Analysen
05. November 2011
AUTOR: Businesscloud.de

Desktop-Virtualisierung als Sicherheitsfaktor

Schön war es damals, vor 30 Jahren, als die "persönliche Informationstechnik" aus einer Komponente bestand: einem Terminal mit Zugang zum Mainframe-Rechner. Unter dem Aspekt IT-Sicherheit waren das paradiesische Zustände: keine Gefahr durch Viren und Trojaner, die online oder über privat genutzte Smartphones und Notebooks eingeschleppt wurden; null Risiko, dass ein Ex-Kollege vor dem Wechsel zu einem neuen Arbeitgeber Kundendaten oder andere verwertbare Unterlagen auf einem Speicher-Stick aus der Firma hinausschmuggelte.

Mitarbeiter werden mobil …

Doch heute sieht die Welt anders aus. Mitarbeiter sind mobiler und flexibler. Laut einer Studie der Marktforschungsgesellschaft IDC werden im Jahr 2013 rund 130 Millionen der insgesamt rund 213 Millionen Beschäftigen in Westeuropa zur Kategorie der "Mobile Worker" zählen – also mehr als 60 Prozent. Für die IT-Abteilung stellt dies eine Herausforderung dar, speziell unter dem Aspekt Sicherheit. Denn diese Mitarbeiter benötigen auch von unterwegs oder dem Home-Office aus Zugang zu Anwendungen und Daten im Unternehmensnetz, also von potenziell unsicheren Umgebungen aus. Mitarbeiter greifen verstärkt von unterwegs oder dem Home-Office aus auf Daten und Anwendungen im Firmennetz zu. Das wirft Fragen in Bezug auf Sicherheit und Compliance auf. (Bild: Vodafone) Ein weiterer Trend: Der Fernzugriff auf Unternehmensinformationen erfolgt nicht mehr nur von einem Endgerät aus, etwa einem Firmen-Rechner. Vielmehr wollen die User ein System ihrer Wahl einsetzen: einen klassischen Arbeitsplatz-PC im Büro, ein Notebook oder Smartphone unterwegs und einen Tablet-Rechner zu Hause auf der Couch. Noch schlimmer: Der Zugriff auf das Firmennetz erfolgt über unterschiedliche Kanäle: öffentliche Wireless-LANs, etwa auf dem Flughafen, über Mobilfunkverbindungen oder über eine Internet-Verbindung, etwa am Rechner im Home-Office.

… und nutzen private Geräte für geschäftliche Aufgaben

Um es noch komplizierter zu machen: Immer mehr Mitarbeiter nutzen private Geräte für Geschäftszwecke. Gut 51 Prozent aller Unternehmen erlauben ihren Mitarbeitern, ihre eigenen Mobilgeräte beruflich zu nutzen, und das ohne jede Beschränkung, beispielsweise auf bestimmte Modellvarianten. Das ergab eine Untersuchung der Beratungsfirma Aberdeen Research, die Unternehmen in Amerika und Europa befragte. Ein Viertel der IT-Leiter verlangt immerhin, dass nur bestimmte Smartphones oder Notebook-Typen eingesetzt werden dürfen. Dies deshalb, um den Support-Aufwand in Grenzen zu halten und um die Sicherheit von Anwendungen und Daten sicherzustellen. Nur 25 Prozent der Unternehmen verbieten generell die Nutzung von privaten Mobilgeräten in der Firma oder für geschäftliche Zwecke. Die Gründe für diese liberale Politik: In erster Linie die Erkenntnis, dass Mitarbeiter produktiver arbeiten, wenn sie dies mit den ihnen genehmen Systemen tun können. Hinzu kommt, dass ein Unternehmen Geld spart, wenn Beschäftigte Arbeitsmittel wie Smartphones oder Notebooks auf eigene Kosten anschaffen. Die meisten Unternehmen weltweit erlauben nach einer Studie der Marktforschungsgesellschaft Aberdeen Group mittlerweile ihren Beschäftigten, ohne Einschränkung private IT-Systeme wie Smartphones und Notebooks für berufliche Zwecke zu nutzen. (Bild: Aberdeen Group / Reder)

Sicherheitsrisiken sind vorhanden

Es liegt auf der Hand, dass der Fernzugriff (Remote Access) auf Firmennetze von Geräten aus, die nicht im Firmennetz angesiedelt sind, mit Risiken verbunden ist. Zwar lassen sich gesicherte Verbindungen über VPNs (Virtual Private Networks) einrichten. Problematisch ist jedoch, dass das Einrichten und Managen von VPN-Verbindungen immer noch relativ komplex ist. Zudem gibt es derzeit nur wenige Lösungen, die den automatischen Wechsel einer Verbindungsart unterstützen, etwa von einem WLAN im Flughafen zum Mobilfunknetz, Stichwort "Seamless Roaming". Ein führender Anbieter solcher VPN-Software ist übrigens eine deutsche Firma: NCP engineering aus Nürnberg. Eine praktikable Möglichkeit besteht darin, die private und berufliche IT-Umgebung auf den Endgeräten strikt zu trennen. Dies lässt sich mithilfe von Virtualisierung bewerkstelligen, nicht nur auf PCs und Notebooks, sondern mittlerweile auch auf Smartphones. Vmware stellte Anfang des Jahres den Prototypen einer Virtualisierungssoftware für Android-Mobiltelefone vor. Damit kann der Systemverwalter auf einem Mobilgeräte mithilfe eines Hypervisors eine virtualisierte Arbeitsumgebung einrichten, in der Anwendungen und Daten getrennt vom privaten Bereich des Gerätes platziert werden.

