Beiträge

Mit einem Remote Desktop Manager oder RDM kann man ein ganzes System von Servern und anderen Geräten zentral verwalten, konfigurieren und überwachen. Werkzeuge wie ein RDM werden mit neuen Formen der Arbeit eine immer wichtigere Rolle spielen.

Was ist ein Remote Desktop?

Die Arbeitsumgebung eines Desktop Computers besteht aus einem Gerät in der unmittelbaren Nähe. Über einen Bildschirm, eine Tastatur und eine Maus steuern Sie das Gerät und tauschen über die Ein- und Ausgabemöglichkeiten Daten mit ihm aus. Die Remote Version weist nur den Unterschied auf, dass Ihre Peripheriegeräte über das Internet mit dem Computer verbunden sind. Die Arbeitsweise ist also völlig gleich, nur die Distanz ist viel größer, über die alle Informationen in beide Richtungen übertragen werden.

Wozu braucht man einen RDM oder Remote Desktop Manager?

Bereits seit längerer Zeit werden solche Setups für reisende Mitarbeiter verwendet oder auch dann, wenn Personen nicht im Firmengebäude selbst arbeiten müssen oder wollen. Sind solche Fälle eher selten, lassen sich die notwendigen IT-Konfigurationen noch ohne besondere Werkzeuge bewältigen.

Aktuell ist es die Coronakrise, die das Arbeiten im Homeoffice in den Vordergrund rückt. Ein Grund für die Nutzung eines Remote Desktops ist die geringere Wahrscheinlichkeit einer Ansteckung.

Auch ohne diese aktuelle Entwicklung haben aber immer mehr Firmen und Einzelpersonen den Trend zu New Work im Blick. Darunter versteht man mehr eigenverantwortliches Arbeiten, was sich natürlich auch auf die Wahl des Arbeitsorts erstreckt. Ein Remote Desktop ist die technische Grundlage dafür, dass Informationsverarbeitung durch Ihre Mitarbeiter ortsunabhängig geleistet werden kann.

Welche Geräte werden mit einem  RDM gesteuert und verwaltet?

Traditionell arbeiten Ihre Mitarbeiter auf Geräten, die ihnen die Firma zur Verfügung stellt. Damit hat das Unternehmen auch einfachere Möglichkeiten zur Verwaltung der gesamten IT.

Heute gibt es aber auch die Möglichkeit des BYOD, was für ‚Bring Your Own Device‘ steht. Jeder Mitarbeiter verwendet dann sein eigenes Gerät und kann die Hardware, das Betriebssystem und zumindest zum Teil auch die Anwenderprogramme selbst auswählen. Sind Lizenzen erforderlich oder muss von mehreren Mitarbeitern dasselbe Programm verwendet werden, schränken solche Vorgaben die Wahl natürlich ein. Auch dann können verschiedene Gruppenmitglieder aber beispielsweise verschiedene Texteditoren je nach Vorliebe verwenden.

Dieser Trend ist nichts anderes als die Übertragung einer traditionellen Idee in den IT-Bereich. Ein BYOD für die Verwendung des eigenen Autos für geschäftliche Zwecke gibt es schon lange.

BYOD für informationsverarbeitende Geräte hat Vorteile wie die Beschränkung auf ein Gerät, das auf Reisen alle Bedürfnisse abdeckt. Außerdem sind viele Mitarbeiter einfach produktiver, wenn sie sich ihre Werkzeuge selbst aussuchen können.

Zu den Nachteilen von BYOD gehören mögliche Probleme im Bereich der Informationssicherheit. Für die Bewältigung dieses Problems eignet sich ein Remote Desktop Manager, denn mit eigenen Geräten wird die Informationssicherheit im Unternehmen zu einer wesentlich größeren Herausforderung.

Funktionalität eines Remote Desktop Manager

Ein RDM oder Remote Desktop Manager ist als Softwarelösung für die Einrichtung, Konfiguration und Überwachung von einem oder mehreren Remote Desktops geeignet. Mit ihm können Sie auch eine größere Zahl von Servern zentral von einer Plattform aus kontrollieren. Das Werkzeug RDM unterstützt die verschiedenen Verbindungsprotokolle, die für den Remote Desktop zum Einsatz kommen können.

 

Die Zugangsdaten wie Passwörter werden in einem zentralen und besonders gesicherten Vault gespeichert. Für besondere Sicherheit kann auch eine Zweifaktor-Authentifizierung eingesetzt werden. Einzelnen Teammitgliedern können Sie genau abgestimmte oder granulierte Zugangsrechte einräumen. Je nach Bedarf können Teammitglieder dieselbe Sitzung auf einem Server miteinander teilen und gemeinsam darauf zugreifen.

Für den Benutzer eines Remote Desktop Managers steht eine integrierte Visualisierungskonsole zur Verfügung. Nachdem auch IT-Manager oft unterwegs sind, wurden Apps entwickelt, über die sie mit dem System Verbindung aufnehmen können.

Damit gesetzliche Bedingungen eingehalten werden können und Sie einen Überblick über Ihre gesamte IT behalten, sind im RDM Möglichkeiten zur Erstellung von Reports nach frei wählbaren Kriterien integriert. Die Grundlage dafür sind die Logdateien, die automatisch geführt werden.

