Das Coronavirus versetzt unsere Welt in einen Ausnahmezustand. Wir sollen Sozialkontakte meiden und am besten in den eigenen vier Wänden arbeiten, um die Ansteckungskurve abzuflachen. Viele Firmen haben daher für ihre Mitarbeiter Homeoffice angeordnet. Bis dato war das Arbeiten von zuhause nur einem kleinen Personenkreis vorbehalten oder in Ausnahmefällen gestattet.
Doch flexibles Arbeiten ist nicht nur in Krisenzeiten wichtig, sondern auch im normalen Geschäftsalltag. Mitarbeiter wollen von zuhause oder mobil auf Anwendungen und Daten des Unternehmens zugreifen oder an Videokonferenzen teilnehmen. Daher sind Mobilitätskonzepte für berufliche Aufgaben gefragt. Das Stichwort lautet Digital Workplace.
Digital Workplace - ein Trend und seine Spielarten
Ein Digital Workplace umfasst im engeren Sinne die technische Arbeitsumgebung für Mitarbeiter, sprich (virtuelle) Endgeräte, Software und Lösungen wie Telefonanlagen oder Videokonferenzsysteme. "Er ermöglicht jedem einzelnen die Ausübung der Tätigkeiten seiner Arbeit über das Internet und damit ortsunabhängig. Aus diesem Grund lässt sich der Digital Workplace als Gesamtheit aus den Geräten, Software-Plattformen wie Apps und Betriebssystemen, Orten und dem Nutzer beschreiben", erklärt Maximilian Hille, Senior Analyst und Practice Lead bei Crisp Research.
Im weiteren Sinne gehört zum Digital Workplace auch die IT-Organisation im Unternehmen. Da Firmen hier alle Mitarbeiter vernetzen und unter einer einheitlichen Verwaltungsoberfläche zusammenführen, verantworten sie den Betrieb und die Bereitstellung der Anwendungen sowie Geräte und definieren Regeln. Die Software und sämtliche Daten verbleiben dabei oft im Rechenzentrum. "Das stellt höhere Ansprüche an die dortige Infrastruktur und Architektur, das Personal sowie die Prozesse und Abläufe im Rechenzentrum", sagt Dr. Markus Pleier, Director System Engineering Central Europe beim Datacenter- und Cloud-Software-Spezialisten Nutanix.
Wichtige Spielarten des Digital Workplace sind VDI (Virtual Desktop Infrastructure) und Desktop as a Service (DaaS). Sie lösen zunehmend den klassischen PC mit lokal installierter Software ab. Vereinfacht ausgedrückt bedeutet VDI, einen PC oder Desktop zu virtualisieren. "Dieser virtualisierte Arbeitsplatz wird nicht am Endgerät des Anwenders eingerichtet, sondern vom Rechenzentrum aus über einen zentralen Server bereitgestellt. Anwender können über das Internet auf ihren Desktop zugreifen und ihren digitalen Arbeitsplatz unabhängig von ihrem Aufenthaltsort nutzen - mit allen benötigten Anwendungen und Daten", erklärt Pleier. Als Client reicht ein klassischer PC, ein Notebook, Tablet oder Thin Client, da die Datenverarbeitung über einen Server erfolgt.
Während die virtualisierten Desktops bei VDI meist noch im eigenen Rechenzentrum liegen, kommen sie beim DaaS-Konzept aus der Cloud. Die Vorteile für die IT-Abteilung liegen auf der Hand: Statt selbst Hardware anschaffen zu müssen oder eine komplette VDI-Umgebung aufzubauen, mietet sie bei einem DaaS-Anbieter Desktops in der Cloud. Der Service-Provider richtet die virtuellen Desktops ein, sorgt für das Backup der Daten, das Security Management und spielt Updates und Patches ein. Bezahlt wird nach Nutzung (Pay per use), hohe Anfangsinvestitionen entfallen.