Daten in eine Sandbox sperren

Eine vergleichbare Lösung stammt von der US-Firma Red Bend. Sowohl Vmware als auch Red Bend etablieren zwei Instanzen eines Betriebssystems, etwa von Android, auf einem Endgerät: eine für den privaten Gebrauch und eine für betriebliche Zwecke. Beide sind strikt voneinander getrennt. Der Systemverwalter hat Zugriff auf die virtualisierte Umgebung und kann dort ohne Zutun des Nutzers Sicherheits-Patches, Anwendungen und Updates einspielen. Eine zweite Option, die der amerikanische Mobilfunk-Service-Provider AT&T ab Ende dieses Jahres anbieten wird, ist eine "Sandbox" auf Mobilgeräten. Das Konzept namens "Toggle" basiert auf einer Technologie der Firma Enterproid. Statt in einer virtualisierten Umgebung laufen Firmenanwendungen wie Gruppenkalender und Zugriff auf E-Mails in einer speziellen geschützten Umgebung. Die Voraussetzung ist, dass Activesync von Microsoft zum Einsatz kommt. Ein "Knackpunkt" dieses Ansatzes ist, dass jede Anwendung an diese Sandbox angepasst werden muss – ein hoher Aufwand. AT&T bietet Geschäftskunden Android-Smartphones mit der Technologie "Toggle" an. Sie stellt in einer abgeschlossenen "Sandbox" Business-Anwendungen zur Verfügung. Der Nachteil: Jede Anwendung muss an diese Umgebung angepasst werden.(Bild: AT&T)

Alternative: Desktop-Virtualisierung

Eine elegante Alternative zu den genannten Technologien bietet Desktop as a Service (DaaS) bzw. Desktop-Virtualisierung aus der Cloud. Die Desktop-Umgebung des Nutzers, inklusive Office und weiterer Applikationen, lagert in diesem Fall im Rechenzentrum eines Service-Providers, etwa von Pironet NDH. Der Nutzer greift von einem beliebigen Client-System aus über eine gesicherte Internet-Verbindung und einen Browser auf "seinen" virtuellen Desktop zu. Das kann er von einem Desktop-Rechner, Notebook tun oder auch über einen Tablet-Rechner wie Apples iPad. Der Nutzer hat in diesem Fall Zugang zu allen Verzeichnissen und Systemen im Unternehmensnetz: Ordner, Server-Laufwerke und Applikationen. Unter dem Aspekt Sicherheit bietet Desktop-Virtualisierung bzw. DaaS unter anderem folgende Vorteile:
  • eine starke Authentifizierung, etwa mithilfe eines Tokens und One-Time-Passwörtern, stellt sicher, dass nur dazu berechtige User auf den Desktop zugreifen können.
  • Daten und Applikationen werden in einem hochsicheren Rechenzentrum vorgehalten, nicht auf dem Endgerät oder einer nur ungenügend abgesicherten IT-Umgebung.
  • Systeme, von denen der Nutzer aus auf den Desktop zugreift, können auf Schadsoftsoftware, fehlende Patches und fehlerhafte Firewall-Einstellungen überprüft werden.
Hinzu kommt, dass sich mithilfe von DaaS die Klippe "Support vieler unterschiedlicher Endgeräte" umschiffen lässt: Die Arbeitsumgebung steht über den Browser auf jedem System zur Verfügung. Dank DaaS hat ein Mitarbeiter überall, zu jeder Zeit und von jedem Endgerät aus Zugriff auf seine persönliche IT-Arbeitsumgebung – sicher und komfortabel. (Bild: Pironet NDH)

Virtual Machine als Backup

Gewissermaßen als Backup für den Fall, dass keine Internet-Verbindung und damit kein Zugang zum Virtual Desktop verfügbar ist, lässt sich auf Endgeräten eine Kopie des Desktops in einer Virtual Machine einrichten. Die lokale Version wird mit der Arbeitsumgebung im Rechenzentrum abgeglichen, sobald ein Netzwerkzugang zur Verfügung steht. Vergleichbar wie bei den Virtualisierungsansätzen von Vmware und Red Bend bei Smartphones steht dem Nutzer in diesem Fall eine sichere Arbeitsumgebung zur Verfügung, die von den privat genutzten Bereichen seines Rechners oder Smartphones separiert ist.

Fazit

Die Herausforderungen, die sich Unternehmen durch die wachsende Zahl von mobilen Mitarbeitern, die Flexibilisierung der Arbeitswelt und durch den Vormarsch privater Geräte stellen, sind durchaus zu bewältigen. Konzepte wie Deskop-Virtualisierung in Verbindung mit DaaS erlauben es, das Beste aller Welten miteinander zu kombinieren – ohne Einbußen in Bezug auf Flexibilität, Kostenkontrolle und Sicherheit.

Kolumne auf All about Security

Dieser Beitrag ist auch in meiner Kolumne auf dem Fachportal "All about Security" erschienen. Künftig blogge ich dort zum Thema Sicherheit bei IT-Services. Viel Spaß bei der Lektüre - und ich freue mich auf Kommentare und Kritik.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 22. November 2016 – Die EASY SOFTWARE AG, einer der führenden Anbieter für elektronische Archivierung, ... Weiterlesen
Köln, den 2. August 2016 – Der ERP-Spezialist proALPHA stellt die Cloud-Variante seines ERP-Systems ab sofort über die Hosted ... Weiterlesen
München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen