Beiträge

Ein Cloud Access Security Broker (CASB) ist ein Service, der als Überwachungsinstanz zwischen dem Cloud-Dienst und dem Anwender fungiert. Seine primäre Aufgabe besteht darin, einen sicheren Zugriff auf die verschiedenen Cloud-Services bereitzustellen. Ein Cloud Access Security Broker kann als eine dedizierte Anwendung oder auch selbst als ein Cloud-Dienst realisiert sein.

Cloud Access Security Broker im Detail

Ein Cloud Access Security Broker (CASB) ist für eine Reihe unterschiedlicher Aufgaben zuständig. Die zentrale Aufgabe eines solchen Brokers besteht darin, Anwendungen abzusichern, die eine Organisation oder ein Unternehmen in eine Cloud verlagert haben. Der CASB kann entweder als eine eigenständige Anwendung oder auch als ein Cloud-Service realisiert sein, der die Authentisierung und den Zugriff von Anwendern auf die Cloud-Applikationen kontinuierlich analysiert und orchestriert. Er kann Zugriffe auf einzelne Cloud-Ressourcen erlauben oder verwehren. Gleichzeitig zeichnet er alle erfolgten Zugriffe im Detail auf und sorgt für eine lückenlose Protokollierung der kompletten Kommunikation zwischen Anwender und Cloud-Dienst und aller ausgeführten Aktionen. Auf diese Weise lassen sich unerwünschte Aktionen zeitnah identifizieren und unterbinden. Der Broker ist in der Lage, verdächtige Aktionen automatisch zu erkennen und Administratoren darüber zu benachrichtigen.

In Cloud-Umgebungen, wie beispielsweise IaaS oder PaaS werden Cloud Access Security Broker in vielen Fällen eingesetzt, um die durch eine Organisation oder durch ein Unternehmen zu erfüllenden Sicherheitsstandards zu implementieren. Dadurch können unternehmensinterne Sicherheitskonzepte auf externe Services und Dienstleister erweitert werden. Dies kann beispielsweise dann notwendig sein, wenn strenge Vorlagen zum Datenschutz oder hohe Compliance-Richtlinien eingehalten werden müssen wie in bestimmten Bereichen des Gesundheits- oder des Finanzwesens. Der Cloud Access Security Broker ermöglicht die Implementierung einheitlicher und sicherer Zugangsvoraussetzungen, bei denen sich alle Anwender gegenüber der Cloud-Anwendung authentisieren müssen.

Gleichzeitig wird auch die Verschlüsselung aller übertragenen Daten vom CASB vorausgesetzt, sodass eine unerwünschte Nutzung der Cloud-Anwendungen und das Entstehen einer sogenannten „Schatten-IT“ durch offene Zugänge zur Cloud effektiv verhindert werden. Um einen wirksamen Schutz gewährleisten zu können, müssen im Vorfeld klar definierte Security-Policies implementiert werden. Der Cloud Access Security Broker ist für die Umsetzung dieser Security-Policies in der Cloud-Umgebung verantwortlich. Ein weiterer bedeutender Einsatzbereich des CASB sind die Verifizierung und Quantifizierung der Cloud-Nutzung zu Zwecken der Abrechnung. Dadurch wird die Nutzung der verschiedenen Ressourcen und Dienste gegenüber dem Cloud-Dienstleister nachweisbar.

Wie lässt sich ein Cloud Access Security Broker implementieren?

Moderne Cloud Access Security Broker sind in unterschiedlichen Versionen und Ausführungen erhältlich. Grundsätzlich lassen sich abhängig von der Implementierung zwei verschiedene Architekturen unterscheiden, und zwar:

– Gateway-basierte CASB-Lösungen

– API-basierte CASB-Lösungen

Bei dem API-basierten CASB ist die kontrollierende Instanz außerhalb des eigentlichen Datenstroms vom Cloud-Dienst und Anwender implementiert. Bei dieser Architektur erfolgt die Anbindung an die Cloud über eine API-Schnittstelle (Application Programming Interface). Diese Schnittstelle stellt Informationen über die Nutzung der Cloud-Dienste und deren Anwender zur Verfügung. Da die Kontrollinstanz außerhalb des Datenstroms implementiert ist, sind eine direkte Beeinflussung der Kommunikation oder das unmittelbare Blockieren der übertragenen Daten nicht möglich. Durch das Ausführen bestimmter Funktionen sowie durch das Setzen bestimmter Policies und Rechte findet die Kontrolle über die API statt. API-basierte CASB zeichnen sich dadurch aus, dass die Performance der kontrollierten Cloud-Anwendungen nicht durch den Cloud Access Security Broker selbst beeinflusst wird. Demzufolge ist diese CASB-Architektur in erster Linie für den Einsatz in sehr großen Cloud-Umgebungen mit einer Vielzahl von Anwendern ausgelegt.

