Remote-Access
Sicher mobil arbeiten
Fortsetzung des Artikels von Teil 1
Einfach und kostengünstig
In kleineren und mittelgroßen Firmen steht beim Einsatz einer Remote-Zugriffs-lösung im Vordergrund, dass eine klar umrissene Problemstellung gelöst werden soll, möglichst ohne Eingriffe ins Unternehmensnetz, ohne zusätzlichen Aufwand für die Systemadministration und zu überschaubaren Kosten. Diese Bedingungen erfüllt Remote-Desktop-Protocol (RDP), das Microsoft in seinen Professional-Betriebssystemen standardmäßig mitliefert, anstandslos. Die Benutzer können aus der Ferne an ihrem Firmen-PC arbeiten, ohne dass zusätzlich Kosten für Lizenzen und Administration anfallen. Nur wenn mehrere Benutzer auf einen Rechner zugreifen sollen, wird eine Installation auf dem Terminalserver nebst kostenpflichtigen Client-Zugriffslizenzen benötigt. RDP ist schnell eingerichtet und kann von jedem Rechner mit Internetzugang benutzt werden. Allerdings liegt genau darin auch die Gefahr. Falls sich auf dem Gast-PC ein Keylogger unerkannt eingenistet hat, können Hacker die Firmen-URL samt Zugangsdaten abgreifen und mit diesen Daten ins Firmennetz gelangen. Zudem bleibt die aufgerufene URL im Browserverlauf sichtbar.
Kompromissbereitschaft erforderlich
Einbußen bei der Sicherheit müssen auch Anwenderunternehmen hinnehmen, die für den Remote-Zugriff in hochwertige Firewalls beziehungsweise Router mit SSL-VPN investiert haben. Die Lösung ist insofern kostengünstig, als abgesehen von den Anschaffungskosten der Hardware keine weiteren Kosten anfallen. Der Remote-Zugriff erfolgt hier über einen Web-Browser und kann theoretisch von jedem Gast-PC ohne Installation initiiert werden. Allerdings benötigt der Gast-Rechner eine Java- oder ActiveX-Installation; Keylogger können mitlesen.
Diese Gefahr besteht bei Security-Token, mit denen sich die Benutzer im Netzwerk anmelden, nicht. Die Zwei-Faktor-Authentifizierung über die Hardware-Komponente und den von ihr für jeden Zugriff neu erzeugten, mehrstelligen Code bietet einen hohen Zugriffsschutz. Der Code ist einmalig und nur kurze Zeit gültig und kann nicht vervielfältigt oder manipuliert werden. Für den Remote-Zugang können die Anwender jeder beliebige Gast-PC mit Internetanschluss nutzen, sofern er eine Java-Installation aufweist. Der Einsatz des Tokens macht eine Veränderung am
Serversystem notwendig und zieht einen Mehraufwand an Administration und Verwaltung im Firmennetz nach sich. Zu den Installationskosten einer Token-Lösung kommen meist noch monatliche Nutzungskosten.
Zwei-Faktor-Authentifikation für hohen Zugriffsschutz
An Zugriffs-Verfahren mit SMS-Passwort muss das bestehende Serversystem ebenfalls angepasst werden. Die Benutzer können sich von jedem beliebigen PC mit Internetzugang aus anmelden und setzen für die Zwei-Faktor-Authentifizierung zusätzlich ihr Mobiltelefon ein. An dessen auf dem Server hinterlegte Nummer wird ein Code per SMS geschickt, der nur für diese einzelne Session gültig ist. Dadurch bleiben auch bei diesem Remote-Verfahren Keylogger außen vor. Durch den Code-Versand per SMS fallen bei jeder Anmeldung Gebühren an. Wechselt der Benutzer das Telefon, müssen entsprechend Änderungen im System vorgenommen werden.
SSH-Fernzugriff mit USB-Key
Daneben gibt es Lösungen, die die Sicherheit von herkömmlichem VPN mit der einfachen Einrichtung und Bedienung von RDP verbinden. Die Anwender benö-tigen lediglich einen USB-Stick mit der Verbindungssoftware für den Zugang zu ihrem Arbeitsplatz-PC. Diesen können sie an jedem beliebigen Windows-Rechner mit USB-Anschluss und Internetverbindung anstecken, beispielsweise an ihrem privaten oder Firmen-Notebook oder dem Rechner im Home-Office, beim Kunden, im Hotel oder im Internet-Café, und sind dadurch flexibel in der Wahl des Gastrechners. Nach der Eingabe des Kennwortes baut die Software auf dem Stick die Verbindung zum Unternehmensnetz auf. Der verschlüsselte SSH2-Tunnel macht ein Abfangen oder Ausspähen der Daten bei der Übertragung unmöglich. Die Verbindung kann nur mit den beiden Faktoren Stick und Kennwort hergestellt werden und hinterlässt nach Beendigung der Session keinerlei Spuren auf dem benutzten Rechner.
Keine Änderung im Firmennetz
Die Verbindungsanfrage kommt ohne Umweg über externe Server im Unternehmen an einer speziellen Security-Appliance an. Dort sind alle Kennwörter und Berechtigungen für den Zugang zu PCs, Workstations oder Server im Firmennetz hinterlegt. Firewall-Regeln müssen nicht erstellt werden. Da nur ein Port zu einer IP-Adresse geöffnet wird, ist kein Zugriff auf das ganze Netzwerk möglich. Der Nutzer wählt den Rechner aus, auf dem er arbeiten möchte, meldet sich an und bewegt sich nach wenigen Momenten auf der vertrauten Oberfläche. Der Installations- und Konfigurationsaufwand für die Appliance ist überschaubar; andere Komponenten im Netzwerk werden von ihrem Einsatz nicht berührt. Auf diese Weise entstehen weder zusätzliche Kosten für einen leistungsstärkeren Router noch für Anpassungsarbeiten an den Komponenten – ideal für Firmen mit komplexen IT-Strukturen, kleinem IT-Budget und hohen Sicherheitsanforderungen.
- Sicher mobil arbeiten
- Einfach und kostengünstig
Lesen Sie mehr zum Thema
