The Teleworker:
Wenn es von zuhause gehen muss …
Wer hätte sich gedacht, dass wir von heute auf morgen unseren Job von zuhause aus machen müssen! Dass so manche Kolleginnen und Kollegen an einem Freitag nicht ins Büro gekommen sind, sondern von zuhause gearbeitet haben, hat es schon gegeben.
Unternehmen hatten meistens auch keinen großen Aufwand getrieben, eine Anbindung für Teleworker zu schaffen. Aber von einem Tag auf den anderen sollen alle von zuhause arbeiten. Da sind gewisse Probleme vorprogrammiert und auf diese wollen wir in unserem Blog/Magazin „The Teleworker“ in mehreren Teilberichten eingehen und werden Lösungen aufzeigen.
Lesen Sie heute über folgende Punkte:
- Wie sicher sind Remote-Zugriffe ohne starke Authentisierung?
- Per VPN ins Unternehmen, und worauf dabei zu achten ist
- Warum EDR (Endpoint Detection and Response)?
- Warum DNS-Zugriffe am Client überprüfen?
- Remote Desktop und Virtual Desktop Infrastructure (VDI)
Wie sicher sind Remote-Zugriffe ohne starke Authentisierung?
Naheliegend ist es, die Authentisierung so zu belassen, wie es innerhalb des Unternehmens gemacht wird. In Organisationen arbeiten viele mit dem Login User Name & Password, gemäß einem Eintrag im firmeninternen Benutzerverzeichnis (Active Directory).
Die Alternative, zusätzlich Zertifikate zu verwenden, gibt manchmal vermeintliche Sicherheit. Wo befinden sich die Zertifikate? Werden diese auf einer externen Smartcard generiert oder werden sie auf den Rechner kopiert und „sicher“ im Windows Store abgelegt, wo sie sodann auf jedem Backup wieder zu finden sind?
Eine sichere Alternative: Zwei-Faktor, Multi-Faktor Authentication
Das Password lässt sich nur aus einem Teil, den man wissen muss (PIN) und über etwas, das man besitzen muss, zusammensetzen. Die klassische Lösung dafür ist der persönlichen Password-Token.
Mit der Tatsache, dass fast jeder ein Mobil-Telefon besitzt, wird der 2. Faktor als SMS-Nachricht auf das Handy des Users übertragen. Heutzutage werden spezielle Apps angeboten, die per Push-Technologie eine Benachrichtigung mit der Bitte um Bestätigung als 2. Faktor nutzen. Diese Technologien lassen sich auch gemischt einsetzen und mit einem klassischen Hardware-Token kombinieren, wenn man an einem Ort ohne Handy-Empfang arbeiten muss. Ein zweiter Faktor ist natürlich auch ein Fingerabdruck, Iris-, Gesichts- oder ein Handvenen-Scanner.
Diese Systeme sind intelligenter und benutzerfreundlicher geworden und erfragen je nach Setup einen 2. Faktor nur noch, sobald Anomalien im Anmeldeprozess erkannt worden sind.
So wird man bei Anmeldungen
- aus dem Ausland (Ausnahmen sind möglich)
- bei einem Logon über ein fremdes oder neues Device
- nach einer definierten oder „gelernten“ Uhrzeit
- bei einem Logon an eine neue Applikation
um einen 2. Faktor gebeten.
Die User-Akzeptanz für diesen wichtigen Security-Prozess wird damit stark erhöht und das Unternehmen ist gegen den gefährlichen Missbrauch von Identitäten geschützt. Außerdem ist der Rollout für eine Authentisierungsmethode via Handy für Hunderte oder Tausende User dank eines E-Mail & Self-User-Service quasi über die Mittagspause realisierbar!
Per VPN ins Unternehmen, und worauf dabei zu achten ist
Vorausschickend empfehlen wir dringend, dass der VPN-Client auf einem Firmen-Device installiert wird und wenn es geht nicht am Privat-PC des Mitarbeiters.
Noch vor der Entscheidung des richtigen VPN Clients sollte folgende Fragen technisch beleuchtet werden:
Split Tunneling – Ja oder Nein?
Mit Split Tunneling wird bestimmt, welcher Traffic über den VPN-Tunnel in die Firma geschickt wird und welcher Traffic direkt am Internet-Breakout beim Teleworker zu anderen Zielen wie Google oder zu Cloud-Anwendungen wie Office 365 ins Internet abzweigen soll, ohne das Firmen-VPN zu benutzen.
Da stehen natürlich Bandbreiten-Überlegungen bezüglich der VPN-Dimensionierung dahinter. Aber es ist es vielleicht wert, während der Arbeit alle Zugriffe über das VPN zu leiten, um die in der Zentrale für gutes Geld angeschafften Security-Systeme wie AntiVirus, Anti-Malware, URL-Filtering, Application Control und natürlich ein Port Filtering durch eine Firewall zu nutzen, bevor die Verbindung in das Internet mündet.