Der Gateway-basierte CASB ist hingegen unmittelbar zwischen der Cloud und den Anwendern implementiert. Er wird an einer zentralen Stelle installiert und kann die gesamte Kommunikation beeinflussen. Da der Gateway-basierte CASB vor der Cloud platziert wird, ist er in der Lage, den gesamten Datenverkehr zur Cloud und von der Cloud genau auszuwerten und zu überwachen. Der CASB schleift sich direkt in den Datenstrom ein, sodass der Datenstrom beliebig steuerbar ist. Ein wesentlicher Nachteil dieser Art der Implementierung eines Security Brokers spiegelt sich in der Tatsache wider, dass die Performance der Kommunikationskanäle zwischen Anwender und Applikation eventuell durch die Kontrollinstanz negativ beeinflusst werden können. Große Cloud-Infrastrukturen mit vielen Anwendern benötigen einen entsprechend performanten Cloud Access Security Broker, um die negativen Auswirkungen der Verkehrskontrolle auf einem möglichst kleinen Niveau zu halten.

Moderne CASB-Lösungen stellen folgende Möglichkeiten der Absicherung der Cloud-Zugriffs bereit:

Überwachung und Kontrolle des gesamten Datenverkehrs: Mit speziellen Rechten lässt sich schnell und einfach regeln, welcher Nutzer auf welche Anwendung Zugriff erhält. Mit performanten Schutzmechanismen lassen sich besonders kritische Bereiche absichern.

– Verschlüsselung des Datenverkehrs: Ohne den organisationsspezifischen Schlüssel zu kennen, kann niemand Zugriff auf die zur und von der Cloud übermittelten Daten erhalten.

Konsolidierung wichtiger IT-Sicherheitsrichtlinien: Durch die Einbindung globaler Security-Policies werde die Sicherheitsrichtlinien auf sämtliche Cloud-Anwendungen und Zugriffe erweitert.

– Personalisierter Datenschutz: Moderne CASB-Lösungen bietet einen geräteabhängigen, selektiven Datenschutz. Daten auf Geräten lassen sich selektiv löschen, falls ein Gerät verloren oder gestohlen wird.

Dank der Analyse und der kontinuierlichen Überwachung der Kommunikation zwischen Nutzer und Anwendung ist der Cloud Access Security Broker stets darüber informiert, wer welche Applikationen und Services nutzt.

Bei Cookies handelt es sich um Datenpakete, die von Websites und Webbrowsern generiert werden, um personalisierte Nutzerdaten zu erzeugen. In den Anfangszeiten des Internets wurden sie mit dem Begriff „Magic Cookies“ bezeichnet. Der Begriff bezog sich jedoch auf alle Datenpakete, die zwischen Computerprogrammen über ein lokales Netzwerk ausgetauscht wurden. Mit dem Aufkommen des World Wide Web und der Entwicklung des Hypertext Transfer Protokolls wurden jene Datenpakete in das HTTP-Protokoll integriert, mit deren Hilfe Webanwendungen individuelle Nutzerdaten sammeln, um beispielsweise das Surfverhalten zu analysieren oder Nutzerdaten in Webapplikationen zu speichern.

Allgemeine Informationen zu Cookies

Es handelt es sich um ein Datenpaket, das zwischen unterschiedlichen Softwareanwendungen ausgetauscht wird. Mit dem Begriff werden in der Regel HTTP-Cookies bezeichnet, mit deren Hilfe Websites personalisierte Nutzerdaten speichern, um diverse Features und Funktionalitäten zur Verfügung zu stellen. Konkret bedeutet das, dass eine Website anhand eines Cookies erkennt, wer sie gerade besucht. Dadurch kann eine Website personalisierte Funktionen bereitstellen und sich an die Nutzerbedürfnisse in gewissem Rahmen anpassen. Die Speicherung von Daten haben nicht nur einen spürbaren Effekt auf den Nutzer, sondern spielen inzwischen auch eine äußerst wichtige Rolle im Online-Marketing.

Welche Daten speichern sie?

Cookies sind kleine textuelle Dateien, die der Webbrowser lokal auf dem Computer des Webseitenbesuchers speichert. In der Regel wird ein Cookie isoliert im Browser-Verzeichnis gespeichert, sodass andere Anwendungen keinen Zugriff erhalten. Sobald Sie eine Website zum ersten Mal besuchen, wird auf Ihrem Computer ein neuer generiert. In diesem werden fortan alle von der jeweiligen Website erfassten Informationen gespeichert.

Die Informationen sind in Attribute eingeteilt, die einzeln gelesen und gespeichert werden können. Zu den wichtigsten Attributen gehören:

– Der Domainname der Website, auf die der Cookie referenziert. Dabei können Webseitenbesuche auch mehrere  generieren, wenn zum Beispiel Videodateien auf einem anderen Server gehostet werden.

– Eine einzigartige Nummer, die zufällig generiert wird und eindeutig Ihren Computer identifiziert. Diese Attribute werden in erster Linie von Webanwendungen, wie beispielsweise E-Mail-Diensten, Onlinebanking oder Onlineshops genutzt. Dadurch „erinnert“ sich die entsprechende Webseite an Sie, sodass Sie beispielsweise nicht bei jedem Seitenaufruf ihre E-Mail-Zugangsdaten manuell eingeben müssen.

