Cloudworker

Wie Home Office sicher wird

17.09.2014
Von Martin Setzler

Die Risiken des mobilen Arbeitens

Mobile Working lässt sich auf vier unterschiedliche Weisen umsetzen, die jeweils unterschiedliche Risiken mit sich bringen:

  1. Vollständig von der Firma losgelöstes Arbeiten: Der Mobile Worker nimmt seine relevanten Daten mit. Diese müssen über ein sicheres Medium transportiert werden (beispielsweise auf verschlüsselten Festplatten, USB-Sticks oder direkt auf einem mobilen Arbeitsgerät). Hier sind neben den Sicherheitsbedenken und natürlich den vielen Fehlermöglichkeiten durch unachtsamen Umgang mit den Medien und Daten auch Probleme mit asynchronen Dateien offensichtlich.

  2. Anbindung nur an bestimmte firmeninterne Systeme: Der Mitarbeiter erhält nur Zugriff auf zum Beispiel E-Mail und Kalender über Mechanismen wie Microsoft Exchange Web Services. Alternativ können ihm auch Teile des Intranets als passwortgeschütztes Extranet zur Verfügung gestellt werden.Neben eventuell unverschlüsselten Kommunikationsverbindungen etwa über ungeschützte WLAN-Strecken ist hier ein weiteres Sicherheitsproblem, dass von außerhalb relativ leicht auf Daten zugegriffen werden könnte. Selbst die von außen verfügbaren Systeme in separate Sicherheitszonen wie DMZ auszulagern, hilft hier nur bedingt.

  3. Arbeiten in der Public Cloud: Hier geht es beispielsweise um ein CRM-System, das in der Cloud liegt oder um Dokumente auf Cloud-Plattformen wie SharePoint (oneDrive) oder Dropbox.Die Problematik mit dem Zugriff von außen auf interne Systeme besteht hier nicht. Allerdings sollten besonders deutsche Unternehmen bei dieser Variante genau hinsehen. Sobald personenbezogene Daten involviert sind, verstößt man schnell gegen das Bundesdatenschutzgesetz. Auch der Abschluss eines Auftragsdatenverarbeitungsvertrags mit dem Cloud-Anbieter hilft nur, wenn sichergestellt ist, dass die Daten nicht ins außereuropäische Ausland gelangen können (siehe auch nachfolgende Bilderstrecke zu den wichtigsten Änderungen im Zuge der in Arbeit befindlichen EU-Datenschutzreform). Und das ist bei vielen der bekannten Cloud-Anbietern leider der Fall. Ganz zu schweigen von den Möglichkeiten amerikanischer Behörden, die aufgrund des Patriot Acts bei amerikanischen Cloud-Anbietern uneingeschränkte Einsicht in die Daten bekommen können.

  4. Zugriff per VPN/Remote Desktop: Hier geht es um transparentes Arbeiten im Firmennetzwerk entweder über virtuelle Private Netzwerke (VPN) oder Remote-Desktop-Varianten (Citrix Lösungen, Microsoft Terminal Server und ähnliche Techniken). Die Arbeit erfolgt nach dem Login über ein entsprechendes Gateway. Hier bestehen wieder die Risiken, die ein direkter Zugriff auf Ressourcen des Firmennetzwerkes birgt, auch wenn dabei die Kommunikation wenigstens gesichert (weil verschlüsselt) abläuft.

Schwachstelle Endgeräte

Eine große Sicherheitslücke in allen vier Fällen stellen das Endgerät des Anwenders und die Netzwerkstrecke dar. Kann die IT noch relativ einfach bei firmeninternen Geräten bestimmte Sicherheitsmindestanforderungen auch technologisch durchsetzen und sicherstellen, so fällt das bei den vorgestellten Mobile-Working-Varianten schwer.

Dieser Schutz des Endgerätes (Device Protection) ist naturgemäß nur teilweise möglich. Zwar gibt es verschiedene Ansätze, um die Risiken in den Griff zu bekommen. Dazu zählen etwa gerätspezifische Policies, die sicherstellen, dass wenigstens die wichtigsten Sicherheitskomponenten auf den Clients installiert und aktiviert sind - beispielsweise automatische Sperre, Entsperren nur durch Passwort, Malware-Scanner und Firewalls. Zudem helfen Outer-Perimeter-Defence-Maßnahmen wie Network-Access-Control (NAC)-Mechanismen. Mit diesen haben nur zugelassene Geräte Zugriff auf das Firmennetz und es kann sichergestellt werden, dass die sicherheitsrelevanten Komponenten aktiv sind. Auch der Einsatz von Unified-Thread-Management (UTM)-Lösungen oder kompletten Next-Generation-Firewall-Strukturen in Kombination mit den anderen Techniken können die Sicherheit weiter erhöhen.

Allerdings sind diese Technologien relativ teuer und müssen intensiv betreut werden. Zudem lassen sich damit vor allem nur bekannte Geräte oder Geräte, auf denen Zertifikate eingespielt wurden, sinnvoll absichern. Andere Geräte bleiben außen vor.

Zur Startseite