Für einzelne User steht eine Freeware Version des Remote Desktop Manager zur Verfügung. Erst für die Enterprise Version für mehrere Nutzer fallen tatsächlich Kosten an. Für das Kennenlernen des Systems können Sie eine Trialversion ausprobieren und sehen, welche Vorteile ein Remote Desktop Manager oder RDM für Sie und Ihr Unternehmen bietet.

Das Coronavirus verändert die Arbeitswelt: Viele Menschen gehen nicht mehr ins Büro, sondern arbeiten direkt von zu Hause im Home-Office. Wenn Sie auch zu diesen Menschen gehören, finden Sie es eventuell entlastend, wenn Sie nicht jeden Tag ins Büro fahren müssen. Hier erfahren Sie, wie Sie mit Ihrem Computer sicher im Home-Office arbeiten können und wie Sie per Fernsteuerung Support und Hilfe mit Ihrem PC erhalten oder mit diesem auf das Firmennetzwerk zugreifen.

Das sollten Sie bei Home-Office beachten

Durch das Coronavirus wurde der Trend zum Home-Office evident: In dieser Zeit setzten nicht nur die Big Player wie Microsoft, Siemens, Google und andere große Unternehmen auf Home-Office, sondern auch der Mittelstand und kleinere Unternehmen. Damit Sie Ihre Arbeit von zu Hause aus zuverlässig, sicher und effizient erledigen können, sind beispielsweise Tools zur Fernsteuerung sinnvoll. Diese erlauben Ihnen über ein sogenanntes Remote-Desktop-Programm die Fernsteuerung Ihres Büro-PCs direkt von zu Hause aus. Alternativ können Sie sich per VPN über eine sichere Netzwerkverbindung in das Firmennetz einloggen. Eine dritte Möglichkeit besteht in der Installation Ihrer im Büro genutzten Programme auf dem heimischen PC, damit können Sie Ihre Daten bearbeiten und zurück an Ihre Firma schicken.

Per Fernsteuerung auf dem Bürocomputer arbeiten

Ein Remote-Desktop-Programm erlaubt Ihnen, direkt vom heimischen PC am Computer im Büro zu arbeiten. Sie sehen auf dem Monitor den Desktop Ihres Bürocomputers und der Mauszeiger wird über den PC gesteuert. Es gibt einige Programme, die Ihnen diese Fernsteuerung erlauben. Zu diesen gehören TeamviewerAnydesk oder 3CXWebMeeting. Sie installieren die dafür notwendige Software sowohl auf Ihrem heimischen PC als auch auf Ihrem Bürocomputer.

Eine Geräte-ID sorgt dann für eine sichere Verbindung zwischen den beiden Geräten. Ursprünglich wurden diese Remote-Desktop-Programme zur Fernwartung von Computern entwickelt: Sie können damit entweder Software installieren oder einen entfernt lebenden Bekannten oder Freund bei einem Computerproblem Hilfe leisten, vorausgesetzt, dieser erlaubt den Zugriff auf seinen Computer per Remote-Desktop-Tool.

Das sollten Sie bei der Installation beachten

Sobald Sie das Remote-Desktop-Programm auf Ihrem Bürocomputer installiert haben, sollten Sie die Funktion „unbeaufsichtigter Zugriff“ aktivieren. In Verbindung mit einem sicheren Passwort können Sie diesen dann von zu Hause aus sicher steuern. Sie brauchen lediglich die Geräte-ID und Ihr sicheres Passwort für den Zugang zu Ihrem Bürocomputer.

Achtung: Damit die Fernsteuerung auch bei längerer Abwesenheit im Büro funktioniert, muss der Bürocomputer selbstverständlich eingeschaltet sein und bleiben. Damit sich dieser selbst nach einem Stromausfall wieder startet, müssen Sie die Funktion „Restore on Power Loss im BIOS aktivieren. Per Wake-on-LAN wecken Sie den Bürocomputer wieder auf, falls er sich bei Nichtbenutzung schlafen gelegt hat. Sind Sie länger abwesend und arbeiten vom Home-Office aus, sollten Sie diese Funktion testen.

Sichere Remote-Desktop-Software für Support und Außendienst

Die Fernsteuerung des Computers gelingt via WebMeeting Remote Control Client. Mit dieser stellen Sie eine sichere Verbindung her und können bei Bedarf entsprechenden Support leisten oder unterwegs per Laptop auf Dienstleistungen und Produkte im Firmencomputer zugreifen und diese vorführen. Damit Ihre Daten und anderen Informationen wirklich sicher sind, sollten die Zugriffe nur für autorisierte Nutzer möglich und gleichzeitig verschlüsselt sein. Falls ein unbekannter Nutzer Zugriff per Fernsteuerung auf Ihre sensiblen Daten bekommt, kann das weit reichende Folgen haben.

