NET 5/2022

19 www.net-im-web.de 5/22 Homeoffice – aber richtig Systeme nur per VPN-Einwahl zugänglich gemacht hätte, wäre das Risiko einer Schwach- stelle stark reduziert worden. Dies ist für die meisten IT-Administratoren oder Anwender aber anscheinend zu umständlich, weshalb auf ein höheres Niveau der IT-Sicherheit bewusst verzichtet wurde. Absichern des Arbeitsplatzes Grundsätzlich ist das Homeoffice schlechter abgesichert, als das Firmennetz und daher prädestiniert für einHacker-Einfallstor. Hinzu kommt, dass man sich das Heimnetz mit anderen Teilnehmern (wie z.B. den eigenen Kindern) teilt, die nicht zum Unternehmen gehören und sich auch nicht an dessen Sicher- heitsrichtlinien halten. In den meisten Fällen sind die Geräte auch noch über ein Wireless LANmiteinander verbunden, das nur einfach abgesichert und auch beim Nachbarn noch erreichbar ist. Wird nun ein Laptop des akti- ven Internetnachwuchses gehackt oder ist auf einmal Mitglied in einem Botnet, wird auch der Unternehmensrechner inMitleidenschaft gezogen. In diesem Fall schützt auch keine sichere VPN-Verbindung mehr das Unter- nehmen, da sich ein unsicherer Rechner im Heimnetz befindet, der nun denVPN-Tunnel direkt ausnutzen kann. Es sollten daher einige Grundregeln beherzigt werden, damit das sichere Arbeiten von zu Hause aus gelingen kann: • Falls möglich sollte demMitarbeiter ein Firmen-Laptop gestellt werden, der mit unternehmensspezifischer Sicherungs- software ausgeliefert wird. • Private und personenbezogene Daten sollten auf diesemLaptop nicht enthalten sein. Dies kommt auch demDatenschutz entgegen. • Als zweite Variante könnte eine ver- schlüsselte Festplatte, in einemDesktop- PC mit zweitem Boot-Betriebssystem, genutzt werden. Dies geht heutzutage auch von einem USB-Stick aus. • Als dritte Variante könnte für ein privates Endgerät ein RDP-Zugang (Remote Desktop Protocol) für einen Terminal- server zum Einsatz kommen. • Der Datenaustausch darf nur über ge- sicherte Kanäle (z.B. VPN, Terminal- zugang) mit demUnternehmen erfolgen. • Der Virenschutz und Sicherheitsupdates müssen auf demHomeoffice-Rechner auf dem neuesten Stand gehalten werden, auch bei Nutzung eines Remote-Ter- minal-Zugangs. Der zentrale Policy-/ Antivirensserver muss daher auch die Homeoffice-Rechner erreichen können. • Der Zugriff auf den Laptop oder Desk- top-PCmuss über eine Desktop-Firewall zusätzlich gesichert werden, auch um sich vor anderen Teilnehmern im Heimnetz schützen zu können. • Ein Datensicherungskonzept sollte für mobiles Arbeiten existieren. D.h., es sollten möglichst nur auf dem Firmen- server Daten gespeichert werden, damit diese im täglichen Backup landen. Viele Unternehmen nutzen auch Cloud-Lösungen für die Homeoffice-An- bindungen aus, da sie nicht so schnell siche- re VPN-Verbindungen umsetzen konnten oder sowieso bereits Teildienste ausgelagert hatten. Die Daten liegen damit in einer ge- sicherten Umgebung und können von allen Mitarbeitern bearbeitet werden. Dies muss nicht unbedingt durch eine Public Cloud umgesetzt werden, sondern ist oftmals auch durch eine private Cloud im eigenen Rechen- zentrummöglich, was auch demDatenschutz entgegenkommt. Als Beispiel für eineTerminalanbin- dung können namhafte Hersteller wie Citrix undMicrosoft exemplarisch genannt werden. Aber es lassen sich auch Linux-Lösungen mit Microsoft kombinieren, indemman beispiels- weise ein angepasstes PXE-Boot-Image für Linux nutzt, das nur die nötigsten Program- me besitzt. Dieses Image enthält dann auch einen RDP-Connection-Manager, in dem der Benutzer aus den vorhandenen Sitzun- gen verschiedene Unternehmensbereiche wie Lager, Verwaltung oder IT auswählen kann (siehe Bild 2). Anschließend kann direkt mit einem Windows-Terminalserver kommuni- ziert werden, der zentral gehostet wird und das aktuelleWindows-Betriebssystem für den Bild 2: Sessionbasierte RDP-Zugänge auf zentral gehostetem Terminalserver, der auch das aktuelle Windows-Betriebssys- tem für den Client bereitstellt. Die Clients im Homeoffice brauchen so keine Festplatte mehr