 

– Persönliche Einstellungen wie Sprache und andere Präferenzen. Webseitenbetreiber möchten ihre Nutzer nicht immer explizit dazu zwingen, bei jedem Seitenaufruf die Website erneut an ihre persönlichen Anforderungen und Bedürfnisse anzupassen. Aus diesem Grund werden solche Einstellungen in Cookies gespeichert und bei Bedarf ausgelesen.

– Die Zeit, die der Nutzer auf der Website und den einzelnen Unterseiten verbringt. Diese Informationen werden gerne für Optimierungen der Webseite und diverse statistische Auswertungen genutzt.

– Unterschiedliche Metadaten, wie beispielsweise das Verfallsdatum eines Cookies oder die Sicherheitsspezifikationen und eingesetzten Protokolle. Einige werden sofort nach dem Verlassen der Website gelöscht, während andere Cookies jahrelang auf dem Computer gespeichert werden.

Warum werden sie gespeichert?

Obwohl ein Cookie in vielen Fällen auf der Client-Seite gespeichert wird, haben Seitenbetreiber die Möglichkeit eine Kopie des Cookies zu erhalten und diesen auf dem Server zu speichern. Cookies werden in erster Linie genutzt, um ein nutzerfreundlicheres World Wide Web bereitzustellen. Dieses ist in der Lage die Surfgewohnheiten einzelner Nutzer zu erfassen und die Funktionalitäten und Features der besuchten Webseiten darauf abzustimmen. Die in den Cookies erfassten Daten sind jedoch nicht nur für Seitenbetreiber interessant. Durch Cookies kann das Surfverhalten der Nutzer analysiert werden, wodurch das Anlegen einzelner Nutzerprofile möglich ist. Diese Nutzerprofile kommen in erster Linie im Online-Marketing und Targeting zum Einsatz und ermöglichen so eine personalisierte Werbung im World Wide Web.

Third-Party Cookies

In diesem Zusammenhang kommen sogenannte Third-Party Cookies zum Einsatz. Diese werden in der Regel unbemerkt von Dritten in den Browser der Nutzer gesetzt, um ihr Surfverhalten auszuspähen. Wenn Sie beispielsweise häufig Webseiten zum Thema PC-Gaming besuchen, werden Ihnen wahrscheinlich bald Werbeanzeigen zu Grafikkarten angezeigt, und das auch auf Websites, die mit dem eigentlichen Thema überhaupt nichts gemeinsam haben. Ein anderer Besucher sieht auf derselben Website eine andere Werbung, da sein Nutzerprofil Interesse an einem anderen Themenbereich bekundet. Gegen solche Cookies gibt es mittlerweile einige effektive Methoden, um sie zu blockieren und sofort zu entfernen. So können Sie beispielsweise Third-Party Cookies in den Einstellungen des jeweiligen Browsers automatisch per JavaScript entfernen lassen. Sie können sogar das Sammeln von Cookies vollständig deaktivieren. Wie Sie mit den Dateien letztendlich umgehen, hängt primär von Ihrem Surfverhalten und Ihrem Interesse am Schutz Ihrer Privatsphäre ab.

Datenschutz-Aspekte

Die Datenschutz-Debatte offenbart, dass nach wie vor Uneinigkeit darüber herrscht, wie Cookies am besten zu behandeln sind. Sie sollten in erster Linie das Surfen im World Wide Web erleichtern. Aus diesem Grund ist es nicht ratsam, Cookies vollständig zu deaktivieren. Allerdings können Sie jede Website, die Cookies auf Ihrem Computer speichern möchte, kritisch betrachten. Alle modernen Browser erlauben die Blockierung bestimmter Cookies. Dies sollten Sie sich zunutze machen und auf Websites, auf denen Sie sich nicht sicher fühlen, das Speichern von Cookies verwehren.

Mit einem Remote Desktop Manager oder RDM kann man ein ganzes System von Servern und anderen Geräten zentral verwalten, konfigurieren und überwachen. Werkzeuge wie ein RDM werden mit neuen Formen der Arbeit eine immer wichtigere Rolle spielen.

Was ist ein Remote Desktop?

Die Arbeitsumgebung eines Desktop Computers besteht aus einem Gerät in der unmittelbaren Nähe. Über einen Bildschirm, eine Tastatur und eine Maus steuern Sie das Gerät und tauschen über die Ein- und Ausgabemöglichkeiten Daten mit ihm aus. Die Remote Version weist nur den Unterschied auf, dass Ihre Peripheriegeräte über das Internet mit dem Computer verbunden sind. Die Arbeitsweise ist also völlig gleich, nur die Distanz ist viel größer, über die alle Informationen in beide Richtungen übertragen werden.

Wozu braucht man einen RDM oder Remote Desktop Manager?

Bereits seit längerer Zeit werden solche Setups für reisende Mitarbeiter verwendet oder auch dann, wenn Personen nicht im Firmengebäude selbst arbeiten müssen oder wollen. Sind solche Fälle eher selten, lassen sich die notwendigen IT-Konfigurationen noch ohne besondere Werkzeuge bewältigen.

Aktuell ist es die Coronakrise, die das Arbeiten im Homeoffice in den Vordergrund rückt. Ein Grund für die Nutzung eines Remote Desktops ist die geringere Wahrscheinlichkeit einer Ansteckung.