Das WebRTC-Protokoll von Google macht die Fernsteuerung einfach

Seit Google dasWebRTC-Protokoll eingeführt hat, ist die Fernsteuerung von Computern noch einmal leichter geworden. Musste die Software vorher auf beiden Geräten installiert werden, reicht jetzt ein einfaches Plugin. Mit der Software von 3CXWebMeeting bekommen Sie eine Remote-Desktop-Funktion und können weltweit eine sichere Verbindung herstellen und erhalten per Fernsteuerung Zugriff auf den entsprechenden Computer. Sie brauchen dafür lediglich das Programm zu starten und bitten Ihr Gegenüber um die Erlaubnis, seinen PC per Fernsteuerung zu bedienen. Hat dieser das dafür nötige PlugIn installiert, können Sie auf dessen Computer die Fehler aufspüren oder den gewünschten Support leisten.

Die Daten sind sicher und geschützt

Soll die firmeneigene IT von einem Dienstleister gewartet werden, gilt es, die Verträge dabei entsprechend der DSGVOund den Vorgaben des BDSG zu gestalten. Ein solcher Fernwartungsvertrag erlaubt es dem IT-Dienstleister, per Fernsteuerung auf die Firmencomputer zuzugreifen. Das ist auf der einen Seite gewünscht, darf aber auf der anderen Seite nicht dazu führen, dass dieser auf personenbezogene Daten zugreifen kann. Daher muss der Dienstleister „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig“ ausgesucht werden, heißt es beispielsweise im Paragraph 11 Abs. 2 S.1 BDSG. Das gilt nicht nur für die besonders sensiblen Daten beispielsweise im Gesundheitsbereich, sondern auch für alle personenbezogenen Daten. Eine regelmäßige Überprüfung des Dienstleisters nach Paragraph 11 Abs. 2 S.4 BDSG ist daher unumgänglich und muss auch dokumentiert werden.

Per Remote Desktop per Fernsteuerung arbeiten

Ein Remote Desktop erlaubt die Fernsteuerung des Unternehmenscomputers über den heimischen PC oder ein mobiles Gerät. Das ist nicht nur für Fehlersuche, sondern auch für eine sichere und effiziente Arbeit im Home-Office sinnvoll und macht New Work erst möglich.

Bei dem Simple Network Management Protocol (SNMP) handelt es sich um ein sogenanntes Netzwerkverwaltungsprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wird. Das Protokoll wird zur Konfiguration und Steuerung sowie zum IT-Monitoring von netzwerkfähigen Geräten eingesetzt. Das können beispielsweise Switches, Firewalls, Router aber auch Drucker, Computer oder Server sein.

Allgemeine Informationen zu SNMP

Das Simple Network Management Protocol (SNMP) basiert auf dem Grundkonzept, der den Informationsaustausch zwischen Clients und einer zentralen Instanz über Netzwerkpakete vorsieht. Solche Informationen können sowohl die Form von Status- oder Statistikdaten übernehmen als auch als Konfigurations- und Steuerungsdaten übermittelt werden. Das Simple Network Management Protocol (SNMP) beschreibt dabei die exakte Zusammensetzung der Datenpakete und den genauen Ablauf der gesamten Kommunikation. Vergleichbare Konkurrenztechnologien sind Zabbix, Nagios, PRTG und Solarwinds. Im Laufe der Jahre wurde SNMP kontinuierlich weiterentwickelt und zahlreichen Verbesserungen und Optimierungen unterzogen, sodass heutzutage viele verschiedene Versionen existieren. Aktuelle Versionen bieten Unterschätzung für performante Sicherheitsmechanismen wie Verschlüsselung, Authentifizierung und Validierung.

Mögliche Einsatzbereiche von SNMP sind beispielsweise:

–       die kontinuierliche Überwachung von netzwerkfähigen Komponenten

–       die Steuerung und die Konfiguration von netzwerkfähigen Geräten aus der Ferne

–       die Übermittlung von Fehlern

Die Vorteile des Simple Network Management Protocol spiegeln sich in der Einfachheit und der Modularität wider. Dank dieser Charakteristiken hat sich SNMP im Laufe der Jahre als Standard etabliert und wird von einer Vielzahl an netzwerkfähigen Geräten und Netzwerkmanagement-Anwendungen unterstützt.

Kommunikation zwischen Clients und Manager

Im Rahmen des Netzwerkverwaltungsprotokolls kommunizieren die Agenten der einzelnen Geräte mit einem oder mehreren zentralen Instanzen, die auch als Manager bezeichnet werden. Die Agenten werden als Software-Programme realisiert, die direkt auf den Endgeräten laufen. Die Software ist in der Lage, den Status und die Konfiguration in Echtzeit zu erfassen und bestimmte Aktionen auszuführen oder Einstellungen am Gerät vorzunehmen.

Bei dem Manager hingegen handelt es sich um eine Software, die auf einem Server installiert ist und von dort aus mit den Agenten kommuniziert und deren Statusmeldungen entgegennimmt. Die gesamte Kommunikation zwischen Agenten und Manager wird über SNMP realisiert. Die typische Kommunikation wird auf folgende Weise umgesetzt: Der Manager schickt einen Request an den Agenten. Dieser führt den Request aus und beantwortet dann die Anfrage mit einem Response-Paket. Des Weiteren ist der Agent in der Lage, unaufgeforderte Informationen über sogenannte „Traps“ zu versenden. Diese kommen in der Regel bei kritischen oder unvorhergesehenen Vorfällen zum Einsatz.

