Im IT-Bereich wird mit Skalierung bzw. Skalierbarkeit die Fähigkeit eines Systems oder einer Anlage beschrieben, sich den schrumpfenden oder auch den wachsenden Anforderungen in Bezug auf die Performance der Software- und Hardware-Ebene möglichst flexibel anpassen zu können. In der Praxis wird Skalierung jedoch auch oft mit Wachstum gleichgesetzt.

Skalierbarkeit im Detail

Im Bereich moderner Informationstechnologien gelten Prozesse als skalierbar, wenn sie parallel zu den vorgegebenen Aufgaben wachsen oder schrumpfen können. Ein IT-System oder eine Anlage, die im Rahmen einer Skalierung den neuen Anforderungen angepasst wurde, ist auch nach der Implementierung der neuen Maßnahmen voll funktionsfähig. Skalierung bedeutet jedoch nicht nur, dass die skalierte Anwendung oder das System funktionieren, sondern dass auch die daraus resultierenden Vorteile weiterhin nutzbar sind. So gilt beispielsweise zum Beispiel eine Datenbank als skalierbar, wenn sie von einem einzelnen Server auf ein verteiltes Server-Cluster übertragen werden kann.

Die Vorteile einer solche Skalierung spiegeln sich in erster Linie in kürzeren Antwortzeiten und einer effizienteren Verwaltung der MySQL-Datenbank. In der Praxis ist es oft so, dass sich eine Skalierbarkeit viel einfacher nach oben als nach unten realisieren lässt. Dies ist auf die Tatsache zurückzuführen, dass bei einer Herunterskalierung das System eine gute Performance in einer kleineren Umgebung bereitstellen muss, während bei einer Skalierung nach oben zusätzliche Ressourcen zur Verfügung gestellt werden. Die Leistung eines Systems lässt sich auf zwei verschiedene Arten steigern, und zwar vertikal und horizontal.

Vertikale Skalierung

Im Rahmen einer vertikalen Skalierbarkeit (Scale Up) werden Ressourcen innerhalb einer logischen Einheit zusammengefügt. Konkret bedeutet das, dass die Leistungssteigerung durch das Hinzufügen von Ressourcen innerhalb eines Systems realisiert wird. Prominente Beispiele für diese Art der Skalierbarkeit wären:

– das Vergrößern der vorhandenen Speicherplatzkapazität

– das Hinzufügen einer leistungsstärkeren CPU

– Aufrüstung von Arbeitsspeicher

– Einbau einer besseren GPU

Bei einer vertikalen Skalierung kann die vorhandene Software sehr einfach angepasst werden, in vielen Fällen ist sogar eine Anpassung überhaupt nicht nötig. In der Regel muss keine Zeile Code neugeschrieben werden, um einen Leistungszuwachs durch vertikales Skalieren zu erhalten. Die vertikale Skalierbarkeit stößt jedoch früher oder später an Grenzen des Möglichen, weil man beispielsweise bereits die schnellste Hardware nutzt und eine Aufrüstung demzufolge nicht möglich ist.

Horizontale Skalierung

Bei der horizontalen Skalierbarkeit (Scale Out) sind im Gegensatz zu der vertikalen Skalierbarkeit keine Grenzen in Bezug auf die Performance der Hardware gesetzt. Hier wird die Leistungssteigerung des Systems durch das Beifügen zusätzlicher Server bzw. Computer realisiert. Wie gut diese Art der Skalierung letztendlich funktioniert, hängt in erster Linie von der eingesetzten Software ab, denn nicht jede Anwendung lässt sich gleich gut parallelisieren. Konkret bedeutet das, dass eine horizontale Skalierung dann vorliegt, wenn weitere Server- oder Rechner-Knoten hinzukommen, damit der steigende Workload mit gleichbleibender Leistung verarbeitet werden kann.

In einem Cloudsystem verteilen sich dann die anstehenden Aufgaben auf mehrere Rechner-Instanzen. In der Praxis wird das dadurch gelöst, dass ein Server als Verteiler für die Workloads (Load Balancing) in dem jeweiligen Server-Cluster eingesetzt wird. Der Einsatz eines Load Balancers ist immer dann nötig, wenn viele einzelne Ressourcen als eine Einheit zusammen im Rahmen einer horizontalen Skalierung fungieren müssen. Aus diesem Grund ist der sogenannte „Skalierbarkeitsfaktor“, also das Verhältnis zwischen der gewonnenen Leistung und den eingesetzten Ressourcen, hier prinzipiell niedriger als bei vertikaler Skalierbarkeit. Hinzu kommt noch, dass die horizontale Skalierbarkeit in der Regel kostengünstiger als vergleichbare Skalierungsmaßnahmen ist. Hinsichtlich des Overheads sind vertikale Skalierungsmaßnehmen jedoch viel effizienter als es bei der horizontalen Skalierbarkeit der Falls ist.