Auch ohne diese aktuelle Entwicklung haben aber immer mehr Firmen und Einzelpersonen den Trend zu New Work im Blick. Darunter versteht man mehr eigenverantwortliches Arbeiten, was sich natürlich auch auf die Wahl des Arbeitsorts erstreckt. Ein Remote Desktop ist die technische Grundlage dafür, dass Informationsverarbeitung durch Ihre Mitarbeiter ortsunabhängig geleistet werden kann.

Welche Geräte werden mit einem RDM gesteuert und verwaltet?

Traditionell arbeiten Ihre Mitarbeiter auf Geräten, die ihnen die Firma zur Verfügung stellt. Damit hat das Unternehmen auch einfachere Möglichkeiten zur Verwaltung der gesamten IT.

Heute gibt es aber auch die Möglichkeit des BYOD, was für ‚Bring Your Own Device‘ steht. Jeder Mitarbeiter verwendet dann sein eigenes Gerät und kann die Hardware, das Betriebssystem und zumindest zum Teil auch die Anwenderprogramme selbst auswählen. Sind Lizenzen erforderlich oder muss von mehreren Mitarbeitern dasselbe Programm verwendet werden, schränken solche Vorgaben die Wahl natürlich ein. Auch dann können verschiedene Gruppenmitglieder aber beispielsweise verschiedene Texteditoren je nach Vorliebe verwenden.

Dieser Trend ist nichts anderes als die Übertragung einer traditionellen Idee in den IT-Bereich. Ein BYOD für die Verwendung des eigenen Autos für geschäftliche Zwecke gibt es schon lange.

BYOD für informationsverarbeitende Geräte hat Vorteile wie die Beschränkung auf ein Gerät, das auf Reisen alle Bedürfnisse abdeckt. Außerdem sind viele Mitarbeiter einfach produktiver, wenn sie sich ihre Werkzeuge selbst aussuchen können.

Zu den Nachteilen von BYOD gehören mögliche Probleme im Bereich der Informationssicherheit. Für die Bewältigung dieses Problems eignet sich ein Remote Desktop Manager, denn mit eigenen Geräten wird die Informationssicherheit im Unternehmen zu einer wesentlich größeren Herausforderung.

Funktionalität eines Remote Desktop Manager

Ein RDM oder Remote Desktop Manager ist als Softwarelösung für die Einrichtung, Konfiguration und Überwachung von einem oder mehreren Remote Desktops geeignet. Mit ihm können Sie auch eine größere Zahl von Servern zentral von einer Plattform aus kontrollieren. Das Werkzeug RDM unterstützt die verschiedenen Verbindungsprotokolle, die für den Remote Desktop zum Einsatz kommen können.

 

Die Zugangsdaten wie Passwörter werden in einem zentralen und besonders gesicherten Vault gespeichert. Für besondere Sicherheit kann auch eine Zweifaktor-Authentifizierung eingesetzt werden. Einzelnen Teammitgliedern können Sie genau abgestimmte oder granulierte Zugangsrechte einräumen. Je nach Bedarf können Teammitglieder dieselbe Sitzung auf einem Server miteinander teilen und gemeinsam darauf zugreifen.

Für den Benutzer eines Remote Desktop Managers steht eine integrierte Visualisierungskonsole zur Verfügung. Nachdem auch IT-Manager oft unterwegs sind, wurden Apps entwickelt, über die sie mit dem System Verbindung aufnehmen können.

Damit gesetzliche Bedingungen eingehalten werden können und Sie einen Überblick über Ihre gesamte IT behalten, sind im RDM Möglichkeiten zur Erstellung von Reports nach frei wählbaren Kriterien integriert. Die Grundlage dafür sind die Logdateien, die automatisch geführt werden.

Für einzelne User steht eine Freeware Version des Remote Desktop Manager zur Verfügung. Erst für die Enterprise Version für mehrere Nutzer fallen tatsächlich Kosten an. Für das Kennenlernen des Systems können Sie eine Trialversion ausprobieren und sehen, welche Vorteile ein Remote Desktop Manager oder RDM für Sie und Ihr Unternehmen bietet.

Das Coronavirus verändert die Arbeitswelt: Viele Menschen gehen nicht mehr ins Büro, sondern arbeiten direkt von zu Hause im Home-Office. Wenn Sie auch zu diesen Menschen gehören, finden Sie es eventuell entlastend, wenn Sie nicht jeden Tag ins Büro fahren müssen. Hier erfahren Sie, wie Sie mit Ihrem Computer sicher im Home-Office arbeiten können und wie Sie per Fernsteuerung Support und Hilfe mit Ihrem PC erhalten oder mit diesem auf das Firmennetzwerk zugreifen.