Digitaler Arbeitsplatz - Sicherheit und Datenschutz
Unabhängig davon, für welches technische Konzept sich Firmen entscheiden: Sicherheit und Datenschutz für den digitalen Arbeitsplatz sind große Herausforderungen für die IT-Abteilung. Denn oft sind die im Homeoffice eingerichteten Arbeitsplätze nicht im gleichen Umfang abgesichert wie die Rechner im Büro. Durch die Vielzahl der digitalen Anwendungen, Datenzugriffe und Endgeräte gibt es auch mehr Gefahrenquellen für Sicherheitslecks.
"Neben der reinen technischen Sicherheit müssen Firmen eine verbindliche Compliance und Governance definieren, damit sich auch die Mitarbeiter an die notwendigen Regeln halten und Daten nicht außerhalb der sicheren Umgebungen nutzen", sagt Crisp-Analyst Hille. "Dies ist in der Theorie meist relativ leicht, da es Technologien und Erfahrungswerte zur Lösung gibt. In der Praxis bleiben immer Unsicherheiten und Fehlerquellen, die durch das System selbst oder jeden einzelnen Mitarbeiter entstehen können."
Organisatorisch rät Hille Unternehmen zu einem Security- und Privacy-by-Design-Ansatz nach dem Zero-Trust-Prinzip. Dabei geht es darum, den Digital Workplace von Beginn an gemeinsam mit den Security-Maßgaben aufzubauen und Tools zum Management der Endgeräte, Software und Nutzer, zur Verschlüsselung der Daten oder für sichere Backups einzusetzen. "Der Grundsatz, keiner Software und auch keinem Mitarbeiter zu trauen und nur diejenigen Rechte zu gewähren, die eine Lösung und ein Mitarbeiter zum Erledigen seiner Aufgaben braucht, ist dabei der wichtigste", so Hille.
Die Tücken von VPN
In vielen Fällen verbinden sich Mitarbeiter mit ihrem PC oder Notebook von zuhause aus über einen verschlüsselten VPN-Tunnel mit dem Firmen-Netzwerk, um sicher auf interne Systeme und Daten zuzugreifen. Doch VPN erweist sich als Problem, wenn die Nutzerzahlen wie im Zuge der Coronakrise stark steigen. Dazu Nutanix-Manager Pleier: "Die Kapazität der VPN-Gateways in den Firmen ist begrenzt und selten dafür ausgelegt, alle Mitarbeiter anzubinden, sondern lediglich einen Teil der Belegschaft. Durch die hohe Auslastung wird der Zugriff langsam, beschwerlich oder bricht zeitweise ganz zusammen."
In der Folge stellen manche Firmen dann zum Beispiel auf Split-Tunneling um. Dabei werden nur diejenigen Verbindungen durch den VPN-Tunnel geleitet, die Systeme am anderen Ende des VPN-Tunnels als Ziele haben. Für alle anderen Verbindungen wird der VPN-Tunnel ignoriert. Dadurch reduziert sich zwar das Datenvolumen am zentralen VPN-Endpunkt in der Firma, das Sicherheitsniveau aber sinkt.
Zudem ist nur schwer abzuschätzen, ob der Endpunkt im Homeoffice und das Heimnetzwerk des Mitarbeiters gut genug abgesichert sind. "Ist ein Endgerät bei einem Mitarbeiter zu Hause infiziert, nützt auch das beste VPN nichts. Der Angreifer hat dann quasi schon Zugang zum Unternehmensnetzwerk. Es ist daher unerlässlich, eine Endpoint-Protection-Lösung zu installieren", empfiehlt Pleier.