Skalierungsmaßnehmen und das Schichtenmodell

Um ein IT-System möglichst skalierbar zu gestalten, hat es sich im Laufe der Jahre bewährt, sämtliche Skalierungsmaßnehmen als Schichtenmodell zu implementieren. Im Rahmen dieses Ansatzes werden die einzelnen Schichten logisch voneinander getrennt, sodass jede einzelne Schicht für sich selbst skaliert werden kann. Eine äußerst beliebte Architektur im Bereich der Webentwicklung ist die sogenannte „3-Schichten-Architektur“. Um dabei eine möglichst hohe Skalierbarkeit zu erzielen, muss die Architektur so umgesetzt sein, dass sich jede dieser drei Schichten möglichst flexibel und unkompliziert skalieren lässt. Eine 3-Schichten-Architektur setzt sich aus folgenden Komponenten zusammen:

– Präsentationsschicht: Diese Schicht wird auch als Front-End bezeichnet und ist für die Darstellung der Daten zuständig.

– Logikschicht: Diese Schicht vereint die gesamte Anwendungslogik.

– Datenbankschicht: Diese Schicht enthält die Datenbank, wie beispielsweise MySQL oder PostgreSQL, und ist für die Speicherung und die Bereitstellung von Daten zuständig.

Während sich die Präsentationsschicht relativ einfach horizontal skalieren lässt, ist im Rahmen der Logikschicht eine Anpassung des Codes nötig. Dabei sollte beachtet werden, dass eine möglichst große Menge der Code-Logik parallelisiert werden muss, um eine effiziente Skalierung zu erhalten. Am kompliziertesten ist die Skalierung der Datenbankschicht, weshalb diese Optimierungen komplexes Expertenwissen benötigen.

Wenn mindestens zwei Prozesse zum Schreiben oder Lesen auf die gleichen Daten zugreifen wollen, müssen diese Prozesse zur Fehlervermeidung einer Isolierung unterworfen werden. Das gilt insbesondere auch für Datenbanken, die zur korrekten Verwaltung größerer Datenmengen vorgesehen sind.

Was ist eine Datenbank?

Daten wurden ursprünglich in einzelnen Dateien auf Computern gespeichert. Mit immer umfangreicheren Datenmengen wurde der Aufwand zur direkten Verwaltung dieser Dateien zu groß. Änderungen an den Daten wurden fehleranfällig und es wurde immer schwieriger, auf die gerade benötigten Daten zuzugreifen.

Eine Datenbank dient der Verwaltung von auf einem Computer gespeicherten Daten. Im engeren Sinn bezeichnet das Wort die gespeicherten Daten selbst. Diese hängen logisch zusammen und sind für Änderung durch Schreibzugriffe auf der einen und Abfrage und Auswertung auf der anderen Seite vorgesehen.

Im weiteren Sinn gehört zu einer Datenbank auch das Datenbankmanagementsystem oder DBMS. Es organisiert die Art der Speicherung der Daten und und kontrolliert die schreibenden und lesenden Zugriffe.

Notwendige Eigenschaften von Datenbanken

Im Zentrum steht der Grundsatz, dass die Daten in einer Datenbank verfügbar, vollständig und korrekt sein müssen. Aus diesem Grund ist die Kontrolle aller Zugriffe durch das DBMS erforderlich.

Ein wesentlicher Teil dieses DBMS ist die Datenbankprogrammiersprache SQL, die in vielen Datenbanken zum Einsatz kommt. SQL dient der Definition von relationalen Datenbanken. Datenbanken dieses Typs stellen digital gespeicherte Tabellen dar, in denen die Daten strukturiert gespeichert sind. In SQL werden auch die Funktionen zum Bearbeiten und Auswerten der Daten bereitgestellt.

Ein Beispiel für eine solche relationale Datenbank ist eine Tabelle eines Unternehmens mit Kundennummern, den zugehörigen Namen und dem Datum der letzten Bestellung. Eine mögliche Anfrage an diese Datenbank stellt das Auslesen aller Kunden dar, die im letzten Monat mindestens eine Bestellung aufgegeben haben.

Wozu braucht es Isolation in der Verwaltung?