Das sollten Sie bei Home-Office beachten

Durch das Coronavirus wurde der Trend zum Home-Office evident: In dieser Zeit setzten nicht nur die Big Player wie Microsoft, Siemens, Google und andere große Unternehmen auf Home-Office, sondern auch der Mittelstand und kleinere Unternehmen. Damit Sie Ihre Arbeit von zu Hause aus zuverlässig, sicher und effizient erledigen können, sind beispielsweise Tools zur Fernsteuerung sinnvoll. Diese erlauben Ihnen über ein sogenanntes Remote-Desktop-Programm die Fernsteuerung Ihres Büro-PCs direkt von zu Hause aus. Alternativ können Sie sich per VPN über eine sichere Netzwerkverbindung in das Firmennetz einloggen. Eine dritte Möglichkeit besteht in der Installation Ihrer im Büro genutzten Programme auf dem heimischen PC, damit können Sie Ihre Daten bearbeiten und zurück an Ihre Firma schicken.

Per Fernsteuerung auf dem Bürocomputer arbeiten

Ein Remote-Desktop-Programm erlaubt Ihnen, direkt vom heimischen PC am Computer im Büro zu arbeiten. Sie sehen auf dem Monitor den Desktop Ihres Bürocomputers und der Mauszeiger wird über den PC gesteuert. Es gibt einige Programme, die Ihnen diese Fernsteuerung erlauben. Zu diesen gehören TeamviewerAnydesk oder 3CXWebMeeting. Sie installieren die dafür notwendige Software sowohl auf Ihrem heimischen PC als auch auf Ihrem Bürocomputer.

Eine Geräte-ID sorgt dann für eine sichere Verbindung zwischen den beiden Geräten. Ursprünglich wurden diese Remote-Desktop-Programme zur Fernwartung von Computern entwickelt: Sie können damit entweder Software installieren oder einen entfernt lebenden Bekannten oder Freund bei einem Computerproblem Hilfe leisten, vorausgesetzt, dieser erlaubt den Zugriff auf seinen Computer per Remote-Desktop-Tool.

Das sollten Sie bei der Installation beachten

Sobald Sie das Remote-Desktop-Programm auf Ihrem Bürocomputer installiert haben, sollten Sie die Funktion „unbeaufsichtigter Zugriff“ aktivieren. In Verbindung mit einem sicheren Passwort können Sie diesen dann von zu Hause aus sicher steuern. Sie brauchen lediglich die Geräte-ID und Ihr sicheres Passwort für den Zugang zu Ihrem Bürocomputer.

Achtung: Damit die Fernsteuerung auch bei längerer Abwesenheit im Büro funktioniert, muss der Bürocomputer selbstverständlich eingeschaltet sein und bleiben. Damit sich dieser selbst nach einem Stromausfall wieder startet, müssen Sie die Funktion „Restore on Power Loss im BIOS aktivieren. Per Wake-on-LAN wecken Sie den Bürocomputer wieder auf, falls er sich bei Nichtbenutzung schlafen gelegt hat. Sind Sie länger abwesend und arbeiten vom Home-Office aus, sollten Sie diese Funktion testen.

Sichere Remote-Desktop-Software für Support und Außendienst

Die Fernsteuerung des Computers gelingt via WebMeeting Remote Control Client. Mit dieser stellen Sie eine sichere Verbindung her und können bei Bedarf entsprechenden Support leisten oder unterwegs per Laptop auf Dienstleistungen und Produkte im Firmencomputer zugreifen und diese vorführen. Damit Ihre Daten und anderen Informationen wirklich sicher sind, sollten die Zugriffe nur für autorisierte Nutzer möglich und gleichzeitig verschlüsselt sein. Falls ein unbekannter Nutzer Zugriff per Fernsteuerung auf Ihre sensiblen Daten bekommt, kann das weit reichende Folgen haben.

Das WebRTC-Protokoll von Google macht die Fernsteuerung einfach

Seit Google dasWebRTC-Protokoll eingeführt hat, ist die Fernsteuerung von Computern noch einmal leichter geworden. Musste die Software vorher auf beiden Geräten installiert werden, reicht jetzt ein einfaches Plugin. Mit der Software von 3CXWebMeeting bekommen Sie eine Remote-Desktop-Funktion und können weltweit eine sichere Verbindung herstellen und erhalten per Fernsteuerung Zugriff auf den entsprechenden Computer. Sie brauchen dafür lediglich das Programm zu starten und bitten Ihr Gegenüber um die Erlaubnis, seinen PC per Fernsteuerung zu bedienen. Hat dieser das dafür nötige PlugIn installiert, können Sie auf dessen Computer die Fehler aufspüren oder den gewünschten Support leisten.

Die Daten sind sicher und geschützt

Soll die firmeneigene IT von einem Dienstleister gewartet werden, gilt es, die Verträge dabei entsprechend der DSGVOund den Vorgaben des BDSG zu gestalten. Ein solcher Fernwartungsvertrag erlaubt es dem IT-Dienstleister, per Fernsteuerung auf die Firmencomputer zuzugreifen. Das ist auf der einen Seite gewünscht, darf aber auf der anderen Seite nicht dazu führen, dass dieser auf personenbezogene Daten zugreifen kann. Daher muss der Dienstleister „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig“ ausgesucht werden, heißt es beispielsweise im Paragraph 11 Abs. 2 S.1 BDSG. Das gilt nicht nur für die besonders sensiblen Daten beispielsweise im Gesundheitsbereich, sondern auch für alle personenbezogenen Daten. Eine regelmäßige Überprüfung des Dienstleisters nach Paragraph 11 Abs. 2 S.4 BDSG ist daher unumgänglich und muss auch dokumentiert werden.