 

Die verschiedenen Nachrichtentypen im Überblick

Um eine möglichst große Bandbreite an unterschiedlichen Funktionalitäten zu bieten, sind im Rahmen des SNMP-Standards unterschiedliche Pakettypen definiert. Die wichtigsten sind:

–       GET-REQUEST: Diese Request dient zum Anfordern von Informationen

–       GETNEXT-REQUEST: Diese Request kommt zum Einsatz, um weitere Daten der Management Information Base (MIB) zu beantragen

–       GETBULK: Mit dieser Request ruft der Manager mehrere Datensätze gleichzeitig an

–       SET-REQUEST: Hiermit werden Daten zum Verändern oder Konfigurationsinformationen eines Netzwerkelements angefordert

–       GET-RESPONSE: Mit dieser Request wird die Antwort auf eine Anfrage bestätigt

Alle GET-Pakete sendet der Manager explizit an den Agenten. Mit den Response-Paketen werden die Request beantwortet oder bestätigt und beinhalten in der Regel die angeforderten Informationen. Eine Besonderheit stellen die sogenannten „TRAP-Pakete“ dar. Diese können von dem Manager nicht bestätigt werden, sodass der Agent nicht feststellen kann, ob diese auch tatsächlich angekommen sind. Die Datenübertragung im Rahmen von SNMP nutzt die darunterliegenden TCP/IP und UDP-Protokolle sowie die Ports 161 und 162.

Management Information Base (MIB)

Bei der Überwachung und Steuerung der Netzwerkgeräte durch SNMP kommt der Management Information Base (MIB) eine zentrale Rolle zu. Bei der MIB handelt es sich um eine Art Datenbank, in der alle relevanten Daten abgelegt sind und über die Bereitstellung von Informationen läuft. Konkret bedeutet das, dass die MIB die Datenbasis repräsentiert, die in einem Netzwerkgerät vorhanden ist und sich per SNMP abfragen lässt. In der Regel kommt die Standard-MIB zum Einsatz. Es existieren jedoch auch zahlreiche Erweiterungen und herstellerspezifische Anpassungen.

Auch die nachfolgende Version SNMPv2 brachte keine wesentlichen Sicherheitsmechanismen. Die V2-Version ist mit zusätzlichen Funktionen ausgestattet. Die wichtigste davon ist GETBULK, mit der gleichzeitig mehrere Informationen abgefragt werden. Des Weiteren bietet SNMPv2 neben TCP/IP und UDP auch Unterstützung für weitere Netzwerkprotokolle, wie beispielsweise Appletalk oder IPX.

 

SNMP-Versionen im Detail

Die erste Version des Netzwerkverwaltungsprotokolls zum Monitoring netzwerkfähiger Geräte wurde bereits im Jahr 1988 erarbeitet. Diese Version hatte jedoch mit einigen Problemen zu kämpfen. So war eines der größten Probleme der ersten Version die fehlende Implementierung von Sicherheitsmechanismen. Aufgrund der fehlenden Sicherheit könnten Cyberkriminelle die Kommunikation zwischen dem Manager und dem Agenten abhören. Auch das Passwort konnte man leicht herausfinden, da es unverschlüsselt über das Netzwerk übertragen wurde.

Bedeutende Sicherheitsmechanismen wurden erst im Rahmen von SNMPv3eingebunden. Diese Version kam mit einer Username- und Passwort-Verschlüsselung sowie mit einer leistungsstarken Verschlüsselung der übertragenen Daten. Zusätzlich kamen noch mehr Konfigurationsoptionen hinzu.

Bei IPsec handelt es sich um eine Erweiterung des Internet-Protokolls (IP), das als Alternative zu OpenVPN eingesetzt wird. IPsec bereichert das Internet-Protokoll mit leistungsstarken Authentifizierungs- und Kryptographie-Mechanismen, wodurch das IP die Fähigkeit erhält, IP-Pakete verschlüsselt über öffentliche und unsichere Netzwerke zu transportieren. IPsec wurde ursprünglich von der Internet Engineering Task Force (IETF) ausschließlich für IPv6 (Internet-Protokoll Version 6) spezifiziert. Weil das IPv4 über keine Sicherheitsmechanismen verfügte, wurde IPsec nachträglich auch für das IPv4 entwickelt.

