Home-Office
Sicherer Zugriff auf Daten im Unternehmensnetzwerk
Nicht zuletzt durch die Corona-Arbeitsschutzverordnung, die dem Arbeitgeber vorschreibt, allen Mitarbeitern nach Möglichkeit Heimarbeitsplätze anzubieten, ist das Thema verstärkt in den Fokus der Unternehmen gerückt. Oft müssen schnell neue Umsetzungsmöglichkeiten geschaffen werden, so dass der Sicherheitsaspekt vernachlässigt wird.
Ziel ist eine Lösung, die insbesondere die Anforderungen der IT-Sicherheit und IT-Infrastruktur erfüllt. Eine geeignete Firewall, die VPN-Verbindungen mit entsprechenden Authentisierungsmechanismen anbietet, bildet die Basis. VPN allein ist aber nur die halbe Miete, denn die Mitarbeiterinnen und Mitarbeiter wollen weiterhin mit ihren gewohnten Anwendungen und Daten aus dem Unternehmensnetzwerk arbeiten können. Der Zugriff auf Verzeichnisse und Dateien ist neben lokal installierten Office-Anwendungen meist noch relativ einfach zu realisieren. Schwieriger wird es häufig bei Unternehmenssoftware, da diese oft nur auf den Arbeitsplatzrechnern im Unternehmen und nicht auf dem VPN-Client installiert ist. Dies kann durch den Zugriff auf virtuelle Arbeitsplatzrechner umgangen werden, die nach dem Aufbau des VPN-Tunnels auf einen Terminalserver zugreifen, der die Anwendungen zur Verfügung stellt. Alternativ kann auch der Arbeitsplatzrechner im Unternehmen genutzt werden. Der Nachteil ist jedoch, dass dieser eingeschaltet sein muss, zusätzliche Stromkosten verursacht und für den Administrator aufwändiger zu administrieren ist (ein Aufwecken aus der Ferne ist möglich).
Um die Sicherheit zu erhöhen, empfehlen wir die Verwendung einer sicheren Zwei-Faktor-Authentifizierung. Bei der Zwei-Faktor-Authentifizierung wird zusätzlich zum Passwort ein Einmal-Passwort benötigt, das über ein so genanntes OTP-Token (One-Time-Password) für den Benutzer generiert wird. Das OTP-Token kann in Form einer Software (z.B. App auf dem Smartphone) oder in Hardware zur Verfügung gestellt werden. Damit wird die Sicherheit von Benutzer + Passwort um das Attribut Besitz erweitert. Nur der Besitzer kann sich erfolgreich anmelden. Dieses Feature kann ohne zusätzlichen Aufwand in der Firewall genutzt werden.
Besteht für den Benutzer keine Möglichkeit, sich per VPN in das Firmennetz einzuwählen, kann (muss aber nicht!) auf der Firewall ein VPN-Client für den Webbrowser freigeschaltet werden. Diese Funktion, die sich oft unter dem Begriff „HTML-5 für VPN-Portal“ oder „clientless access“ verbirgt, kann als Alternative genutzt werden und den Zugriff auf bestimmte Dienste ermöglichen.