Eine Datenbank muss mit Zugriffen durch viele Nutzer zurechtkommen, die unabhängig voneinander auf die Daten zugreifen wollen. In der Organisation der Datenbank können Sie also nicht davon ausgehen, dass ein Schreibzugriff abgeschlossen ist, bevor ein anderer Nutzer einen Lesezugriff durchführt. Der Begriff der Isolation bezieht sich auf die Trennung der verschiedenen Zugriffe zur Vermeidung von falsch ausgelesenen Daten.

Wesentlich ist hier, dass ein Zugriff aus mehreren Teilen bestehen kann und ein anderer Zugriff zwischen diesen Teilen Fehler verursachen könnte. Diese zwei Teile sind beispielsweise das Prüfen des Vorhandenseins eines Datensatzes und das Einfügen, wenn dieser Datensatz noch nicht vorhanden ist. Nimmt ein anderer Benutzer denselben Zugriff vor, können zwei statt einem eingefügten Datensatz die Folge sein. Dieser Fehler ist ein Beispiel für den vierten Typ in der folgenden Liste.

Mögliche Probleme durch fehlende Isolation

Die vier typischen Fehler werden auch im Deutschen mit einem englischen Begriff bezeichnet.

  1. Dirty Read

Ein Zugriff auf die Datenbank hat Daten noch nicht vollständig verändert, ein lesender Zugriff liest diese noch unkorrekten Daten.

  1. Lost Updates

Zwei Zugriffe werden zum Zweck der Änderung von Daten durchgeführt, nur ein Zugriff wird tatsächlich verarbeitet.

  1. Non-repeatable Read

Ein Lesezugriff ist nicht wiederholbar, das heißt, wiederholte Lesezugriffe liefern verschiedene Ergebnisse.

  1. Phantom Read

Ein Zugriff verändert Daten. Durch diesen Zugriff treffen Suchkriterien während eines anderen Zugriffs auf verschiedene Daten zu.

Lösungen dieser Probleme durch Isolation

Die Datenbankprogrammiersprache SQL sieht vier verschiedene Ebenen für unterschiedlich starke Isolation vor, die wiederum englische Bezeichnungen führen.

– Read uncommitted

In der Definition von SQL sind auf dieser Ebene keine Maßnahmen für Isolation vorgesehen. Alle vier Probleme können daher auftreten. Die meisten DBMS setzen mehr Isolation als vom Standard gefordert um, sodass auf dieser Ebene wenigstens keine Lost updates möglich sind.

– Read committed

Werden Daten verändert, erfolgt auf dieser Ebene eine Sperre für die gesamte Transaktion. Non-repeatable reads und Phantom reads sind immer noch möglich, weil die Lesesperren nur kurzfristig gesetzt werden.

– Repeated Read

Auf dieser Ebene wird die ganze Transaktion sowohl bei Schreib- als auch bei Leseoperationen gesperrt. Damit sind als einziger Fehler noch Phantom reads möglich.

– Serializable

Der Begriff bedeutet, dass alle Transaktionen in beliebiger Reihenfolge ausgeführt der seriellen Ausführung entsprechen und das gleiche Ergebnis liefern. Es kann allerdings sein, dass eine Transaktion abgebrochen werden muss, wenn diese Bedingung nicht eingehalten werden kann. Der entsprechende Nutzer muss dann seine Anfrage an die Datenbank nochmals wiederholen.

Warum wird nicht immer die maximale Isolation angewendet?

Der Grund dafür liegt darin, dass diese Isolationsmaßnahmen mit einigem Aufwand verbunden sind. Die notwendigen Sperren vermindern die Reaktionsfähigkeit der Datenbank. Die Entwickler überlegen sich also, welche Ebene der Isolation für eine bestimmte Anwendung notwendig und ausreichend ist.

Sie sollten darauf achten, dass diese Anforderungen während der Verwendung einer bestimmten Datenbank Änderungen unterworfen sein können. Werden neue Funktionen zum DBMS hinzugefügt oder ändert sich die Art der Verwendung der Datenbank, können Anpassungen des Isolationsgrads erforderlich werden.

Beim Mobile Device Management (MDM) handelt es sich um eine Technik, die ein zentralisiertes Management mobiler Endgeräte ermöglicht, wie beispielsweise Smartphones, Tablet-PCs oder Laptops. Mobile Endgeräte lassen sich per MDM relativ einfach in das bestehende Unternehmensnetzwerk integrieren und die Darauf gespeicherten Anwendungen und Daten effektiv schützen. Alle Software, die für die Arbeit benötigt wird, lässt sich über das Mobile Device Management verteilen und konfigurieren.

Was genau ist Mobile Device Management (MDM)

Die Abkürzung MDM steht für Mobile Device Management. In die deutsche Sprache übersetzt bedeutet der Begriff so viel wie „Mobilgeräteverwaltung“. MDM bietet die Möglichkeit, alle mobilen Endgeräte der Mitarbeiter eines Betriebs, einer Firma oder einer anderen Organisation über ein zentrales Interface zu verwalten. Die wichtigsten Aufgaben, die vom Mobile Device Management übernommen werden, sind:

– Die sichere Integration mobiler Geräte der Mitarbeiter in das unternehmensinterne Netzwerk

– Der Schutz aller Daten und Anwendungen auf den mobilen Endgeräten

 

Des Weiteren stellt das Mobile Device Management diverse Tools zur Verfügung, um das Betriebssystem und wichtige Softwarekomponenten zu konfigurieren und Updates und Patches zentral zu verwalten und zu verteilten. MDM lässt sich sowohl bei firmeneigenen Endgeräten, als auch im Rahmen von Bring Your Own Device (BYOD) einsetzen.

Warum setzen immer mehr Unternehmen auf Mobile Device Management (MDM)?

Mitarbeiter eines Unternehmens nutzen verschiedene mobile Endgeräte, um Ihren täglichen Aufgaben nachzukommen. Es handelt sich dabei teils um Geräte des jeweiligen Unternehmens, teils aber auch um Geräte, die sich im privaten Besitz befinden. Immer dann, wenn geschäftliche Anwendungen ausgeführt oder unternehmensinterne Daten auf den Geräten gespeichert und verarbeitet werden, muss ein Unternehmen Maßnahmen zum Schutz der Anwendungen und Daten implementieren. Mobile Device Management stellt die passenden Lösungen bereit, um Geräte, Daten und Anwendungen von einer zentralen Stelle zu verwalten. So ist MDM beispielsweise in der Lage sensible Daten zu verschlüsseln, Datensicherung automatisch durchzuführen und Patches und Updates für ein Betriebssystem oder eine Anwendung autonom zu verteilen.

Administratoren können durch den Einsatz von MDM auf vielfältige Tools zur Konfiguration der mobilen Geräte und Anwendungen zurückgreifen. Die Nachteile einer heterogenen Gerätelandschaft, die durch Konzepte wie Bring Your Own Device begünstigt werden, können durch den Einsatz von MDM-Maßnahmen sicherer und vor allem effizienter verwaltet werden. So kann beispielsweise durch die Verteilung, Bereitstellung und Implementierung bedeutender Policies ein hohes Sicherheitsniveau im gesamten unternehmensinternen Netzwerk gewährleistet werden.

Funktionsweise

Obwohl eine Vielzahl unterschiedlicher MDM-Lösungen erhältlich ist, basieren alle diese Lösungen auf demselben Konzept. In der Mehrheit der Fälle wird im Rahmen des MDM auf Endgeräteseite eine spezielle Software (Agent) installiert. Diese steht in direkter Kommunikation mit dem zentralen MDM-Server. Der installierte Agent erhält von dem Server alle Konfigurationsdateien und die auszuführende Software. Um eine möglichst breite Vielfalt von Geräten zu unterstützen, stellen Mobile Device Management-Lösungen Agenten für alle aktuellen Betriebssysteme zu Verfügung.

 

Die wichtigsten Merkmale und Funktionen des MDM-Konzeptes im Überblick

Im Folgenden gehen wir auf die bedeutendsten Funktionen und Merkmale des Mobile Device Managements ein.

Hoher Schutz und Sicherung wichtiger Daten

Explizite Trennung zwischen geschäftlicher und privater Nutzung

Sichere und schnelle Integration in das unternehmensinterne Netzwerk

– Unterstützung für verschiedene Betriebssysteme, wie zum Beispiel Windows, Linux aber auch Android und iOS

– Ortung und Sperrung oder Fernlöschung bei Diebstahl oder Verlust

– Unterstützung für diverse Netzwerkanbindungen, wie WLAN oder Ethernet

Auf dem Remote Framebuffer Protocol bauen Anwendungen wie VNC auf, die das Arbeiten an einem Computer über eine Netzwerkverbindung ermöglichen. Sie als Benutzer sitzen an einem mit Client bezeichneten Gerät, das über das Internet mit einem anderen Computer verbunden ist. Auf diesem Computer laufen Ihre Anwendungen (Software). Was Sie bei direktem Kontakt mit dem Server auf seinem Bildschirm sehen würden, wird über das Netz übertragen.

Das Remote Framebuffer Protocol und seine Eigenschaften

Das RFP liegt im OSI-Netzwerkmodell in der Anwendungsschicht, im Protokollstack des Internets ist es über TCP angesiedelt.