Allgemeine Informationen zu IPsec

IPsec wird grundsätzlich bei Gateway-zu-Gateway-Szenarien eingesetzt, also bei der Verbindung zwischen zwei Netzen über ein drittes, ungesichertes Netzwerk. Ebenso gut lässt sich IP-Security auch im Rahmen eines Host-zu-Gateway-Szenarios einsetzen, wobei die hohe Komplexität von IPsec und einige andere Aspekte von TCP/IP an dieser Stelle in manchen Fällen Probleme bereiten können. Eher untypisch ist der Einsatz von IP-Security bei Host-zu-Host-Szenarien, ist aber ebenso möglich. Typische Einsatzszenarien im Überblick:

–       Site-to-Site-VPN / Gateway-to-Gateway-VPN

–       End-to-Site-VPN / Host-to-Gateway-VPN

–       End-to-End-VPN / Remote-Desktop-VPN / Peer-to-Peer-VPN

IP-Security zeichnet sich durch den Nachteil aus, dass es nur in der Lage ist, IP-Funktionalitäten für die Konfiguration von IP-Adressen, Subnetzmasken und DNS-Server nicht vorhanden sind. Aus diesem Grund ist es sinnvoll, für die Realisierung eines VPN-Tunnels außer IPsec auch andere Lösungen, wie beispielsweise SSL-VPN, zu verwenden. IP-Security setzt sich aus folgenden Bestandteilen zusammen:

–       Interoperabilität

–       Schutz übertragener Daten

–       Datenintegrität

–       Verschlüsselung

–       Bestätigung und Verwaltung kryptografischer Schlüssel

–       Authentifizierung des Absenders

Vertrauensstellungen / Security Association

Der Hauptbestandteil von IP-Security sind die Vertrauensstellungen (Security Association), die zwischen zwei Kommunikationspartnern realisiert werden. Eine Vertrauensstellung muss nicht unbedingt an den teilnehmenden Clients implementiert werden. In vielen Fällen reicht es auch aus, wenn beispielsweise bei der Kopplung zweier Netzwerke die beiden Netzwerk-Router mit einer Vertrauensstellung versehen sind. In einer Verbindung können selbstverständlich auch mehrere Vertrauensstellungen vorhanden sein. Durch die Vertrauensstellung werden alle Aspekte der Kommunikation von IPsec geregelt. Da sich die Vertrauensstellungen äußerst flexibel konfigurieren lassen, erfordern diese einen sehr hohen Konfigurationsaufwand.

 

Um eine gesicherte Verbindung zwischen zwei Entitäten herstellen zu können, müssen zunächst auf beiden Seiten einige wichtige Parameter ausgetauscht werden. Hierzu gehören:

–       der Schlüssel

–       der eingesetzte Verschlüsselungsalgorithmus (MD5, 3DS, AES)

–       die Gültigkeitsdauer der jeweiligen Schlüssel

–       Art der gesicherten Verbindung (Verschlüsselung oder Authentifizierung)

Eine Vertrauensstellung wird durch den Austausch von vorab definierten Schlüsseln hergestellt. Eine andere Form der Vertrauensstellung ist die Vergabe von Sicherheits-Zertifikaten durch eine zentrale Trust-Entität oder einen dedizierten Zertifikat-Server. Durch den Einsatz von Schlüsseln und Zertifikaten soll sichergestellt werden, dass man auch derjenige ist, für wen man sich ausgibt. Dieses Verfahren wird mit dem Begriff Authentifizierung bezeichnet und komme im Rahmen aller modernen Verschlüsselungs-Mechanismen zum Einsatz. Schlüssel und Zertifikate lassen sich mit einem Personalausweis vergleichen, mit dem man gegenüber anderen Personen seine Identität bestätigt.

Verschlüsselung und Tunneling bei IPsec

Die wichtigsten Funktionen, die eine IPsec-Architektur bereitstellt, sind das ESP-Protokoll (Encapsulating Security Payload), das AH-Protokoll (Authentification Header) sowie die Schlüsselverwaltung (Key Management). Integrität, Authentizität und Vertraulichkeit werden im Rahmen von IP-Security durch ESP und AH umgesetzt. Die beiden Protokolle ESP und AH können entweder gemeinsam als auch eigenständig im Rahmen einer IPsec-Infrastruktur eingesetzt werden. Beide Verfahren gewährleisten eine gesicherte Übertragung der Daten. Das AG-Verfahren wird bei der Authentifizierung der übertragenen Daten eingesetzt, während ESP die Datensicherheit in Bezug auf den gewählten Verschlüsselungsalgorithmus erhöht. Bei IPsec werden keine bestimmten Authentifizierungs- und Verschlüsselungsverfahren vorausgesetzt. Aus diesem Grund kommt es häufig zu Problemen, wenn unterschiedliche VPN-Lösungen zusammenarbeiten müssen.

Die Verwaltung von Schlüsseln

Es gibt zwei Möglichkeiten, Schlüssel innerhalb eines VPNs zu verwalten und zu verteilen. Neben der manuellen Schlüsselverwaltung, können auch automatisierte Lösungen eingesetzt werden, wie beispielsweise das Internet Key Exchange Protocol (IKE). Bevor die netzwerkübergreifende Kommunikation geschützt werden kann, müssen sich die Kommunikationspartner auf den Schlüssel und Verschlüsselungsverfahren einigen. Diese äußerst wichtigen Parameter sind Bestandteile der Vertrauensstellungen und werden von dem IKE automatisch verwaltet und ausgehandelt.

Das Internet Key Exchange Protocol wird für die automatische Verwaltung von Schlüsseln innerhalb einer IPsec-Infrastruktur verwendet. Es basiert auf dem Diffie-Hellman-Verfahren zur sicheren Erzeugung von kryptografischen Schlüsseln über ein ungesichertes Netzwerk. IKE nutzt außerdem das Internet Security Association and Key Management Protocol, welches das Verhalten aller beteiligten Kommunikationspartner genau festlegt.

