VPN, VDI und DaaS

Wie der Digital Workplace sicher wird

18.06.2020 von Jürgen Mauerer
Homeoffice und flexibles Arbeiten sind nicht nur in Krisenzeiten wichtig, sondern auch im normalen Geschäftsalltag. Doch der moderne Digital Workplace stellt hohe Anforderungen an Sicherheit und Datenschutz. Hier helfen Lösungskonzepte wie VPN, virtualisierte Desktops (VDI) und Desktop as a Service (DaaS) weiter.

Das Coronavirus versetzt unsere Welt in einen Ausnahmezustand. Wir sollen Sozialkontakte meiden und am besten in den eigenen vier Wänden arbeiten, um die Ansteckungskurve abzuflachen. Viele Firmen haben daher für ihre Mitarbeiter Homeoffice angeordnet. Bis dato war das Arbeiten von zuhause nur einem kleinen Personenkreis vorbehalten oder in Ausnahmefällen gestattet.

Der vielbeschworene Digital Workplace braucht vor allem eines: Ausgereifte Sicherheits- und Datenschutzkonzepte. Wir sagen Ihnen, wie der digitale Arbeitsplatz sicher wird.
Foto: Tithi Luadthong - shutterstock.com

Doch flexibles Arbeiten ist nicht nur in Krisenzeiten wichtig, sondern auch im normalen Geschäftsalltag. Mitarbeiter wollen von zuhause oder mobil auf Anwendungen und Daten des Unternehmens zugreifen oder an Videokonferenzen teilnehmen. Daher sind Mobilitätskonzepte für berufliche Aufgaben gefragt. Das Stichwort lautet Digital Workplace.

Digital Workplace - ein Trend und seine Spielarten

Ein Digital Workplace umfasst im engeren Sinne die technische Arbeitsumgebung für Mitarbeiter, sprich (virtuelle) Endgeräte, Software und Lösungen wie Telefonanlagen oder Videokonferenzsysteme. "Er ermöglicht jedem einzelnen die Ausübung der Tätigkeiten seiner Arbeit über das Internet und damit ortsunabhängig. Aus diesem Grund lässt sich der Digital Workplace als Gesamtheit aus den Geräten, Software-Plattformen wie Apps und Betriebssystemen, Orten und dem Nutzer beschreiben", erklärt Maximilian Hille, Senior Analyst und Practice Lead bei Crisp Research.

Im weiteren Sinne gehört zum Digital Workplace auch die IT-Organisation im Unternehmen. Da Firmen hier alle Mitarbeiter vernetzen und unter einer einheitlichen Verwaltungsoberfläche zusammenführen, verantworten sie den Betrieb und die Bereitstellung der Anwendungen sowie Geräte und definieren Regeln. Die Software und sämtliche Daten verbleiben dabei oft im Rechenzentrum. "Das stellt höhere Ansprüche an die dortige Infrastruktur und Architektur, das Personal sowie die Prozesse und Abläufe im Rechenzentrum", sagt Dr. Markus Pleier, Director System Engineering Central Europe beim Datacenter- und Cloud-Software-Spezialisten Nutanix.

„Neben der reinen technischen Sicherheit müssen Firmen eine verbindliche Compliance und Governance für den Digital Workplace definieren, damit sich auch die Mitarbeiter an die notwendigen Regeln halten.“ Maximilian Hille, Crisp Research
Foto: Crisp Research

Wichtige Spielarten des Digital Workplace sind VDI (Virtual Desktop Infrastructure) und Desktop as a Service (DaaS). Sie lösen zunehmend den klassischen PC mit lokal installierter Software ab. Vereinfacht ausgedrückt bedeutet VDI, einen PC oder Desktop zu virtualisieren. "Dieser virtualisierte Arbeitsplatz wird nicht am Endgerät des Anwenders eingerichtet, sondern vom Rechenzentrum aus über einen zentralen Server bereitgestellt. Anwender können über das Internet auf ihren Desktop zugreifen und ihren digitalen Arbeitsplatz unabhängig von ihrem Aufenthaltsort nutzen - mit allen benötigten Anwendungen und Daten", erklärt Pleier. Als Client reicht ein klassischer PC, ein Notebook, Tablet oder Thin Client, da die Datenverarbeitung über einen Server erfolgt.