Per Remote Desktop per Fernsteuerung arbeiten

Ein Remote Desktop erlaubt die Fernsteuerung des Unternehmenscomputers über den heimischen PC oder ein mobiles Gerät. Das ist nicht nur für Fehlersuche, sondern auch für eine sichere und effiziente Arbeit im Home-Office sinnvoll und macht New Work erst möglich.

Bei dem Simple Network Management Protocol (SNMP) handelt es sich um ein sogenanntes Netzwerkverwaltungsprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wird. Das Protokoll wird zur Konfiguration und Steuerung sowie zum IT-Monitoring von netzwerkfähigen Geräten eingesetzt. Das können beispielsweise Switches, Firewalls, Router aber auch Drucker, Computer oder Server sein.

Allgemeine Informationen zu SNMP

Das Simple Network Management Protocol (SNMP) basiert auf dem Grundkonzept, der den Informationsaustausch zwischen Clients und einer zentralen Instanz über Netzwerkpakete vorsieht. Solche Informationen können sowohl die Form von Status- oder Statistikdaten übernehmen als auch als Konfigurations- und Steuerungsdaten übermittelt werden. Das Simple Network Management Protocol (SNMP) beschreibt dabei die exakte Zusammensetzung der Datenpakete und den genauen Ablauf der gesamten Kommunikation. Vergleichbare Konkurrenztechnologien sind Zabbix, Nagios, PRTG und Solarwinds. Im Laufe der Jahre wurde SNMP kontinuierlich weiterentwickelt und zahlreichen Verbesserungen und Optimierungen unterzogen, sodass heutzutage viele verschiedene Versionen existieren. Aktuelle Versionen bieten Unterschätzung für performante Sicherheitsmechanismen wie Verschlüsselung, Authentifizierung und Validierung.

Mögliche Einsatzbereiche von SNMP sind beispielsweise:

–       die kontinuierliche Überwachung von netzwerkfähigen Komponenten

–       die Steuerung und die Konfiguration von netzwerkfähigen Geräten aus der Ferne

–       die Übermittlung von Fehlern

Die Vorteile des Simple Network Management Protocol spiegeln sich in der Einfachheit und der Modularität wider. Dank dieser Charakteristiken hat sich SNMP im Laufe der Jahre als Standard etabliert und wird von einer Vielzahl an netzwerkfähigen Geräten und Netzwerkmanagement-Anwendungen unterstützt.

Kommunikation zwischen Clients und Manager

Im Rahmen des Netzwerkverwaltungsprotokolls kommunizieren die Agenten der einzelnen Geräte mit einem oder mehreren zentralen Instanzen, die auch als Manager bezeichnet werden. Die Agenten werden als Software-Programme realisiert, die direkt auf den Endgeräten laufen. Die Software ist in der Lage, den Status und die Konfiguration in Echtzeit zu erfassen und bestimmte Aktionen auszuführen oder Einstellungen am Gerät vorzunehmen.

Bei dem Manager hingegen handelt es sich um eine Software, die auf einem Server installiert ist und von dort aus mit den Agenten kommuniziert und deren Statusmeldungen entgegennimmt. Die gesamte Kommunikation zwischen Agenten und Manager wird über SNMP realisiert. Die typische Kommunikation wird auf folgende Weise umgesetzt: Der Manager schickt einen Request an den Agenten. Dieser führt den Request aus und beantwortet dann die Anfrage mit einem Response-Paket. Des Weiteren ist der Agent in der Lage, unaufgeforderte Informationen über sogenannte „Traps“ zu versenden. Diese kommen in der Regel bei kritischen oder unvorhergesehenen Vorfällen zum Einsatz.

 

Die verschiedenen Nachrichtentypen im Überblick

Um eine möglichst große Bandbreite an unterschiedlichen Funktionalitäten zu bieten, sind im Rahmen des SNMP-Standards unterschiedliche Pakettypen definiert. Die wichtigsten sind:

–       GET-REQUEST: Diese Request dient zum Anfordern von Informationen

–       GETNEXT-REQUEST: Diese Request kommt zum Einsatz, um weitere Daten der Management Information Base (MIB) zu beantragen

–       GETBULK: Mit dieser Request ruft der Manager mehrere Datensätze gleichzeitig an

–       SET-REQUEST: Hiermit werden Daten zum Verändern oder Konfigurationsinformationen eines Netzwerkelements angefordert

–       GET-RESPONSE: Mit dieser Request wird die Antwort auf eine Anfrage bestätigt

Alle GET-Pakete sendet der Manager explizit an den Agenten. Mit den Response-Paketen werden die Request beantwortet oder bestätigt und beinhalten in der Regel die angeforderten Informationen. Eine Besonderheit stellen die sogenannten „TRAP-Pakete“ dar. Diese können von dem Manager nicht bestätigt werden, sodass der Agent nicht feststellen kann, ob diese auch tatsächlich angekommen sind. Die Datenübertragung im Rahmen von SNMP nutzt die darunterliegenden TCP/IP und UDP-Protokolle sowie die Ports 161 und 162.

