Die Maßnahmen zur Eindämmung der Corona-Pandemie haben viele Unternehmen unvorbereitet getroffen. Es zeigt sich, dass Mitarbeiter aus dem Homeoffice arbeiten zu lassen nicht nur technische Schwierigkeiten mit sich bringt. Ebenso einher gehen damit erhebliche Sicherheitsrisiken. Mit einer End-User-Computing-Lösung wie Nutanix Xi Frame lassen sich beide Aspekte schnell und unkompliziert adressieren.
Im Zuge der Ausgangsbeschränkungen und der Maßnahmen zur Eindämmung des Coronavirus haben Firmen für ihre Mitarbeiterinnen und Mitarbeiter soweit irgend möglich Homeoffice angeordnet. In vielen Unternehmen stellte das die bisherigen Gepflogenheiten auf den Kopf. Häufig war Homeoffice nur einem kleinen Personenkreis vorbehalten oder in Ausnahmefällen gestattet. Ausnahmen bestätigen die Regel.
Weil die notwendigen Veränderungen so plötzlich eintraten, trafen sie Firmen oft unvorbereitet. Und auch die Mitarbeiter müssen erst lernen, mit der neuen Situation umzugehen. Das gilt nicht nur für die Einteilung der Arbeit und die Kommunikation mit den Kollegen, sondern auch hinsichtlich der Sicherheitsmaßnahmen. Während die Arbeitsplätze innerhalb des Unternehmens-Netzwerks vergleichsweise gut abgesichert sind, sieht das am heimischen Schreibtisch im Regelfall anders aus. Diesen Umstand haben auch Cyberkriminelle schnell bemerkt. Für sie ist es in der neuen Situation wesentlich einfacher, Angestellte zu manipulieren und über sie Zugang zum Netzwerk der Unternehmen zu erhalten sowie auf sensible Daten zuzugreifen.
Aber auch der nun stärker auf digitale Kanäle verlagerte Austausch der Mitarbeiter untereinander birgt Gefahren. Nicht alle können bereits damit umgehen. Manche Person lässt sich daher durch Kontaktanfragen vermeintlicher Kollegen, Anrufe oder E-Mails leicht täuschen. Sie gibt in der ungewohnten Situation leichter Informationen preis, die Angreifern weiterhelfen. Erschwerend kommt hinzu, dass die oft provisorisch und überhastet eingerichteten Arbeitsplätze im Homeoffice nicht im gleichen Umfang abgesichert sind wie die Rechner im Büro.
VPN – Lösung mit vielen Problemen
In vielen Fällen, in denen Firmen Homeoffice bisher nicht oder nur eingeschränkt ermöglicht haben, nahmen die Mitarbeiter ihre Arbeitsrechner aus dem Büro mit und verbinden sich nun per VPN von Zuhause mit dem Firmennetzwerk. Das scheint zunächst eine praktikable Vorgehensweise zu sein. Bei näherem Hinsehen und längerer Nutzung erweist es sich weder als dauerhafte anzustrebende noch tragfähige Lösung.
Eine der ersten Hürden ist, dass die Kapazität der VPN-Konzentratoren beziehungsweise VPN-Gateways in den Firmen begrenzt ist. In den meisten Fällen sind sie schlicht nicht dafür ausgelegt, alle Mitarbeiter anzubinden. Bis dato wurde lediglich ein Teil der Belegschaft oder dedizierte Standorte angebunden. Die nun plötzlich stark gestiegene Anzahl der gleichzeitigen VPN-Verbindungen kann die Infrastruktur überlasten. Der Zugriff wird langsam, beschwerlich oder bricht zeitweise ganz zusammen.
Das zwingt Unternehmen dazu schnell zu reagieren, u.U. Behelfslösungen einzurichten. Eine einfache Möglichkeit die Last auf den VPN-Gateways zu reduzieren wäre eine weniger aufwändige, aber auch unsichere Verschlüsselung des VPN zuzulassen. Sicherheitsbewusste Administratoren werden diesen Schritt nicht in Erwägung ziehen und eher ein schlechtes Nutzererlebnis akzeptieren. Das birgt allerdings die Gefahr, dass Anwender auf Alternativen ausweichen oder die IT die Anforderungen auf Druck der Nutzer hin lockern muss. Der Klassiker ist hier die wütend vorgetragene Beschwerde „Ich kann so nicht arbeiten“. In der Folge wird zum Beispiel vom sicheren, aber hohe Bandbreiten verlangendem Strikt-Tunneling auf Split-Tunneling umgestellt. Dadurch reduziert sich das Datenvolumen am zentralen VPN-Endpunkt in der Firma. Gleichzeitig sinkt aber auch das Sicherheitsniveau erheblich, da Datenpakete an den zentralen Sicherheitsmechanismen des Unternehmens vorbei direkt zum Endgerät gelangen können. Angriffe können damit weder blockiert noch erkannt werden.
Bei dem Einsatz eines Unternehmens-PCs als VPN-Endpunkt im Homeoffice wird ein als vertrauenswürdig eingestuftes Endgerät ins Unternehmensnetzwerk eingebunden. Dabei gibt die IT-Abteilung im Vergleich zur vorherigen Situation jedoch einen Teil der Kontrolle über das Gerät ab. Denn dieses befindet sich nicht mehr in einem „sicheren Netzwerk“, dem Unternehmensnetzwerk, sondern in einer hinsichtlich Sicherheit schwer bis unmöglich einzuschätzenden Umgebung. Lösungen zur Absicherung von Client-PCs (Endpoint-Protection) können hier vieles abfangen. Dennoch bleibt ein Restrisiko für jedes einzelne Endgerät. Angesichts der großen Anzahl an Endpunkten und dem damit verbundenen Multiplikator wird dies schnell zu einem ernst zu nehmenden Angriffsvektor auf die Unternehmens-IT-Infrastruktur.
“My home is my castle” – für das Homeoffice gilt das Sprichwort sicherlich nicht
Ein Großteil der Problematik ergibt sich dadurch, dass völlig offen ist, ob das nun genutzte Heimnetzwerk der Mitarbeiter entsprechend abgesichert ist. Denn neben dem für die Arbeit genutzten Rechner finden sich darin üblicherweise allerlei Endgeräte, die nur als „nicht vertrauenswürdig“ zu bezeichnen sind. Dazu gehören alte Smartphones mit längst ausgenutzten Sicherheitslücken, Drucker, Blu-Ray Player oder Smart TVs mit veralteter Firmware, zweifelhaften Sicherheitsvorkehrungen und Sicherheitseinstellungen. Besonders kritisch sind in diesem Kontext WLAN-Router mit veralteter Firmware oder WLAN-Funkzellen, die schlechte oder im schlimmsten Fall gar keine Verschlüsselung aufweisen. Nüchtern betrachtet ist dies ein IT-Sicherheits-Albtraum.
Die neue, massenhafte Umstellung auf das Homeoffice bringt in der Praxis darüber hinaus weitere Fallstricke und Schwierigkeiten mit sich:
- Wenn der Bürorechner zum ersten Mal vom (unbedarften) Endanwender zuhause angeschaltet wird, fragt Windows beim Aufbau der Netzwerkverbindung, wo sich dieser befindet. Aus Anwendersicht ist „Im Heimnetzwerk“ die logische Antwort – aus Firmensicht steht er aber in einem nicht vertrauenswürdigen, u.U. ungesicherten oder gar öffentlichen Netzwerk.
- Das IT-Fachpersonal kann die Endpunkte sowohl aufgrund der Arbeitslast als auch der zurückzulegenden Wege nicht so einrichten und betreuen wie in der Firma.
- Die Verwaltung aus der Ferne wäre daher wünschenswert, ist aber meist nicht gegeben, da sie im ursprünglichen Nutzungskonzept nicht erforderlich war.
- Wenn das VPN nicht aufgebaut ist - zum Beispiel über das Wochenende - ist das System von den in Firmen üblichen „Management-Systemen“ abgekoppelt. Dann bekommt es weder Updates noch werden die zentral definierten Regelwerke angewendet. Auch die Installation von Software über eine zentrale Softwareverteilung ist in diesem Fall nicht möglich. Eine mögliche Lösung wäre, die Management-Systeme so umzukonfigurieren, dass diese über das Internet erreichbar sind. U.A. aus Gründen der Sicherheit ist es in der Kürze der Zeit nicht sinnvoll machbar.
- Dass qualifiziertes Personal zum Einrichten der Arbeitsplatz-Rechner oder im Fehlerfall zum Benutzer vor Ort kommt, ist weder umsetzbar noch angesichts der jetzigen Situation und der Gefährdung der Personen sinnvoll.