RFP verwendet ein Client-Server-Modell. Der Client ist das Gerät, das Sie für Ihre Benutzerinteraktion verwenden. Der Server ist ein Computer, auf dem die von Ihnen verwendete Software läuft. RFP verbindet diese beiden Geräte so, dass Sie auf dem Client ähnlich wie direkt am Server arbeiten können.

Das Remote Framebuffer Protocol lässt den Server einen Screen anbieten, der vom Client dargestellt wird. Der Client wiederum nimmt Ihre Eingaben an Text und Maussteuerung entgegen und übermittelt sie an den Server.

Diese Übertragung ist grafikorientiert und deshalb für verschiedene Fenstersysteme geeignet. Das Remote Framebuffer Protocol ist zustandslos. Das bedeutet, dass hintereinander erteilte Anfragen des Clients an den Server voneinander unabhängig sind. Das ermöglicht einen einfachen Wechsel des Clients in einer Sitzung, da eine neue Verbindung nicht auf gespeicherte Parameter zugreifen muss.

Kodierung der Daten im Remote Framebuffer Protocol

Eine ständige Übertragung aller Pixel einer grafischen Benutzeroberfläche kann sehr aufwendig sein, wenn Sie zum Beispiel durch eine große Datei scrollen oder einen Webbrowser verwenden.

Eine Lösung für dieses Problem besteht zum Teil in der Wahl einer geeigneten Kodierung. Darüber hinaus werden nur die Änderungen übertragen, die in einem kurzen Zeitintervall angefallen sind. Der Client fordert in seiner initialen Anfrage eine bestimmte Farbtiefe vom Server. Dieser entspricht dieser Anforderung, wenn sie in seinem Angebot enthalten ist.

Die erste Version von RFP behandelte auch die Darstellung des Mauszeigers wie alle anderen zu übertragenden Daten. Das ergibt nicht nur hohe Datenraten, sondern auch eine hohe Latenz. Zwischen der Bewegung der Maus und der Darstellung auf dem Bildschirm entsteht also eine merkliche zeitliche Lücke, was für Sie als Benutzer irritierend wäre. Um diesen Punkt zu verbessern, wird ab der Version 3.8 der Mauszeiger vom Client dargestellt.

Anwendung im Virtual Network Computing

Virtual Network Computing oder VNC ist eine Implementation des RFP. Es ist plattformunabhängig und verfügbar für alle gängigen Betriebssysteme. Seit 1998 wird VNC als quelloffene Software angeboten.

Eine typische Verwendung von VNC ist die Anbindung Ihres eigenen Computers an ein Firmennetzwerk, um im Home Office arbeiten zu können. Geschäftsreisende können mit VNC von jedem Reiseziel ebenfalls auf die Ressourcen ihrer Firma zugreifen. Nicht zuletzt wird VNC oft für Supportdienstleistungen verwendet, wenn auf dem Gerät des Kunden Änderungen vorgenommen werden müssen.

VNC ist auch geeignet für die Verwendung mit einem Client geringer Leistung und deshalb ist Dateitransfer nicht als Standardfunktion enthalten. Für die Verwendung kann eine Konfiguration von Firewall oder Router erforderlich sein.

Die Sicherheit des Remote Framework Protocol und von VNC

An sich ist das Remote Framebuffer Protocol kein sicheres Protokoll, die Sicherheitsanforderungen müssen deshalb mit eigenen Maßnahmen erfüllt werden. Es ergeben sich zwei Probleme im Zusammenhang mit Informationssicherheit. Zum einen muss die Übertragung vertraulicher Daten zwischen Client und Server gesichert werden. Zum anderen sollte der Benutzer des Clients sicher sein, dass niemand eine Remote Framebuffer Protocol-Verbindung zu seinem Bildschirm hergestellt hat und ihn so überwachen kann. Vor einer solchen Überwachung möchten Sie auch oder sogar besonders dann geschützt sein, wenn sie von Ihrer Organisation durchgeführt wird.

Zur Übertragung von vertraulichen Daten wie Passwörtern kann eine Verschlüsselung auf einer tieferen OSI-Ebene eingesetzt werden. Dafür kommt eine SSL-Verschlüsselung auf der Transportschicht in Frage. Es steht mit VeNCrypt auch ein eigenes Verschlüsselungsprotokoll zur Verfügung, das besonders auf die Verwendung mit VNC optimiert ist. Eine elegante Lösung ist die Verwendung eines VPN, was mehrere Vorteile hat. Die Übertragung des Bildschirminhalts ist durch den VPN gesichert. Sie erhalten vom VPN eine neue IP-Adresse, was eine gewisse Anonymität verschafft. Schließlich kann die Verwendung eines VPN sonst möglicherweise auftretende Konfigurationsprobleme lösen.