Management Information Base (MIB)

Bei der Überwachung und Steuerung der Netzwerkgeräte durch SNMP kommt der Management Information Base (MIB) eine zentrale Rolle zu. Bei der MIB handelt es sich um eine Art Datenbank, in der alle relevanten Daten abgelegt sind und über die Bereitstellung von Informationen läuft. Konkret bedeutet das, dass die MIB die Datenbasis repräsentiert, die in einem Netzwerkgerät vorhanden ist und sich per SNMP abfragen lässt. In der Regel kommt die Standard-MIB zum Einsatz. Es existieren jedoch auch zahlreiche Erweiterungen und herstellerspezifische Anpassungen.

Auch die nachfolgende Version SNMPv2 brachte keine wesentlichen Sicherheitsmechanismen. Die V2-Version ist mit zusätzlichen Funktionen ausgestattet. Die wichtigste davon ist GETBULK, mit der gleichzeitig mehrere Informationen abgefragt werden. Des Weiteren bietet SNMPv2 neben TCP/IP und UDP auch Unterstützung für weitere Netzwerkprotokolle, wie beispielsweise Appletalk oder IPX.

 

SNMP-Versionen im Detail

Die erste Version des Netzwerkverwaltungsprotokolls zum Monitoring netzwerkfähiger Geräte wurde bereits im Jahr 1988 erarbeitet. Diese Version hatte jedoch mit einigen Problemen zu kämpfen. So war eines der größten Probleme der ersten Version die fehlende Implementierung von Sicherheitsmechanismen. Aufgrund der fehlenden Sicherheit könnten Cyberkriminelle die Kommunikation zwischen dem Manager und dem Agenten abhören. Auch das Passwort konnte man leicht herausfinden, da es unverschlüsselt über das Netzwerk übertragen wurde.

Bedeutende Sicherheitsmechanismen wurden erst im Rahmen von SNMPv3eingebunden. Diese Version kam mit einer Username- und Passwort-Verschlüsselung sowie mit einer leistungsstarken Verschlüsselung der übertragenen Daten. Zusätzlich kamen noch mehr Konfigurationsoptionen hinzu.

Bei IPsec handelt es sich um eine Erweiterung des Internet-Protokolls (IP), das als Alternative zu OpenVPN eingesetzt wird. IPsec bereichert das Internet-Protokoll mit leistungsstarken Authentifizierungs- und Kryptographie-Mechanismen, wodurch das IP die Fähigkeit erhält, IP-Pakete verschlüsselt über öffentliche und unsichere Netzwerke zu transportieren. IPsec wurde ursprünglich von der Internet Engineering Task Force (IETF) ausschließlich für IPv6 (Internet-Protokoll Version 6) spezifiziert. Weil das IPv4 über keine Sicherheitsmechanismen verfügte, wurde IPsec nachträglich auch für das IPv4 entwickelt.

Allgemeine Informationen zu IPsec

IPsec wird grundsätzlich bei Gateway-zu-Gateway-Szenarien eingesetzt, also bei der Verbindung zwischen zwei Netzen über ein drittes, ungesichertes Netzwerk. Ebenso gut lässt sich IP-Security auch im Rahmen eines Host-zu-Gateway-Szenarios einsetzen, wobei die hohe Komplexität von IPsec und einige andere Aspekte von TCP/IP an dieser Stelle in manchen Fällen Probleme bereiten können. Eher untypisch ist der Einsatz von IP-Security bei Host-zu-Host-Szenarien, ist aber ebenso möglich. Typische Einsatzszenarien im Überblick:

–       Site-to-Site-VPN / Gateway-to-Gateway-VPN

–       End-to-Site-VPN / Host-to-Gateway-VPN

–       End-to-End-VPN / Remote-Desktop-VPN / Peer-to-Peer-VPN

IP-Security zeichnet sich durch den Nachteil aus, dass es nur in der Lage ist, IP-Funktionalitäten für die Konfiguration von IP-Adressen, Subnetzmasken und DNS-Server nicht vorhanden sind. Aus diesem Grund ist es sinnvoll, für die Realisierung eines VPN-Tunnels außer IPsec auch andere Lösungen, wie beispielsweise SSL-VPN, zu verwenden. IP-Security setzt sich aus folgenden Bestandteilen zusammen:

–       Interoperabilität

–       Schutz übertragener Daten

–       Datenintegrität

–       Verschlüsselung

–       Bestätigung und Verwaltung kryptografischer Schlüssel

–       Authentifizierung des Absenders

Vertrauensstellungen / Security Association

Der Hauptbestandteil von IP-Security sind die Vertrauensstellungen (Security Association), die zwischen zwei Kommunikationspartnern realisiert werden. Eine Vertrauensstellung muss nicht unbedingt an den teilnehmenden Clients implementiert werden. In vielen Fällen reicht es auch aus, wenn beispielsweise bei der Kopplung zweier Netzwerke die beiden Netzwerk-Router mit einer Vertrauensstellung versehen sind. In einer Verbindung können selbstverständlich auch mehrere Vertrauensstellungen vorhanden sein. Durch die Vertrauensstellung werden alle Aspekte der Kommunikation von IPsec geregelt. Da sich die Vertrauensstellungen äußerst flexibel konfigurieren lassen, erfordern diese einen sehr hohen Konfigurationsaufwand.