Probleme mit Network Adress Translation (NAT)

Der automatische Schlüsselaustausch mit IKE kann an den beteiligten NAT-Routern scheitern. Wenn Netzwerkgeräte in lokalen Netzwerken mit privaten IP-Adressen versehen sind und über NAT-Router in das Internet gehen, dann kann IPsec in Kombination mit NAT Probleme verursachen. Durch NAT wird ein IPsec-Paket mit einer neuen IP-Adresse versehen und einem anderen Quell-Port. Das Problem dabei spiegelt sich in der Tatsache wider, dass wenn, ein IPsec-Paket verändert wird, dann wird es automatisch ungültig. Durch diese Änderung kann die Integrität des Pakets nicht mehr gewährleistet werden, sodass es verworfen wird. Die direkte Folge ist, dass sich so keine Verbindung aufbauen lässt. Ein weiteres Problem ist, dass die Ausgangs-IP-Adresse und TCP-Ports durch den Einsatz von IPsec verschlüsselt sind, sodass sie der NAT-Router nicht auslesen kann. Um solche Probleme zu verhindern, sind aktuelle Router-Modelle mit dem sogenannten „IPsec-Passthrough-Verfahren“ ausgestattet, bei dem die Ausgangs-Ports nicht verändert werden.

Bring Your Own Device (BYOD) ist ein Trend aus den USA, der vor allem in der Arbeitswelt eine Rolle spielt. Vor- und Nachteile für alle Beteiligten werden seit einigen Jahren intensiv diskutiert. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) kommt hierbei dem Datenschutz eine besondere Bedeutung zu. Die Voraussetzungen für den technisch und rechtlich sicheren Einsatz privater Geräte stellen zunehmend eine Herausforderung dar.

BYOD – Definition und Varianten

Die privaten mobilen Endgeräte oder auch Speichermedien mit- oder einbringen heißt konkret, auf interne Netzwerke von Firmen oder Bildungseinrichtungen und Bibliotheken zuzugreifen. Für Arbeitnehmer ist eine solche Vereinbarung grundsätzlich freiwillig. Dieses Konzept ist ursprünglich als Instrument bekannt, um die Produktivität von Arbeitnehmer zu steigern und dabei gleichzeitig die Kosten auf Arbeitgeberseite zu senken. Hinzu kommt die positive Auswirkung auf den ökologischen Fingerabdruck.

Mit wachsender praktischer Erfahrung hat sich die Auffassung durchgesetzt, dass Kosten und Nutzen sich in etwa die Waage halten. Der Anteil von Smartphones und Tablets steigt stetig an. Die Varianten, wie BYOD in unterschiedlichen Unternehmen gelebt wird, sind vielfältig. Hier einige Beispiele:

– Private Endgeräte werden unabhängig von der Unternehmens-IT betrieben.

– Endgeräte werden von der Unternehmens-IT unterstützt und gewartet.

– Softwarelizenzen des Unternehmens werden dienstlich und privat genutzt.

-Mitarbeiter beteiligen sich an den Kosten für Hard- und Software.

-Ausschließlich separates Gäste-WLAN, das ebenso von Besuchern genutzt wird.

BYOD: Vorteile für Arbeitgeber

In manchen Branchen wie beispielsweise dem Customer Service (Callcenter), entfallen die Kosten für einen kompletten Bildschirmarbeitsplatz. In diesem Bereich kommen auch private Desktop-PCs zum Einsatz. Zumindest jedoch werden mittels BYOD die regelmäßigen Anschaffungskosten für adäquate Hardware reduziert. Teilweise ergibt sich zusätzlich ein Einsparpotenzial im Bereich der Softwarelizenzen.

Mobiles Arbeiten ist ein entscheidender Faktor für die Attraktivität des Arbeitsplatzes und trägt zur Mitarbeiterzufriedenheit bei. Dies wiederum wirkt sich positiv aus auf die Produktivität.

BYOD: Vorteile für Beschäftigte

Egal ob Smartphone oder Notebook, das vertraute Arbeitsgerät stellt einen Wohlfühlfaktor dar. Mobiles Arbeiten verbessert die Vereinbarkeit von Beruf und Familie und ist gerade auch für Pendler attraktiv. Dienstreisende benötigen nur noch jeweils ein Smartphone, Tablet oder Notebook.

BYOD: Nachteile für Arbeitgeber

Die Kosten für die Erarbeitung eines BYOD-Konzeptes sind nicht zu unterschätzen. Die Umsetzung der Datenschutzgrundverordnung allein erfordert einen erheblichen administrativen und technischen Aufwand. Hinzu kommen höhere Wartungskosten. Private Endgeräte stellen immer ein potenzielles Sicherheitsrisiko dar. Ein Angriff auf die IT-Infrastruktur kann existenzbedrohend sein.

BYOD: Nachteile für Beschäftigte

Je nach Unternehmenskonzept erhält der Arbeitgeber Kontroll- und Zugriffsrechte. Durch die uneingeschränkte Erreichbarkeit verschwimmen die Grenzen zwischen Arbeit und Freizeit. Dies führt dazu, dass Arbeitszeiten nicht erfasst und folglich nicht vergütet werden.