Das andere Sicherheitsproblem ergibt sich daraus, dass ein Desktop-Sharing auch ohne das Einverständnis der Person am Client-Gerät aktiviert werden kann, wenn dem nicht eigene Riegel vorgeschoben werden. Eine Implementierung kann vom Benutzer diese Zustimmung aktiv anfordern und ein Screen-Sharing nur mit dieser Bestätigung aktivieren.

Road Warriors (englisch für Straßenkämpfer) gehören zu jener Gruppe von Mitarbeitern, die viel außerhalb des eigenen Unternehmens arbeiten und für die ein fest eingerichteter, fixer Arbeitsplatz in einem stationären Büro kaum bis gar keine Bedeutung hat. Was einen Road Warrior ausmacht, und wie er sich von Menschen unterscheidet, die im Home Office arbeiten, erfahren Sie in diesem Beitrag.

Der Begriff Road Warrior stammt aus einer Zeit, in der es die heute aus dem Arbeits- und Wirtschaftsleben nicht mehr wegzudenkenden Telekommunikationsmittel noch nicht gegeben hat. Schon vor den 1990er Jahren wurden Menschen, die beruflich viel unterwegs waren, also zum Beispiel Handelsvertreter oder Kundenberater im Außendienst als Road Warrior bezeichnet. Diese Mitarbeiter sind eigentlich nur zur Erledigung ihrer administrativen Verpflichtungen oder für wichtige Besprechungen ins Büro gekommen, oder, wenn sie Kommunikationsmittel wie das Telefax verwenden wollten. Diese technischen Ressourcen waren damals sehr teuer und nicht im Übermaß vorhanden, sondern standen an einer zentralen Stelle zur gemeinsamen Nutzung zur Verfügung.

Die Verbindung über VPN

Von besonderer Bedeutung ist, wie Sie, wenn Sie der außerhalb des Unternehmens arbeiten, auf das Netzwerk, die Programme und Dateien des Unternehmens zugreifen können. Dies erfolgt heutzutage fast immer über Remote-Desktop-Lösungen, weil es in den meisten Fällen praktischer und günstiger ist, als Software auf die einzelnen externen Computer zu spielen.

Der Zugriff von Remote-Usern auf Anwendungen des Unternehmens wird durch die Virtual-Private-Networks-Technologie (VPN-Technologie) ermöglicht. Ein virtuelles privates Netzwerk erweitert ein privates Netzwerk auf ein öffentliches Netzwerk und ermöglicht es Benutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen.

Anwendungen, die über ein VPN ausgeführt werden, können von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks profitieren. Natürlich ist die Sicherheit ein großes Thema, wenn eine Vielzahl externer Geräte auf Unternehmensressourcen zugreifen. Die Netzwerkverbindung erfolgt daher mithilfe eines verschlüsselten Tunnelprotokolls, der Road Warrior oder Mitarbeiter im Home Office muss sich identifizieren, um in das System einsteigen zu können. Diese Identifikation kann mittels eines Kennworts, biometrischer Daten (Iris-Erkennung, Fingerabdruck) oder Zwei-Faktor-Authentifizierung erfolgen.

Mit dem Aufkommen des Internets und der rasanten Verbreitung leistbarer, effizienter und mobiler Telekommunikationstechnologie in Form von Mobiltelefonen, Laptops, Smartphones und Tablets wurde die Arbeit für den Road Warrior insofern einfacher, als er noch weniger auf ein stationäres Büro bzw. einen fixen Arbeitsplatz angewiesen war. Heutzutage kann der Road Warrior praktisch alle seine administrativen Aufgaben bequem auswärts erledigen, ins Büro kommt er nur mehr für Besprechungen und zur Aufrechterhaltung der sozialen Anbindung an das Unternehmen.

Heute versteht man also denjenigen als Road Warrior, der seine Arbeit von unterwegs mit mobilen internetfähigen Geräten wie Tablets, Laptops und Smartphones erledigt. Über diese Technologien ist er mit Vorgesetzten, Mitarbeitern und Kollegen verbunden und kann mobil auf Unternehmensnetzwerke zugreifen.

Road Warriors haben eigentlich als erste vorgelebt, dass es funktionieren kann, ohne stationären Arbeitsplatz auszukommen. Ihre Art des mobilen Arbeitens hat wohl auch das Aufkommen von Arbeitsformen wie Heimarbeit (Home Office, Teleworking) unterstützt.

