Zum Hauptinhalt springen

Sicheres Homeoffice

Einleitung

Wenn Mitarbeitende im Homeoffice arbeiten, müssen sie auf ihre Daten in der Firma zugreifen können. Die dazu eingesetzten technischen Mittel weisen unterschiedliche Eigenschaften und Risiken auf. Da die Etablierung in vielen Fällen unter Zeitdruck erfolgte, ist es jetzt umso wichtiger, diese Kanäle auf ihre Sicherheit hin zu untersuchen.

Methoden für Remotezugriff

Man kann zwei grundsätzliche Methoden für den Fernzugriff auf Firmenressourcen unterscheiden:

Remote Display – bei dieser Methode steht der Arbeitsplatzcomputer in der Firma und wird aus dem Homeoffice ‘ferngesteuert’. Die Daten bleiben also in der Firma und werden dort bearbeitet. Ins Homeoffice werden nur Bildschirmansichten übermittelt.

VPN – bei dieser Methode wird das Firmennetzwerk ins Homeoffice verlängert und der Arbeitsplatzcomputer steht dann zu Hause. Gearbeitet wird direkt auf dem Computer, der Zugriff auf die Firmendaten erfolgt über den sogenannten VPN Tunnel. Die Daten werden also effektiv ausserhalb der Firma bearbeitet.

Eine weitere wichtige Unterscheidung betrifft die Frage, ob im Homeoffice private oder Firmengeräte verwendet werden.

Aktuelle Angriffsmethoden

Um eine Beurteilung der Sicherheit vornehmen zu können, müssen wir die typischen Angriffsszenarien etwas näher betrachten.

Die meisten Angriffe erfolgen heute von innen her. Das heisst, der Angreifer versucht, sich innerhalb des Firmennetzwerkes einen ‘Brückenkopf’ zu errichten. Darunter versteht man einen Computer, der vom Angreifer unter seine Kontrolle gebracht wird. Über diesen kann er sich dann innerhalb des Netzwerkes bewegen, bzw. von dort aus auf Daten zugreifen und diese ausleiten (Diebstahl) oder verschlüsseln (Ransomware). Ob diese Operationen durch einen Angreifer oder automatisiert erfolgen, ist für die Risikoabschätzung nicht relevant. Wichtig ist an dieser Stelle, dass es dem Angreifer gelingen muss, eine Schadsoftware innerhalb des anzugreifenden Netzwerkes zu installieren. Gelingt ihm das, ohne dass es bemerkt wird, hat er danach mehr oder weniger freie Hand.

Es stellt sich nun die Frage, in welchem Masse die verschiedenen Methoden des Homeworkings diese Angriffsmöglichkeiten beeinflussen.

Private oder Firmengeräte

Der Einsatz von Privatgeräten für das Arbeiten im Homeoffice ist verlockend einfach. Die Geräte sind sofort betriebsbereit und für die Firma entstehen keine Kosten für Endgeräte. Sofern diese Geräte ausschliesslich als ‘dumme Terminals’ verwendet werden – der Anwender also nur seinen Arbeitsplatzrechner im Büro fernsteuern kann – ist diese Methode einigermassen sicher. Wenn das Privatgerät aber bereits von einer Malware befallen ist, kann ein Angreifer auf diesem Weg Bildschirminhalte und Eingaben über die Tastatur (inkl. Benutzernamen und Passwörter) abgreifen. Ein direkter Zugriff auf Daten im Firmennetzwerk ist jedoch nicht möglich.
Zu beachten ist, dass der Remotezugang so konfiguriert ist, dass ausser Bildschirminhalten sowie Tastatur- und Mauseingaben kein Datenaustausch möglich ist. Insbesondere muss der Zugriff auf lokale Ressourcen wie Festplatten, USB Geräten und Druckern unterbunden ist. Ebenfalls gesperrt werden muss das Teilen der Zwischenablage. Diese Sicherheitsmassnahmen gestalten das Arbeiten im Homeoffice nicht sehr komfortabel und es kann davon ausgegangen werden, dass in vielen Fällen Komfort vor Sicherheit kommt.

Die auf den ersten Blick kostengünstige Lösung mit den Privatgeräten kann Firmen also im schlechten Fall sehr teuer zu stehen kommen, dann nämlich, wenn über ein schlecht geschütztes Privatgerät ein Einfall in das Firmennetzwerk erfolgt.

Firmeneigene Geräte stehen unter Kontrolle der Firma und können entsprechend gut geschützt werden. Die zentrale Steuerung und Überwachung dieser Geräte ermöglicht einen angemessenen Schutzlevel, welcher durch die Nichterteilung von Administrationsrechten weiter erhöht werden kann.

Ein mögliches Szenario ist auch der Einsatz von virtuellen Firmengeräten auf privater Hardware. Dieser Ansatz ist jedoch relativ komplex und weist einige Fallstricke auf.

Zugriff auf das Firmennetzwerk

Für die Verbindung zwischen Homeoffice und Firmennetzwerk kann grob zwischen drei Möglichkeiten unterschieden werden:

Direkter Zugriff

Der Zugriff erfolgt direkt durch die Remote Access Lösung. Diese baut eine Verbindung zu einem Remote Access System auf und ermöglicht den Zugriff auf das Endgerät. Das kann entweder ein Terminalserver oder ein physischer Rechner sein. Beispiele sind Microsoft Remote Terminal Service, Citrix Remote Access, VNC, …

Der Remote Access Applikation muss der Zugriff auf Firmenressourcen erlaubt werden, typischerweise müssen dazu in der Firewall Ports geöffnet werden.

Zugriff über Relais Server

Hier kommen spezielle Produkte zum Einsatz, welche einen indirekten Zugang über einen beim Dienstanbieter stehenden Server ermöglichen. Bei diesem Ansatz bauen sowohl der Remote Arbeitsplatz als auch das fernzusteuernde System eine Verbindung zu diesem ‘Relais Server’ auf. Dieser verbindet dann die beiden Datenströme. Dieser Ansatz hat den Vorteil, dass keine externen Zugänge ins Firmennetzwerk geöffnet werden müssen, da die Verbindung von innen nach aussen (zum Relais Server) erfolgt. Man muss sich da einfach bewusst sein, dass der gesamte Datenfluss über den Server des Dienstanbieters läuft. Die Kanäle sind zwar verschlüsselt, aber dass der Dienstanbieter da mithört, kann technisch nicht verhindert werden.

Virtual Private Network (VPN)

Bei diesem Ansatz wird das Firmennetzwerk quasi verlängert und zwar so, dass der Homeoffice Arbeitsplatz virtuell im Firmennetzwerk eingebunden ist. Die Anbindung erfolgt hier auf Ebene Netzwerk und die Mitarbeiterin kann ihren Arbeitsplatzcomputer auf die selbe Art nutzen, wie wenn sie im Büro arbeitet. Aus Sicherheitsgründen muss dafür gesorgt werden, dass sämtlicher Netzwerkverkehr über den VPN Tunnel geführt wird (kein split tunnel). Dadurch läuft auch der Zugriff auf das Internet über das Firmennetzwerk und die dort installierten Sicherheitseinrichtungen. Der Zugriff auf Geräte im lokalen Netzwerk (z.B. Netzwerkdrucker) ist dann jedoch auch nicht möglich.

Zusammenfassung

Alle drei Methoden für den Fernzugriff haben ihre Vor- und Nachteile. Jeglicher externe Zugriff auf Firmenressourcen sollte zwingend mit einer starken Authentisierung geschützt werden. Nebst Benutzername und Passwort braucht es noch einen zweiten Faktor. Dazu stehen heute kostengünstige Alternativen zu Hardware Token auf zur Verfügung, welche auf Smartphones (auch auf privaten) betrieben werden können.

Vom Sicherheitslevel und vom Komfort ist VPN sicher die beste Lösung, allerdings ist sie auch diejenige mit der höchsten Komplexität.

Vorteil Cloud

Firmen, die ihre IT bereits in die Cloud migriert haben, sind bei Homeoffice klar im Vorteil. Die sicheren Zugriffsmethoden existieren bereits – sie erfolgen auch im Normalbetrieb direkt über das Internet oder über eine VPN Verbindung zum Cloud Provider. Wenn die Mitarbeitenden auch noch mit portablen Geräten ausgerüstet sind, können sie damit einfach vom Homeoffice aus weiterarbeiten.

Zu beachten ist auch hier wieder, dass gegenüber den Cloudsystemen eine starke Authentifizierung erfolgt. Bei Office 365 steht das heute als Standard zur Verfügung und heisst Multi Factor Authentication (MFA). Alles was es dazu braucht ist ein Smartphone und eine App wie Microsoft oder Google Authenticator. Beide sind kostenlos. Hier erklären wir, wie Sie MFA einrichten.

Thomas Gusset

Über den Autor

Thomas Gusset

Thomas Gusset hat über 25 Jahre Erfahrung in Netzwerksicherheit und ist CEO & CTO der NetSec.co AG

Cookieinformation

Diese Seite verwendet Cookies. Details siehe Datenschutzerklärung.

 

Back to top