 

Rahmenbedingungen für BYOD

Die rechtlichen Grundvoraussetzungen aber auch die Risiken für beide Seiten erfordern ein Regelwerk, dass die Interessen aller Beteiligten berücksichtigt – ein BYOD-Konzept. Dieses sollte folgende Aspekte behandeln:

Betriebssystem, Firewall und Virenscanner

– Zugriffshürden und Zugriffsbeschränkungen

– Verwendung von Blickschutzfiltern in der Öffentlichkeit

– Trennung von dienstlichen und privaten E-Mail-Konten

Speicherung von Firmendaten auf dem privaten Endgerät

– Zeitliche Zugriffsbeschränkung

Risiken minimieren bei BYOD

Wie umfassend Ihr BYOD-Konzept auch sein mag, ein Restrisiko in Bezug auf die Datensicherheit bleibt immer. Um Ihre sensiblen Firmendaten und alle personenbezogenen Daten bestmöglich zu schützen, gibt es eine Reihe von Möglichkeiten.

Technische Zugriffshürden

Ein sogenannter VPN-Tunnel ermöglicht eine verschlüsselte Verbindung zwischen dem Endgerät und dem Unternehmensserver. Ein Virtual Private Network (VPN) nutzt das Internet als Datenleitung. Mithilfe des VPN-Client auf dem Endgerät und einer zweiten Authentifizierungsmethode wird ein Zugriff Dritter auf Ihre Unternehmensdaten deutlich erschwert. Zusätzlich haben Sie die Möglichkeit, den Zugang auf „Remote-Access“ zu beschränken. Das heißt, Dokumente oder Datensätze können gelesen und bearbeitet aber nicht gespeichert werden.

Verschlüsselte „Container“ bei BYOD

Bei dieser Methode wird der lokale Festplattenspeicher des privaten Endgeräts in zwei Bereiche (Partitionen) geteilt. Somit entstehen aus technischer Sicht zwei separate Festplatten, von denen eine verschlüsselt ist. Verbindungen zum Unternehmensnetzwerk werden ausschließlich über den Container hergestellt.

Mobile Device Management (MDM)

Das Mobile Device Management wird mithilfe einer speziellen Software durchgeführt. Über dieses Tool gelingt es Ihrer Unternehmens-IT, die privaten Endgeräte in die IT-Infrastruktur zu integrieren und zu verwalten. Des Weiteren ermöglicht ein professionelles MDM:

– die Verwaltung von Daten

– das Installieren von Updates

– die Sperrung unsicherer Verbindungen (WLAN)

– die Sperrung unbekannter Apps

Sandboxing

Mithilfe einer Sandbox arbeiten Sie in einer abgeschirmten virtuellen Umgebung. Hierbei werden keine Daten auf dem privaten Gerät gespeichert. Eine Sandbox wird auch als Testumgebung für Software in der Entwicklung eingesetzt.

Wenn Sie sich für diese Lösung entscheiden, ist es unabdingbar, den ganzen Weg zu gehen. Auch der gelegentliche Einsatz privater Endgeräte bedarf technischer Grundvoraussetzungen und klarer Vereinbarungen. Eine einzige E-Mail kann eine signifikante Bedrohung für den Datenschutz und die IT-Sicherheit in Ihrem Unternehmen bedeuten.

Für die Skeptiker bietet „Choose Your Own Device“ (CYOD) eine Alternative. Mit „Own Device“ ist hier jedoch Unternehmens-Equipment gemeint.

Kein Unternehmen arbeitet heute in der Regel ohne die Unterstützung einer möglichst maßgeschneiderten IT-Infrastruktur. Doch was ist das eigentlich genau? Was gehört zu diesem Begriff und was sollte rund um die passende IT-Infrastruktur eines Unternehmens unbedingt beachtet werden? Das Wichtigste dazu bietet Ihnen dieser kompakte Überblick.

Die zwei Hauptkomponenten der IT-Infrastruktur

Das wesentliche Unterscheidungskriterium der an einer IT-Anlage eines Unternehmens beteiligten Elemente ist die Einteilung in Hardware und Software. Hardware sind alle Geräte, die die physische Ausstattung der IT betreffen. Das sind zum einen physische Server und die Rechner des Unternehmens, aber auch alle Ein- und Ausgabegeräte wie Tastatur, Maus, Monitor und Drucker. Auch die mobilen Endgeräte eines Unternehmens, beispielsweise Smartphones, Tablets und Netbook, zählen zur IT-Infrastruktur. Dies alles kann nur funktionieren, wenn eine Software installiert ist. Sie ist das zweite wichtige Element in der betrieblichen IT. Softwareprodukte sind zum Beispiel das Betriebssystem der Rechner und die bedarfsgerechten Anwendungen für die Anforderungen der Nutzer. Auch CRM- und ERP-Programme sowie Antivirenschutz zählen zum Softwarebereich der IT-Infrastruktur.