Während die virtualisierten Desktops bei VDI meist noch im eigenen Rechenzentrum liegen, kommen sie beim DaaS-Konzept aus der Cloud. Die Vorteile für die IT-Abteilung liegen auf der Hand: Statt selbst Hardware anschaffen zu müssen oder eine komplette VDI-Umgebung aufzubauen, mietet sie bei einem DaaS-Anbieter Desktops in der Cloud. Der Service-Provider richtet die virtuellen Desktops ein, sorgt für das Backup der Daten, das Security Management und spielt Updates und Patches ein. Bezahlt wird nach Nutzung (Pay per use), hohe Anfangsinvestitionen entfallen.

Digitaler Arbeitsplatz - Sicherheit und Datenschutz

Unabhängig davon, für welches technische Konzept sich Firmen entscheiden: Sicherheit und Datenschutz für den digitalen Arbeitsplatz sind große Herausforderungen für die IT-Abteilung. Denn oft sind die im Homeoffice eingerichteten Arbeitsplätze nicht im gleichen Umfang abgesichert wie die Rechner im Büro. Durch die Vielzahl der digitalen Anwendungen, Datenzugriffe und Endgeräte gibt es auch mehr Gefahrenquellen für Sicherheitslecks.

"Neben der reinen technischen Sicherheit müssen Firmen eine verbindliche Compliance und Governance definieren, damit sich auch die Mitarbeiter an die notwendigen Regeln halten und Daten nicht außerhalb der sicheren Umgebungen nutzen", sagt Crisp-Analyst Hille. "Dies ist in der Theorie meist relativ leicht, da es Technologien und Erfahrungswerte zur Lösung gibt. In der Praxis bleiben immer Unsicherheiten und Fehlerquellen, die durch das System selbst oder jeden einzelnen Mitarbeiter entstehen können."

„Desktop as a Service ist die Zukunft des Digital Workplace. Unternehmen wollen sich nicht um Security kümmern, sondern sich auf ihr Kerngeschäft konzentrieren.“ Markus Pleier, Nutanix
Foto: Nutanix

Organisatorisch rät Hille Unternehmen zu einem Security- und Privacy-by-Design-Ansatz nach dem Zero-Trust-Prinzip. Dabei geht es darum, den Digital Workplace von Beginn an gemeinsam mit den Security-Maßgaben aufzubauen und Tools zum Management der Endgeräte, Software und Nutzer, zur Verschlüsselung der Daten oder für sichere Backups einzusetzen. "Der Grundsatz, keiner Software und auch keinem Mitarbeiter zu trauen und nur diejenigen Rechte zu gewähren, die eine Lösung und ein Mitarbeiter zum Erledigen seiner Aufgaben braucht, ist dabei der wichtigste", so Hille.

Die Tücken von VPN

In vielen Fällen verbinden sich Mitarbeiter mit ihrem PC oder Notebook von zuhause aus über einen verschlüsselten VPN-Tunnel mit dem Firmen-Netzwerk, um sicher auf interne Systeme und Daten zuzugreifen. Doch VPN erweist sich als Problem, wenn die Nutzerzahlen wie im Zuge der Coronakrise stark steigen. Dazu Nutanix-Manager Pleier: "Die Kapazität der VPN-Gateways in den Firmen ist begrenzt und selten dafür ausgelegt, alle Mitarbeiter anzubinden, sondern lediglich einen Teil der Belegschaft. Durch die hohe Auslastung wird der Zugriff langsam, beschwerlich oder bricht zeitweise ganz zusammen."

In der Folge stellen manche Firmen dann zum Beispiel auf Split-Tunneling um. Dabei werden nur diejenigen Verbindungen durch den VPN-Tunnel geleitet, die Systeme am anderen Ende des VPN-Tunnels als Ziele haben. Für alle anderen Verbindungen wird der VPN-Tunnel ignoriert. Dadurch reduziert sich zwar das Datenvolumen am zentralen VPN-Endpunkt in der Firma, das Sicherheitsniveau aber sinkt.

Zudem ist nur schwer abzuschätzen, ob der Endpunkt im Homeoffice und das Heimnetzwerk des Mitarbeiters gut genug abgesichert sind. "Ist ein Endgerät bei einem Mitarbeiter zu Hause infiziert, nützt auch das beste VPN nichts. Der Angreifer hat dann quasi schon Zugang zum Unternehmensnetzwerk. Es ist daher unerlässlich, eine Endpoint-Protection-Lösung zu installieren", empfiehlt Pleier.

Sicherheit in VDI-Umgebungen

Als Ausweg bietet sich der Einsatz von virtualisierten Desktops an. Wenn alle Daten, Anwendungen oder der komplette Desktop zentral im Rechenzentrum installiert sind, steigt auch die Verfügbarkeit und Sicherheit der Daten. Durch die zentrale Administration im Rechenzentrum entfällt der Wildwuchs individuell vorkonfigurierter Betriebssysteme oder Anwendungen, weil Anwender keine eigenen Programme mehr installieren können. "Der Admin behält so die Kontrolle über die Daten, kann Patches für alle virtuellen Desktops bereitstellen, Konfigurationen ändern, Richtlinien durchsetzen und einheitliche Desktops bereitstellen, die allen Compliance-Anforderungen genügen. Das zeigt unsere langjährige Erfahrung mit VDI-Umgebungen", so Pleier.

Virtuelle Desktops sind aber genauso anfällig für Malware, Viren und Exploits wie physische Desktops. Daher müssen Firmen VDI-Desktops genauso umfassend absichern wie herkömmliche PCs. Allerdings lassen sich die Bedrohungen besser eingrenzen, da das Gros der Sicherheitsmaßnahmen im Rechenzentrum und auf der Hypervisor-Ebene erfolgt. So ist es beispielsweise möglich, den Malware-Schutz über alle virtuellen Maschinen hinweg einzurichten. Da sich Netzwerksegmente besser abtrennen lassen, können Unternehmen die virtualisierten Desktops und ihre Serverinstanzen von anderen Teilen des Netzwerks isolieren.

Desktop as a Service und Security

Bei Desktop as a Service werden die virtualisierten Clients vom Cloud-Provider verwaltet und geschützt - möglicherweise noch besser, als es für ein Unternehmen zu vertretbaren Kosten im eigenen Rechenzentrum möglich ist. Bei Cloud-Providern gehören IT-Sicherheit und Compliance zum Kerngeschäft. "Desktop as a Service ist die Zukunft des Digital Workplace, insbesondere in globalen Unternehmen oder in Firmen, die viele Freelancer und externe Mitarbeiter beschäftigen. Sie wollen sich nicht um Security kümmern, sondern sich auf ihr Kerngeschäft konzentrieren", sagt Pleier.

Unternehmen können die benötigten Arbeitsplätze im Cloud-Portal definieren und bei Bedarf bereitstellen. Dazu werden jeweils nur die benötigten Sitzungen gehostet. Fällt etwa ein Mitarbeiter krankheitsbedingt aus oder hat Urlaub, muss für dessen Arbeitsplatz auch nicht bezahlt werden. Für die optimale Nutzung der verfügbaren Bandbreite sorgen Streaming-Protokolle für Anwendungen. Der Nutzer selbst benötigt lediglich einen aktuellen Browser (HTML5) und einen Internet-Zugang. Die Daten werden dabei verschlüsselt übertragen.

Digital-Workplace-Sicherheit - welcher Ansatz ist der richtige?

Für den Crisp-Experten Hille ist klar: Reine VDI- oder DaaS-Umgebungen werden seltener und durch einen Corporate App-Store aus SaaS-Anwendungen, eigenen Lösungen und eventuell älterer Lizenzsoftware ersetzt. "Hier können VDI und DaaS durchaus Sinn ergeben, jedoch als Ergänzung, wenn bestimmte Zugriffe besser zentral sind und es sich wirtschaftlich anbietet, die Betriebssysteme und Desktops im Rechenzentrum zentral zu haben.

Für alle Arbeitsbereiche, bei denen der Tool-Stack in Sachen Software bereits definiert ist, genügen VDI- und DaaS-Konzepte", so Hille. Er sieht auch Einsatzszenarien in der Produktion, wo nur spezifische Anwendungen ohne großartige Dynamik und Flexibilität auf Anwendungsebene genutzt werden. Seiner Meinung nach sollten Firmen grundsätzlich prüfen, ob VDI, DaaS, SaaS oder eine Mischform daraus für sie die beste Lösung ist.