Ob Homeoffice, Remote-Office, Außendienst oder einfach von unterwegs: der Zugriff auf unsere Dateien und Anwendungen von außerhalb des Firmennetzwerks wird immer wichtiger und ist schon seit Jahren aus mehreren Branchen nicht mehr wegzudenken. Aber wie können wir den Zugriff unserer Mitarbeiter von außen gleichzeitig sicher, einfach und für den Zugreifenden bequem gestalten? Mit unseren 6 Fragestellungen und Tipps wollen wir Ihnen helfen, einer Antwort auf diese Frage näher zu kommen.
1. Prüfen Sie Authentifizierung und Zugang
Neben einer Standard-Authentifizierungsmethode (Nutzername und Passwort) ist ein zweiter und/oder dritter Faktor mittlerweile Pflicht. Achten Sie daher darauf, dass der Zugriff von außen über Multi-Faktor-Authentifizierung gesichert ist. Das kann zum Beispiel ein „Time-based One-Time Password“ (TOTP, meist 6-stellige Nummer für den einmaligen Gebrauch) oder ein Hardware-Token sein.
Haben Sie bereits Authentifizierungs- oder Verzeichnisdienste, wie zum Beispiel Active Directory, einen RADIUS- oder SAML-Server im Einsatz, lohnt es sich, diesen auch weiterhin als primären Authentifizierungsdienst zu nutzen. Prüfen Sie also, ob sie für die Nutzer ein Single-Sign-On-Erlebnis (SSO) schaffen können, das der Sicherheit nicht abschreibt.
2. VPN oder ZTNA?
Das ist vermutlich eine der meist gestellten und am häufigsten diskutierte Frage in der modernen IT-Welt. Daher möchten wir die Thematik hier nur kurz anreißen und Ihnen eine Einschätzung mit auf den Weg geben.
Durch eine VPN-Verbindung wird der Nutzer/Client Teil des Netzwerkes, in das die Tunnel-Verbindung ihn verbindet. Je nach Berechtigungen und Zielort, kann sich dieser anschließend vertikal im Netzwerk bewegen (= zwischen verschiedenen Hosts/Servern/Anwendungen).
Mit Hilfe des ZTNA-Konzepts wird der Nutzer/Client kein Teil des Netzwerkes. Ein sogenannter ZTNA-Broker (Vermittler) stellt eine einzige Verbindung zwischen dem Gerät des Nutzers und der gewünschten Ressource (z.B. Server oder Anwendung) her, ohne dass der Zugriff vertikal geöffnet wird.
Aufgrund der enormen Sicherheitsrisiken und des Wartungsaufwandes einer VPN-Struktur raten wir zur Nutzung des ZTNA-Konzepts. Der Fernzugriff ist hier einer der wichtigsten Anwendungsfälle und sollte streng nach dem Konzept behandelt werden.
Weitere Informationen zu Zero Trust und ZTNA finden Sie auch beim BSI.
3. Welche Daten werden übertragen?
Gehen wir davon aus, dass Sie bei der Bereitstellung einer Fernzugriffslösung das ZTNA-Konzept verwendet haben. Bei der Verbindung von außen zu einer bestimmten Anwendung, einem Server oder einem Arbeitsplatz (physisch oder virtuell) werden im Normalfall Daten zwischen Ihnen und dem Ziel übertragen. Diese Rohdaten sollten immer verschlüsselt sein, damit ein Abfangen durch Dritte erschwert wird.
Die Sicherheit bei der Datenübertragung kann aber noch weiter erhöht werden – indem gar keine Rohdaten übertragen werden. Aber wie ist das möglich? Bestimmte Fernzugriffs-Lösungen agieren als eine Art Übersetzer zwischen dem Traffic, der von außen auf sie eintrifft (also vom Nutzer) und der Kommunikation mit den Ziel-Systemen (Server, Anwendungen, Desktops etc.). Dabei werden die Daten innerhalb des Netzwerks als Rohdaten gehandhabt und nach außen dann in verschlüsselte Pixel-Fragmente „übersetzt“. Somit ergeben sich gleich zwei Vorteile: die Daten verlassen niemals das Unternehmensnetzwerk und es können keine Rohdaten von außen durch Dritte abgefangen werden.
4. Kann ich jedes Gerät für den Fernzugriff verwenden?
Im Optimalfall sollte die Wahl des Endgeräts dem Nutzer überlassen werden und teure Hardware oder Endpoint-Security obsolet sein. Denn: Sie sparen Ihrem Unternehmen wertvolle Zeit (Administrationsaufwand) und nicht zuletzt Geld, wenn der Mitarbeiter seine eigenen Geräte für den Fernzugriff nutzen kann. Das funktioniert natürlich nur, wenn mit dem Zero-Trust-Ansatz gearbeitet wird.
5. Die Wahl der richtigen Plattform
Damit maximale Flexibilität herrschen kann, sollten die Lösung für den Remote Access plattformunabhängig laufen können. Hier bieten sich entweder Lösungen an, die für sämtliche gängige Server-Betriebssysteme (z.B. Linux, Windows Server) entwickelt wurde oder Software, die auf unabhängigen, transportablen Plattformen läuft (z.B. Container-basierte Software). Keinesfalls sollten Sie Ihre Netzwerkstruktur wegen einer Softwareeinführung umstellen müssen. Wählen Sie daher eine Lösung, die für Ihre Infrastruktur passt.
6. Wählen Sie eine geeignete Remote-Access-Software
Um alle oben genannten Punkte nun zu vereinen, gilt es eine passende Fernzugriffs-Lösung einzusetzen, um der Sicherheit, Flexibilität und Bedienbarkeit Gerecht zu werden. Natürlich spielen hier auch die Kosten und Skalierbarkeit der Software eine Rolle.
Als Lösungsgeber machen wir Ihnen gerne eine Vorschlag: SparkView. Mit SparkView erhalten Sie eine Fernzugriffslösung, die durch alle wichtigen Punkte besticht. Die Nutzer verbinden sich über den Browser zum SparkView-Portal und erhalten anschließend Zugriff auf die für sie freigegebene Ressource. Das können Server, (proprietäre) Anwendungen und Arbeitsplätze sein. Ein großer Vorteil hierbei? Auf dem Client-Gerät muss nichts installiert oder administriert werden. Es kann von jedem beliebigen Endgerät mit einem Browser auf die Zielsysteme zugegriffen werden. Die Bedienung des Zielsystems funktioniert dann zu 100 % im Browser-Fenster – und das natürlich verschlüsselt und ohne Rohdaten auf das Client-Gerät oder vom Endgerät zum Zielsystem zu übertragen. So entsteht maximale Sicherheit bei optimaler Benutzerfreundlichkeit.
Selbstverständlich stehen Ihnen mehrere Authentifizierungsmöglichkeiten zur Verfügung. Sie können beispielsweise Nutzer in einer lokalen Datenbank anlegen oder nutzen bereits vorhandene Dienste wie Active Directory, SAML oder RADIUS. Echtes SSO-Erlebnis und eine eingebaute Zwei-Faktor-Authentifizierung sind mit SparkView ebenfalls gegeben. Ein „Single Point of Administration“ und geringer Administrationsaufwand runden die Lösung schließlich noch ab.
Erfahren Sie mehr über SparkView auf unserer Lösungs-Seite →