Unterschiedliche Arten, außerhalb des Unternehmens zu arbeiten

Die Art, wie ein Road Warrior arbeitet, würde man im Deutschen wohl als „mobiles Arbeiten“ bezeichnen. Dies ist begrifflich von der Arbeit im Home Office oder am Telearbeitsplatz zu unterscheiden. Road Warriors sind übrigens auch keine digitalen Nomaden. Darunter versteht man Menschen, die aufgrund einer persönlichen Entscheidung ohne festen Wohnsitz leben und von überall auf der Welt ausarbeiten.

Mobiles Arbeiten liegt auch dann vor, wenn Menschen, die eigentlich keine Road Warriors sind, von unterwegs oder von zu Hause aus berufliche Tätigkeiten verrichten. Dazu gehört das abendliche Lesen von E-Mails nach Arbeitsschluss, das berufliche Telefonieren im Auto, oder das Bearbeiten von Unterlagen nach Dienstschluss im privaten Umfeld.

Home Office (auch Telearbeit oder Heimarbeit genannt) lässt sich dagegen wie folgt charakterisieren: Der Beschäftigte arbeitet regelmäßig, dauerhaft und vertraglich verfestigt nicht nur ausnahmsweise zu Hause. Dabei kann es sein, dass der Arbeitnehmer vom Arbeitgeber Arbeitsmittel und -geräte beigestellt bekommt.

Was in allen Fällen wichtig ist

Zunächst muss die Art des Arbeitens rechtlich korrekt vereinbart werden, und es sind die einschlägigen Rechtsnormen einzuhalten. Weiters darf man soziale Aspekte, wie die Einbindung in das Unternehmensgefüge nicht aus den Augen verlieren.

Abgesehen von diesen Aspekten müssen aber natürlich vor allem die technischen und organisatorischen Voraussetzungen geschaffen werden, dass Home Office und mobiles Arbeiten funktionieren. So ist es wichtig, dass geeignete Hardware zur Verfügung steht, und eine leistungsstarke Internetverbindung vorhanden ist. Es sollte klar geregelt werden, wer die diesbezüglichen Kosten trägt. Dies ist in der Praxis nämlich erfahrungsgemäß immer wieder ein Streitpunkt. In der Regel wird man mit einem Mobiltelefon, einem PC, Notebook oder Laptop samt Maus und einem Bildschirm auskommen.

Bei einem Intrusion Detection Service, abgekürzt IDS, handelt es sich um ein performantes Sicherheitssystem. Es ist in der Lage, Angriffe auf einzelne Computer, Server oder auf gesamte Netzwerke automatisch zu erkennen und die verantwortlichen Administratoren darüber zu informieren. Ein Intrusion Detection System kommt in der Regel in Kombination mit einer Firewall zum Einsatz, um eine bestmögliche Sicherheit von Computer-Netzwerken und -Systemen zu gewährleisten.

Allgemeine Informationen

Ein Intrusion Detection Service ist in der Lage, Angriffe auf Computernetzwerke oder Systeme automatisch zu erkennen und Anwender oder Administrationen darüber zu informieren. Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. So können Sie beispielsweise als dedizierte Hardware im Rahmen eines Netzwerks realisiert oder auch als Softwarekomponente auf einem Betriebssystem installiert sein. Ein IDS ist von einem Intrusion Prevention System (IPS) zu unterscheiden. Während ein Intrusion Detection System Angriffe aktiv verhindert, nimmt ein Intrusion Detection System potenzielle Angriffe lediglich wahr und verhindert diese nicht aktiv.

Administratoren oder weitere Sicherheitssysteme leiten die entsprechenden Gegenmaßnahmen bei Angriffen ein, die anhand der Alarmierung durch den Intrusion Detection Service ausgelöst werden. Im Vergleich zu einer gewöhnlichen Firewall zeichnet sich ein Intrusion Detection Service durch einen besseren Schutz aus. Dies ist auf die Tatsache zurückzuführen, da ein IDS auch Angriff nach einer Penetration der Firewall erkennen und nachverfolgen kann. Um sinnvolle und vor allem wirksame Gegenmaßnahmen zur Abwehr des Angriffs zu treffen, ist es von großer Bedeutung, dass der Intrusion Detection Service genaue Informationen über die Art und Weise sowie die Herkunft der Attacke liefert. So lassen sich zum Beispiel betroffene Services oder Ports automatisch herunterfahren oder blockieren.