Das Netzwerk Ihres Unternehmens

Wenn eine gute funktionierende IT-Infrastruktur mit hoher Professionalität und passgenauem Praxisbezug geschätzt wird, ist immer wichtig, dass Hard- und Softwareprodukte bedarfsgerecht ausgewählt, installiert und konfiguriert werden. Das Zusammenspiel der einzelnen Bestandteile im Rahmen eines soliden und geschützten Netzwerks spielt für das Unternehmen und seine Anforderungen eine wichtige Rolle.

Zwei Beispiele dieser Zusammenarbeit im Netzwerk sollen der Veranschaulichung dienen. Ein Beispiel ist das CRM, das Customer Relationship Management. Bei diesen Programmen werden alle Kundenkontakte nicht nur lückenlos dokumentiert, sondern unternehmensintern auch all denjenigen verfügbar gemacht, die diese benötigen. So ist es insbesondere möglich, eine Kundenanfrage auch dann professionell und präzise zu betreuen, wenn der zuständige Sachbearbeiter im Urlaub sein sollte. Ein zweites Beispiel ist das Bestandsmanagement in einem Betrieb. So kann mittels eines gut ausgebauten Netzwerks ein Außendienstmitarbeiter mit dem Smartphone die Auskunft aus der IT erhalten, ob ein bestimmter Artikel, für den sich der Kunde interessiert, auf Lager ist.

Zentraler Datenabruf und Datenspeicherung

Bei einer modernen IT-Infrastruktur ist der zentrale Datenzugriff oft besonders wichtig. Die obigen Beispiele demonstrieren das. Die Daten, die in einem Unternehmen gespeichert, aufbewahrt, geändert und verarbeitet werden, haben hohe Volumina. Das bedeutet, dass die Speicherkapazitäten klassischer Server oft überlastet sind. Denn alle Unternehmensprozesse von der Angebotserstellung über die Produktionsabwicklung bis zu Werbung und Verkauf werden heute IT-basiert abgewickelt. Es ist häufig sinnvoll, die internen Rechnerkapazitäten durch ein effizientes Outsourcing zu entlasten. So ist es möglich, physische und virtuelle Server zu mieten, Switches zu integrieren oder die modernen Cloudlösungen dazu zu nutzen, die eigene IT-Infrastruktur optimal zu ergänzen. All diese Möglichkeiten schonen nicht nur die eigenen Kapazitäten des Unternehmens. Sie können auch einen zentralen und bedarfsgerechten Datenzugriff ermöglichen.

Sicherheit ist das A und O bei der IT-Infrastruktur

Eine IT-Infrastruktur ist eine moderne Errungenschaft, die für Ihr Unternehmen mit einer ganzen Reihe von überzeugenden Vorteilen verknüpft ist. Doch gibt es dadurch natürlich auch ein Datenrisiko. Zum einen kann ein Datenverlust durch einen Software- oder Hardwarefehler verursacht sein. Typisch sind die geschrottete Festplatte oder der Blitzeinschlag, der die Serverdaten löscht. Auch ein Virus kann die Daten des Unternehmens löschen. Zum anderen sind es aber auch die Hackerangriffe, die beispielsweise Kundendaten oder Konkurrenzdaten sammeln. Deshalb gehört zu jeder modernen IT-Infrastruktur auch ein professioneller Schutz. Dieser wird durch die Firewall von Rechnern und Servern, aber auch spezielle Antivirenprogramme umgesetzt.

Einen kompetenten IT-Dienstleister beauftragen

Wenn ein Unternehmen keine Professionalität in Sachen IT-Infrastruktur in den eigenen Reihen besitzt, ist es wichtig, sich diese heute unverzichtbare Unterstützung durch Experten von außen zu holen. Ein IT-Dienstleister hat die Expertise, die IT-Infrastruktur eines Unternehmens bedarfsgerecht zu erstellen, zu konfigurieren und bezüglich individueller und sich oft ändernder Anforderungsprofile kompetent zu skalieren. Im Rahmen einer öffentliche IT-Infrastruktur wird die Hard- und Software beim gewählten Anbieter beauftragt, gewartet und auch repariert.

Ein wichtiger Vorteil, den ein solches Arrangement hat: Diese IT-Infrastruktur wird durch den IT-Dienstleister konsequent mit spezieller Softwareprodukten überwacht. Dieses Monitoring ist wertvoll, weil es reibungslos funktionierende Betriebsabläufe und die Sicherheit der IT-Infrastruktur nachhaltig umsetzen kann. Für ein Unternehmen bedeutet das, dass es sich ganz auf seine Kernkompetenzen konzentrieren kann.

Insbesondere bei der Datensicherheit werden IT-Dienstleister immer mehr geschätzt. Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 ist Datensicherung ein wichtiges Thema. Die Nichtbeachtung der komplexen Regelungen der Europäischen Union sind unangenehm. Da viele Datenschutzlecks und Sicherheitslücken in der IT-Infrastruktur der Unternehmen vorhanden sind, ist es die Tendenz, für die Sicherheit die IT-Experten zu beauftragen. Oft ist dies mit Cloud-Lösungen verbunden, die bei Datencrash durch Backups die Daten in aller Regel wiederherstellen können.