- Problematisch wird es perspektivisch, wenn die Rechner nach überstandener Pandemie wieder ins Unternehmensnetzwerk zurückkommen. Beim verteilten Zugriff über das VPN lässt sich problematische Kommunikation unter den Clients ggf. noch an der zentralen Firewall unterbinden. Steht der Rechner wieder im Unternehmensnetzwerk, ist dieser Aspekt, wenn überhaupt, weniger streng geregelt. Meist können Arbeitsplatzrechner innerhalb des Unternehmensnetzwerks uneingeschränkt miteinander kommunizieren. Bringt auch nur ein System Schadsoftware mit, kann sich diese in unglaublicher Geschwindigkeit im internen Firmennetzwerk ausbreiten. Um diese Gefahr zu eliminieren müsste jedes Gerät bei der Wiedereingliederung ins Unternehmensnetzwerk neu installiert werden.
- Unklar ist auch, was geschieht, wenn während der Pandemie ein Mitarbeiter das Unternehmen verlässt. Der bei Mobilgeräten übliche „Remote Wipe“ ist beim PC nahezu unmöglich. Das heißt, die unter Umständen vertraulichen Daten liegen auch weiterhin lokal vor.
- Festplatten-Verschlüsselung ist auf mobilen Computern heute nahezu Standard, bei fest installierten Geräten aber in vielen Branchen nicht üblich. Wenn diese Geräte jetzt außerhalb des Unternehmens verwendet werden, ergibt sich eine weitere Angriffsfläche. Das gilt selbst dann, wenn die Mitarbeiter die Vorgabe haben keine Daten lokal auf dem Gerät abzulegen und diese sogar einhalten. Denn auch vom System werden Dateien und Dokumente lokal abgelegt, etwa indem sie in temporären Dateien gespeichert werden. Dort lassen sie sich dann von jedem leicht auslesen, der Zugriff auf so ein Gerät erhält. Erst vor kurzem wurde über Ebay ein bei der Bundeswehr ausrangierter Laptop verkauft, auf dem noch die Gebrauchsanleitung für einen Raketenwerfer gespeichert war. Mit vergleichbaren Meldungen möchte kein Unternehmen in der Presse vertreten sein.
Wie Nutanix helfen kann
Zusammenfassend lässt sich sagen: Mit klassischen Methoden des PC-Managements ist es nahezu unmöglich in der aktuellen Situation, in der Mitarbeiter kurzfristig und unerwartet in großer Zahl von außerhalb des Unternehmensnetzwerks arbeiten müssen, sicheren und einfachen Zugriff zu gewährleisten. Dies gilt insbesondere dann, wenn im Homeoffice z.B. aufgrund von kurzfristigen Lieferengpässen oder anderen Schwierigkeiten kein von der Firma zur Verfügung gestellter Rechner genutzt werden kann und auf private Endgeräte zurückgegriffen werden muss. Sicherheit ist dabei lediglich ein Aspekt, die positive Nutzer-Erfahrung der andere. Wie lässt sich zum Beispiel bei firmeneigenen Geräten sicherstellen, dass Mitarbeiter, sofern nötig, weiterhin Dokumente ausdrucken können? Wie weiß die Firmen-IT, welchen Drucker der Mitarbeiter zuhause hat und wie lässt sich dieser einbinden? Ist dieser überhaupt kompatibel? Sind Treiber verfügbar?
Ein Ausweg können bereits bewährte und etablierte Szenarien für reibungsloses End-User-Computing (EUC) sein – z.B. in Form von virtuellen Desktops (VDI). Nutanix hat hier aus seiner Historie bereits umfangreiche Erfahrungen. Eine Möglichkeit ist es, auf Grundlage von Nutanix HCI zusammen mit Citrix XenDesktop und VMware Horizon View Zugriff auf Unternehmens-Ressourcen zu ermöglichen. Nutanix arbeitet derzeit mit vielen Systemintegratoren und Kunden zusammen, um genau dies umzusetzen.
Parallel dazu bietet sich die Nutzung einer weiteren, schnell verfügbaren Lösung an: Nutanix Xi Frame stellt eine zusätzliche Infrastruktur dar, die mit der Bestandsinfrastruktur verknüpft wird. Voraussetzung beim Endanwender sind für eine Nutzung lediglich ein aktueller Browser (HTML5-fähig) und ein Internetzugang. Ein Xi Frame-Account lässt sich mit einer VDI-Installation gleichsetzen – nur dass die Infrastruktur nicht im Unternehmen stehen muss.
