verfahren in jeder Phase der Kommunikation bis zum Client gehen bzw. von ihm ausgehen (Ent-to-End).
Als neuere Lösungen haben sich hier zwei grundsätzlich sichere Wege bewährt, die sich im Wesentlichen durch den Verschlüsselungsstandard und die Art der Installation mit bzw. ohne Client-Software unterscheiden: IPSec- und SSL-basierte Zugänge. Doch wo liegen die jeweiligen Vor- und Nachteile?
Die Protokollfamilien IPSec und IKE/ISAKMP sind bereits seit 1998 standardisierte und anerkannte VPN-Technologien. Das „virtuelle private Netz“ wird dabei auf Layer 3 aufgebaut, stellt eine Infrastruktur für alle IP-Protokolle zur Verfügung und ist transparent für alle darauf aufsetzenden Transportprotokolle und Anwendungsprogramme – auch für Voice over IP (VoIP).
Allerdings erfordert der Remote Access auf den Zugriffsrechnern eine Client-Software, deren Installation und Wartung einen gewissen Aufwand bedeutet. Außerdem kann es passieren, dass preisgünstige Hardware das IPSec-Protokoll nicht unterstützt. Auch werden mit IPSec Daten-Pakete versandt, die nicht in jeder Infrastruktur ihr Ziel erreichen, bzw. von manchen Unternehmens-Infrastrukturen aus nicht genutzt werden können. Denn oft sind die dafür vorgesehenen Ports gesperrt.
Die Client-Installation auf den Endgeräten kann seitens einer zentralen Administration erfolgen und muss damit nicht unbedingt kompliziert sein. So wird zum Beispiel für HOBLink VPN eine „Silent-Client-Installation“ im Rahmen eines unternehmensweiten Rollouts erstellt. Der Anwender muss nur seinen Usernamen und ein sicheres Passwort eingeben, um die Client-Software auf seinem Rechner zu installieren. Anschließend kann er sich an seinem Unternehmensnetz anmelden und je nach Berechtigungskonzept direkt auf seine Anwendungen und Daten zugreifen.
»1 »2 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2051275)