Kein Vorteil ohne Nachteil: Die Latenz kann bei einigen Protokollen für eine gewisse Beeinträchtigung der Applikations-Performance sorgen.
Mit Split Tunneling muss man die Security-Maßnahmen am Client deshalb deutlich verstärken.
Fast alle privaten Haushalte betreiben eine Art Router mit einer integrierten Firewall. Wie kann ein IT-Verantwortlicher eines Unternehmens aber der Qualität dieser Lösung oder der Aktualität der implementierten Security-Regeln (Policy) der Teleworker vertrauen?
Daher sollte man die Sicherheit am Client erhöhen. Jeder Aufruf einer Website könnte „der letzte“ sein.
Warum DNS-Zugriffe am Client überprüfen?
Fast jede Malware will „nach Hause“ kommunizieren oder Schadcode nachladen, das geschieht der Einfachheit halber immer über DNS.
Dagegen hilft ein Client-Agent von BlueShield, welcher die Domains und die dahinter verborgenen Services qualifiziert und gegebenenfalls vom Start weg blockiert. Damit lässt sich sehr rasch und einfach ein effizienter Schutz für den Client zu Hause aber auch in der Firma aufbauen. BlueShield ist ein sehr erfolgreicher Anbieter, der innerhalb der EU beheimatet ist.
Weitere Client Security-Funktionen
Als zusätzliche Funktionen am Client darf natürlich eine lokale Firewall nicht fehlen. Die lokale Client-Firewall muss alle nicht benötigten Verbindungen blocken und solche Aktionen idealerweise auch lokal mitprotokollieren.
Diese Funktion bieten einige VPN-Clients, AV-Clients, EDR-Clients, oder notfalls das Betriebssystem von MS Windows oder Mac.
Harddiskverschlüsselung sollte Standard sein
Aus unserer Sicht muss ein Notebook zu 100 % verschlüsselt sein. Bei einem Verlust durch Diebstahl ist meist nicht der Wert des Notebooks ausschlaggebend, sondern der Wert der Daten, die in falsche Hände kommen können. Spätestens seit der Einführung der DSGVO wird der Verlust von Kundendaten meldepflichtig und teuer.
Darüber hinaus gibt es noch weitere Sicherheitsmechanismen wie Sandboxing und Honeypots, aber dazu mehr in einer anderen Ausgabe.
Remote Desktop oder Virtual Desktop Infrastructure (VDI)
Vom security-technischen Gesichtspunkt her sind Virtual-Desktop Konzepte, wie sie von Citrix, MS Remote Desktop, VMware oder anderen geboten werden, eine ausgezeichnete Lösung für das Arbeiten von zuhause. Dem gegenüber stehen relativ hohe Lizenzkosten, aber auch allerhand Hardware-Kosten für das Unternehmen bis hin zur Verstärkung der Klimaanlage im Datacenter. Der Ressourcenaufwand für eine Citrix-Farm im Datacenter kann mit wachsender Anzahl an virtuellen Terminals markant steigen, so sind oft mehrere Application-Server und ein Loadbalancing vorzusehen. Deshalb werden solche Services auch gerne ausgelagert.
Im Allgemeinen kann mit einer VDI-Lösung beinahe jede Anwendung mit einer sehr guten Applikations-Performance zumindest von Remote-Standorten innerhalb Europas betrieben werden. Werden hohe grafische Auflösungen oder Video-Applikationen benötigt, so wird es wohl immer wieder zu Enttäuschungen kommen. Auch das Drucken am lokalen Drucker des Teleworkers kann sich zu einem Geduldsspiel entwickeln. Werden neben VDI auch Anwendungen lokal am Client betrieben, so kann das zum Beispiel bei einem größeren Download im Hintergrund, auf der gleichen Verbindung in die Firma ohne Traffic-Shaping, zu schlimmen Beeinträchtigungen der User Experience führen.
Und noch ein Hinweis:
Anwendungen sollen nicht laufend (alle Sekunden) Änderungen am Schirm verursachen (z. B. die Uhrzeit inkl. Sekunden). Das kann bei Hunderten oder gar Tausenden von Anwendern zu ganz erheblichem Netzwerk-Traffic führen.
Wenn Sie Interesse an unseren Services haben, so melden Sie sich bitte unter
the-teleworker@schoeller.at oder +43 1 6892929-252 oder 219 oder bei Ihrem SCHOELLER-Berater.
Verfolgen Sie unseren Blog weiter auf LinkedIn.
SCHOELLER network control
Ernst-Melchior-Gasse 24/DG
A-1020 Wien, Austria
www.schoeller.at