Abb. 1: Blick auf Xi Frame aus Endanwendersicht.
Xi Frame lässt sich über Public-Cloud Infrastrukturen von Microsoft, Amazon Web Services oder Google mit Abrechnung auf Stundenbasis buchen. Dabei kann Nutanix sowohl die Software als auch die Cloud-Infrastruktur zur Verfügung stellen. Alternativ lässt sich auch ein bereits ein vorhandener Account des Unternehmens bei einem Cloud-Provider nutzen. Für die Benutzer-Authentifizierung werden gängige Identity-Provider unterstützt – von Microsoft Active Directory über Okta bis zum einfachen Google Account.
Für Unternehmen ist Xi Frame komplett zentral verwaltbar. Die benötigten Arbeitsplätze können nach Bedarf bereitgestellt werden. Dazu werden jeweils nur die benötigten Sitzungen und ggf. definierte Reserve-Kapazitäten vorgehalten. Fällt etwa ein Mitarbeiter krankheitsbedingt aus oder hat Urlaub, dann wird dessen Arbeitsplatz nicht gestartet. Die Kosten dafür entfallen. Um das zu erleichtern, können Instanzen im Pooling-Verfahren genutzt werden. Diese skalieren dann automatisch je nach Bedarf. Zudem ist Xi Frame multimandantenfähig, lässt sich also für mehrere Standorte oder Abteilungen einsetzen und von Managed Service Providern auch für einzelne Kunden.
Abb. 2: Mit Xi Frame müssen sich Unternehmen nur darum kümmern, welche Anwendungen sie ihren Mitarbeitern zur Verfügung stehen wollen. Infrastruktur und die erforderliche Software für die Bereitstellung der Desktops als Service kommen von Nutanix und seinen Technologiepartnern.
Einfacher und schneller Einstieg in Nutanix Xi Frame
Unternehmen legen für die Nutzung von Xi Frame zunächst die sogenannte Sandbox fest. Dabei handelt es sich um die initiale Instanz eines Arbeitsplatzes, welche je nach Bedarf vervielfältigt wird. Dabei kann dem Endanwender sowohl ein vollwertiger Windows-Desktop als auch einzelne Anwendungen zur Verfügung gestellt werden. Den Rest übernimmt Nutanix. Dazu gehört u.A. die optimale Nutzung der verfügbaren Bandbreite: Eigens entwickelte Streaming-Protokolle sorgen für akzeptable Performance aus Sicht der Anwender, selbst bei geringen Bandbreiten.
Abb. 3: Xi Frame übernimmt alle wichtigen Aufgaben bei der Bereitstellung von Desktops als Service. Anwender benötigen lediglich ein Endgerät mit HTML5-fähigem Browser und einen Internetzugang.
Auf Seite der Unternehmen wird die Anzahl der VPN-Verbindungen überschaubar gehalten, was die Firewall-Instanzen entlastet. Da es wenig Fehlerquellen gibt, ist das Troubleshooting beim Endbenutzer denkbar einfach. In der Regel ist es ausreichend, den Browser neu zu starten. Aufgrund der nutzungsabhängigen Abrechnung und Bereitstellung der Desktop-Instanzen lässt sich auch problemlos wieder zum „Normalbetrieb“ im Büro zurückkehren, wenn sich die Lage wieder entspannt. Zugleich sind für mögliche künftige Szenarien die erforderlichen Vorbereitungen getroffen die einmal bewährte, flexible Arbeitsweise erneut zu aktivieren – oder permanent zu nutzen.
Anwender und IT-Verantwortliche können sich von der Leistungsfähigkeit von Nutanix Xi Frame über einen zwei Stunden lang verfügbaren Demo-Account überzeugen. Üblicherweise ist die Einrichtung innerhalb einer Stunde abgeschlossen, die zweite Stunde kann dann genutzt werden, um die Funktionsweise zu erproben. Außerdem gibt es eine Trial-Option für 30 Tage, in der für Xi Frame keine Lizenzgebühren anfallen. Darüber hinaus offeriert Nutanix ein Xi Frame Quick Start Bundle (3 Monate für 50 Nutzer).