- Fabian Henzler, VP Product Strategy, Matrix42
"Mich hat überrascht, dass sich im Schnitt mehr als 60 Prozent der Befragten eine Automatisierung der Endpoint Security im Bereich der Angriffsabwehr, -meldung und -erkennung wünschen oder gar erwarten, aber weniger als 40 Prozent eine Automatisierung der Schadensbegrenzung. <br /><br />Nahezu alle Studien im Bereich Endpoint Security zeigen, dass beispielsweise External Threats durch Malware selbst durch modernste Techniken wie NGAV oder EDR in mehr als der Hälfte der Fälle zu einem Schaden führen, da die Malware ausbricht und entweder den Arbeitsplatz lahmlegt oder Daten exfiltriert oder die Produktivität des Mitarbeiters, etwa mit Crypto-Mining, einschränkt." - Rüdiger Weyrauch, Director Sales Engineering CEE, FireEye
"In den von FireEye im vergangenen Jahr durchgeführten hunderten Incident-Response-Einsätzen haben wir in Europa eine mittlere Erkennungsdauer von 177 Tagen ermittelt. <br /><br /> Firmen, die den Angriff selbst entdeckten, waren deutlich schneller, lagen aber immer noch bei 61 Tagen. Die Einschätzung, einen Cyberangriff binnen 24 Stunden zu erkennen, ist hier – was zielgerichtete professionelle Attacken angeht – eher ein Wunsch denn Realität. Mit moderner Technik und hoch ausgebildeten Personal sind 24 Stunden durchaus erreichbar! <br /><br /> Vor allem gewährleistet eine gute Vorbereitung auf solche Angriffe, dass die Reaktion nach der initialen Erkennung dann auch professionell und erfolgreich erfolgt, anstatt die Situation durch unüberlegte Gegenmaßnahmen eventuell sogar zu verschlimmern." - Sven Janssen, Channel Sales Director, Sophos
"Die IDG-Studie Endpoint Security Management 2019 ist aus mehreren Perspektiven sehr interessant. Auf der einen Seite räumt sie mit einigen Vorurteilen auf, macht auf der anderen Seite aber auch deutlich, dass noch viel Handlungsbedarf besteht, um auf künftige Cyber-Gefahren angemessen reagieren zu können. <br /><br /> Sehr positiv – und in dieser Klarheit auch ein wenig überraschend– ist die mittlerweile hierzulande sehr gute Akzeptanz der Cloud als wichtiger Baustein einer IT-Security-Strategie. Dass hier nur noch vier Prozent völlig ablehnend sind, zeigt, dass die Technologie endgültig ankommen ist – eine super Nachricht! <br /><br /> Einen Ruck muss es allerdings noch im Bereich Automatisierung geben. Ich bin froh, dass die Studie den Finger in diese Wunde legt, da gerade kleinere und mittlere Unternehmen hier auch nach unseren Erfahrungen noch viel Nachholbedarf haben." - Christian Patrascu, Senior Director, Sales Central Eastern Europe, Forcepoint
"Die IT-Security muss sich weg von Indicators of Compromise (IOC) hin zu Indicators of Behavior (IOB) bewegen. Die Studie bestätigt dies. 68 Prozent der Befragten sagen, die beste Endpoint Security bringt nichts, wenn der Faktor Mensch das größte Sicherheitsrisiko bleibt. 37 Prozent setzen dabei bereits Behavioral Analytics als Teil ihrer Endpoint-Security-Strategie ein, 33 Prozent planen es. Das ist nur konsequent, denn der Mensch ist die Konstante in einer sich ständig wandelnden Bedrohungslandschaft. Der Fokus von Unternehmen sollte daher künftig auf verhaltensbasierten Lösungen liegen, die den Menschen und dessen Umgang mit Daten in ihre Analysen miteinbeziehen.<br /><br />Die Studie zeigt eine große Offenheit bei den Befragten für den Einsatz neuer Technologien zum Schutz von Endpoints. Wir sehen uns darin bestätigt, dass IT-Verantwortliche in Deutschland sich einem humanzentrierten, verhaltensbasierten Security-Ansatz öffnen."