 

Um eine gesicherte Verbindung zwischen zwei Entitäten herstellen zu können, müssen zunächst auf beiden Seiten einige wichtige Parameter ausgetauscht werden. Hierzu gehören:

–       der Schlüssel

–       der eingesetzte Verschlüsselungsalgorithmus (MD5, 3DS, AES)

–       die Gültigkeitsdauer der jeweiligen Schlüssel

–       Art der gesicherten Verbindung (Verschlüsselung oder Authentifizierung)

Eine Vertrauensstellung wird durch den Austausch von vorab definierten Schlüsseln hergestellt. Eine andere Form der Vertrauensstellung ist die Vergabe von Sicherheits-Zertifikaten durch eine zentrale Trust-Entität oder einen dedizierten Zertifikat-Server. Durch den Einsatz von Schlüsseln und Zertifikaten soll sichergestellt werden, dass man auch derjenige ist, für wen man sich ausgibt. Dieses Verfahren wird mit dem Begriff Authentifizierung bezeichnet und komme im Rahmen aller modernen Verschlüsselungs-Mechanismen zum Einsatz. Schlüssel und Zertifikate lassen sich mit einem Personalausweis vergleichen, mit dem man gegenüber anderen Personen seine Identität bestätigt.

Verschlüsselung und Tunneling bei IPsec

Die wichtigsten Funktionen, die eine IPsec-Architektur bereitstellt, sind das ESP-Protokoll (Encapsulating Security Payload), das AH-Protokoll (Authentification Header) sowie die Schlüsselverwaltung (Key Management). Integrität, Authentizität und Vertraulichkeit werden im Rahmen von IP-Security durch ESP und AH umgesetzt. Die beiden Protokolle ESP und AH können entweder gemeinsam als auch eigenständig im Rahmen einer IPsec-Infrastruktur eingesetzt werden. Beide Verfahren gewährleisten eine gesicherte Übertragung der Daten. Das AG-Verfahren wird bei der Authentifizierung der übertragenen Daten eingesetzt, während ESP die Datensicherheit in Bezug auf den gewählten Verschlüsselungsalgorithmus erhöht. Bei IPsec werden keine bestimmten Authentifizierungs- und Verschlüsselungsverfahren vorausgesetzt. Aus diesem Grund kommt es häufig zu Problemen, wenn unterschiedliche VPN-Lösungen zusammenarbeiten müssen.

Die Verwaltung von Schlüsseln

Es gibt zwei Möglichkeiten, Schlüssel innerhalb eines VPNs zu verwalten und zu verteilen. Neben der manuellen Schlüsselverwaltung, können auch automatisierte Lösungen eingesetzt werden, wie beispielsweise das Internet Key Exchange Protocol (IKE). Bevor die netzwerkübergreifende Kommunikation geschützt werden kann, müssen sich die Kommunikationspartner auf den Schlüssel und Verschlüsselungsverfahren einigen. Diese äußerst wichtigen Parameter sind Bestandteile der Vertrauensstellungen und werden von dem IKE automatisch verwaltet und ausgehandelt.

Das Internet Key Exchange Protocol wird für die automatische Verwaltung von Schlüsseln innerhalb einer IPsec-Infrastruktur verwendet. Es basiert auf dem Diffie-Hellman-Verfahren zur sicheren Erzeugung von kryptografischen Schlüsseln über ein ungesichertes Netzwerk. IKE nutzt außerdem das Internet Security Association and Key Management Protocol, welches das Verhalten aller beteiligten Kommunikationspartner genau festlegt.

Probleme mit Network Adress Translation (NAT)

Der automatische Schlüsselaustausch mit IKE kann an den beteiligten NAT-Routern scheitern. Wenn Netzwerkgeräte in lokalen Netzwerken mit privaten IP-Adressen versehen sind und über NAT-Router in das Internet gehen, dann kann IPsec in Kombination mit NAT Probleme verursachen. Durch NAT wird ein IPsec-Paket mit einer neuen IP-Adresse versehen und einem anderen Quell-Port. Das Problem dabei spiegelt sich in der Tatsache wider, dass wenn, ein IPsec-Paket verändert wird, dann wird es automatisch ungültig. Durch diese Änderung kann die Integrität des Pakets nicht mehr gewährleistet werden, sodass es verworfen wird. Die direkte Folge ist, dass sich so keine Verbindung aufbauen lässt. Ein weiteres Problem ist, dass die Ausgangs-IP-Adresse und TCP-Ports durch den Einsatz von IPsec verschlüsselt sind, sodass sie der NAT-Router nicht auslesen kann. Um solche Probleme zu verhindern, sind aktuelle Router-Modelle mit dem sogenannten „IPsec-Passthrough-Verfahren“ ausgestattet, bei dem die Ausgangs-Ports nicht verändert werden.