Verschiedene Arten im Überblick

Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. Abhängig von dem Einsatzbereich und dem zu schützenden Netzwerk bzw. Computersystem kann man grundsätzlich zwischen drei unterschiedlichen IDS-Varianten unterscheiden:

– die Host-basierten Intrusion Detection Services (HIDS)

– die Netzwerk-basierten Intrusion Detection Services (NIDS)

– die hydriden Intrusion Detection Services (IDS)

Host-basierte IDS

Die Host-basierten Intrusion Detection Systeme werden direkt auf den zu überwachenden und zu schützenden Systemen installiert und stellen die älteste Art von Angriffserkennungssystemen dar. Das IDS überwacht auf dem Host den gesamten eingehenden und ausgehenden Netzwerkverkehr und sammelt unterschiedliche Daten des Systems. Falls ein potenzieller Angriff erkannt wird, werden die betroffenen Ports oder Services auf dem jeweiligen Host automatisch geblockt und die zuständigen Administratoren oder Anwender werden darüber in Kenntnis gesetzt. Obwohl ein IDS hocheffektiv ist, kann es nicht alle Angriffe gleichermaßen gut erkennen und analysieren. Wird ein Host beispielsweise durch eine Denial of Service-Attacke außer Gefecht gesetzt, ist IDS prinzipiell unwirksam.

Vorteile:

– Sehr genaue Aussagen über die Attacken

– Hosts werden umfassend überwacht

Nachteile:

– Kann durch einen DoS-Angriff unwirksam gemacht werden

Netzwerk-basierte IDS

Netzwerk-basierte Intrusion Detection Systeme versuchen, alle ein- und ausgehenden Pakete im Netzwerk aufzuzeichnen. Diese werden automatisch analysiert, um verdächtige Aktivitäten und Muster zu erkennen. Da heutzutage der Netzwerkverkehr im hohen Maße über das Internetprotokoll realisiert wird, muss eine Attacke auch über dieses Protokoll erfolgen. Demzufolge lässt sich ein gesamtes Netzwerksegment mit nur einem Intrusion Detection System überwachen. Die Bandbreite moderner Netzwerke kann jedoch die Kapazität des IDS übersteigen. In diesem Fall müssen dann Pakete verworfen werden, weswegen eine lückenlose Überwachung nicht mehr gewährleistet werden kann.

Vorteile:

– Ein IDS kann ein gesamtes Netzwerksegment überwachen

– Durch das gezielte Ausschalten eines Zielsystems ist die Funktion des IDS nicht gefährdet

Nachteile:

– Bei Überlastung kann keine lückenlose Überwachung gewährleistet werden

– Bei verschlüsselter Kommunikation können verschlüsselte Inhalte nicht analysiert werden

Hybride IDS

Ein hybrider Intrusion Detection Service verbindet beide Prinzipien, um eine höhere Erkennungsrate von Angriffen zu ermöglichen. Bei solchen Systemen spricht man von einer Kombination Host- und Netzwerk-basierter IDS-Typen, die über ein zentrales Managementsystem gesteuert werden. Die meisten modernen IDS basieren auf einem solchen hybriden Funktionsprinzip.

 

Funktionsweise eines Intrusion Detection Service

Die Funktionsweise eines Intrusion Detection Service lässt sich grob in zwei Schritte unterscheiden, und zwar:

– Datensammlung, und

– Datenanalyse

Während Host-basierte und hybride ID Systeme unterschiedliche Quellen für ihren Datenbestand nutzen, sammeln Netzwerk-basierte IDS ihre Daten auf Basis des Datenverkehrs. Besonders wichtig ist, dass alle Daten aus zuverlässigen Quellen stammen oder vom Intrusion Detection Service selbst gesammelt werden, sodass eine Manipulation nicht möglich ist. Das IDS untersucht die gesammelten Daten nach Auffälligkeiten und bekannten Angriffsmustern. Zu diesem Zweck zieht das Intrusion Detection System Datenbanken heran, sodass es in der Lage ist, Abweichungen und vom Normalbetrieb und Anomalien mit hoher Trefferquote zu erkennen. Bei modernen IDS kommen außerdem Erkennungs- und Analyseverfahren zum Einsatz, die auf künstlicher Intelligenz basieren.

Honeypots als wichtige Bestandteile moderner IDS

Einen wichtigen Bestandteil vieler Intrusion Detection Services stellen sogenannte Honeypots dar. Dabei handelt es sich um einen Computer oder einen Service im Netzwerk, der ungesichert ist und somit einen Hackerangriff provozieren soll. Er zieht Angriffe auf sich und bietet Administratoren die Möglichkeit, die Attacken genauer zu analysieren. Anhand dieser Analysen lassen sich besserer Präventions- und Abwehrmaßnahmen entwickeln.