Sicherheit in VDI-Umgebungen
Als Ausweg bietet sich der Einsatz von virtualisierten Desktops an. Wenn alle Daten, Anwendungen oder der komplette Desktop zentral im Rechenzentrum installiert sind, steigt auch die Verfügbarkeit und Sicherheit der Daten. Durch die zentrale Administration im Rechenzentrum entfällt der Wildwuchs individuell vorkonfigurierter Betriebssysteme oder Anwendungen, weil Anwender keine eigenen Programme mehr installieren können. "Der Admin behält so die Kontrolle über die Daten, kann Patches für alle virtuellen Desktops bereitstellen, Konfigurationen ändern, Richtlinien durchsetzen und einheitliche Desktops bereitstellen, die allen Compliance-Anforderungen genügen. Das zeigt unsere langjährige Erfahrung mit VDI-Umgebungen", so Pleier.
Virtuelle Desktops sind aber genauso anfällig für Malware, Viren und Exploits wie physische Desktops. Daher müssen Firmen VDI-Desktops genauso umfassend absichern wie herkömmliche PCs. Allerdings lassen sich die Bedrohungen besser eingrenzen, da das Gros der Sicherheitsmaßnahmen im Rechenzentrum und auf der Hypervisor-Ebene erfolgt. So ist es beispielsweise möglich, den Malware-Schutz über alle virtuellen Maschinen hinweg einzurichten. Da sich Netzwerksegmente besser abtrennen lassen, können Unternehmen die virtualisierten Desktops und ihre Serverinstanzen von anderen Teilen des Netzwerks isolieren.
Desktop as a Service und Security
Bei Desktop as a Service werden die virtualisierten Clients vom Cloud-Provider verwaltet und geschützt - möglicherweise noch besser, als es für ein Unternehmen zu vertretbaren Kosten im eigenen Rechenzentrum möglich ist. Bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. "Desktop as a Service ist die Zukunft des Digital Workplace, insbesondere in globalen Unternehmen oder in Firmen, die viele Freelancer und externe Mitarbeiter beschäftigen. Sie wollen sich nicht um Security kümmern, sondern sich auf ihr Kerngeschäft konzentrieren", sagt Pleier.
Unternehmen können die benötigten Arbeitsplätze im Cloud-Portal definieren und bei Bedarf bereitstellen. Dazu werden jeweils nur die benötigten Sitzungen gehostet. Fällt etwa ein Mitarbeiter krankheitsbedingt aus oder hat Urlaub, muss für dessen Arbeitsplatz auch nicht bezahlt werden. Für die optimale Nutzung der verfügbaren Bandbreite sorgen Streaming-Protokolle für Anwendungen. Der Nutzer selbst benötigt lediglich einen aktuellen Browser (HTML5) und einen Internet-Zugang. Die Daten werden dabei verschlüsselt übertragen.
Digital-Workplace-Sicherheit - welcher Ansatz ist der richtige?
Für den Crisp-Experten Hille ist klar: Reine VDI- oder DaaS-Umgebungen werden seltener und durch einen Corporate App-Store aus SaaS-Anwendungen, eigenen Lösungen und eventuell älterer Lizenzsoftware ersetzt. "Hier können VDI und DaaS durchaus Sinn ergeben, jedoch als Ergänzung, wenn bestimmte Zugriffe besser zentral sind und es sich wirtschaftlich anbietet, die Betriebssysteme und Desktops im Rechenzentrum zentral zu haben.
Für alle Arbeitsbereiche, bei denen der Tool-Stack in Sachen Software bereits definiert ist, genügen VDI- und DaaS-Konzepte", so Hille. Er sieht auch Einsatzszenarien in der Produktion, wo nur spezifische Anwendungen ohne großartige Dynamik und Flexibilität auf Anwendungsebene genutzt werden. Seiner Meinung nach sollten Firmen grundsätzlich prüfen, ob VDI, DaaS, SaaS oder eine Mischform daraus für sie die beste Lösung ist.