AWS: "Sicherheit hat auch im Homeoffice oberste Priorität"

Ob Online Shopping, Banking oder Booking – die fortschreitende Digitalisierung bietet uns immer öfter die Möglichkeit, alltägliche Dinge online zu erledigen. Diese Entwicklung betrifft aber nicht nur unser Privatleben, auch im beruflichen Alltag setzen Unternehmen immer mehr auf Flexibilität. Jüngst zeigt dies auch die aktuellen Situation, die viele Menschen dazu zwingt, von zuhause aus zu arbeiten. Laut einer 2019 von Deloitte veröffentlichten Studie (Link) zu den Themen „Arbeitszeit“ und „Arbeitsort“ gibt es in 97% der Unternehmen die Möglichkeit, von zuhause aus zu arbeiten, wobei sich die Nutzung des Homeoffice von 2017 bis 2019 verdoppelt hat. „Während das Arbeiten zuhause für die Nutzer sehr praktisch ist, ist der Zugriff auf das Unternehmensnetzwerk von überall aus für Unternehmen oft eine Herausforderung“, meint Michael Hanisch, Head of Technology bei AWS. Denn Sicherheitslücken in der IT können dem Betrieb erheblich schaden, wenn Malware oder Ransomware die Systeme flachlegt oder von Dritten auf Unternehmensdaten zugegriffen wird.

Sicherheit unabhängig von der Hardware
Eine schnelle und sichere Alternative für das Arbeiten im eigenen Zuhause können virtuelle Windows- und Linux-Desktops wie die Workspaces von AWS (Link) sein. Sie stellen den Mitarbeitern einen virtuellen PC zur Verfügung, welcher in der Cloud läuft, dort zentral verwaltet wird und mit dem Unternehmensnetzwerk verbunden ist. „Die Frage, von welchem Gerät aus der Mitarbeiter in die Cloud einsteigt, stellt sich gar nicht. Die Workspace-Clients können auf verschiedenen Hardwareplattformen ausgeführt werden. Mitarbeiter können so getrost ihre eigenen Geräte nutzen, ohne das Unternehmensnetzwerk zu gefährden“, so Hanisch. Auf der eigenen Hardware wird nur der Workspace-Client ausgeführt, der nur Benutzereingaben und Bildschirmausgaben verarbeitet. Eine Exfiltration der Daten ist damit nicht möglich, ebenso wie ein Eindringen in das Unternehmensnetzwerk über die privaten PCs oder Tablets der Mitarbeiter. „Workspaces bieten sich auch an, wenn die Nutzer von alter Hardware mit geringer Leistungsfähigkeit zugreifen. Ihnen können leistungsfähige virtuelle PC-Arbeitsplätze zur Verfügung gestellt werden, mit denen sogar Bildbearbeitungs- oder Video-Schnittanwendungen möglich sind“, ergänzt Michael Hanisch.

Alle Workspaces des Unternehmens laufen innerhalb einer sogenannten Virtual Private Cloud (VPC), welche sozusagen eine Erweiterung der vorhandenen IT-Infrastruktur in die Cloud darstellt. Diese VPC wird von der IT-Abteilung zentral verwaltet und überwacht. Entscheidend ist hier, dass eine Virtual Private Cloud nur einmal als ganzes über ein VPN mit dem vorhandenen Unternehmensnetzwerk verbunden mit den vorhandenen Verzeichnis-Diensten (wie z.B. Microsoft Active Directory) gekoppelt werden muss, danach melden sich die Nutzer über ihren Workspace-Client im Unternehmensnetzwerk an können wie gewohnt arbeiten.  Die IT hat dann die virtuellen Arbeitsplätze als Ganzes im Blick und kann diese verwalten, mit vorhandenen Ressourcen wie Fileservern verbinden und die Verteilung der benötigten Software, Sicherheitspatches etc. automatisieren.

Wer seinen Mitarbeitern nicht gleich einen ganzen virtuellen Desktop-PC anbieten möchte, kann über AWS AppStream 2.0 auch lediglich einzelne Anwendungen bereitstellen. Dies ist häufig im Callcenter oder im Kundendienst eine gute Möglichkeit, wenn die Benutzer nur einen oder wenige „fat clients“, z.B. für den Zugriff auf ein CRM oder ERP-System, einsetzen. Mittels AWS AppStream werden diese Applikationen in der Cloud innerhalb einer VPC gehostet und dem Mitarbeiter über einen einfachen Webbrowser zur Verfügung gestellt – der Mitarbeiter meldet sich dann über den Browser mit seinem Unternehmenslogin an und kann die Anwendung gleich nutzen, ohne irgendwelche Software installieren zu müssen. Aus Sicht des Unternehmens vereinfacht sich damit die Verwaltung deutlich und auch die Kosten fallen geringer aus; die vorhandenen Anwendungen müssen dazu nicht adaptiert werden und die AppStream-Instanzen in der Cloud werden (ähnlich wie die Workspaces im Beispiel oben) per VPN mit dem vorhandenen Netzwerk verbunden.

Wenn Mitarbeiter anstelle von „fat clients“ ohnehin nur mit Web-Anwendungen arbeiten, bietet sich mit Amazon WorkLink eine noch einfachere Möglichkeit: Dabei werden einzelne Web-Anwendungen oder Websites aus dem Unternehmensnetzwerk direkt auf den Mobilgeräten der Mitarbeiter verfügbar gemacht, ohne ein komplettes VPN und Device-Management-System aufbauen zu müssen. Das eignet sich besonders für die gelegentliche Nutzung, um z.B. Dinge im Intranet nachzuschlagen. Dadurch entsteht für das Unternehmen deutlich weniger Administrationsaufwand gegenüber vollwertigen Desktops.

VPN-Infrastruktur einfach verwalten
In vielen Unternehmen ist bereits eine VPN-Infrastruktur vorhanden, diese ist aber nicht immer ausreichend dimensioniert, um zum Beispiel im Fall einer Krise alle Mitarbeiter anzubinden. Mit VPN-Diensten aus der Cloud, wie dem AWS Client-VPN, schafft man eine skalierbare, einfach zu verwaltende VPN-Infrastruktur, über die dann alle Mitarbeiter auf das Unternehmensnetzwerk sowie auf Cloud-Dienste zugreifen können. Dazu erstellt man eine Virtual Private Cloud (VPC) und verbindet diese einmalig (per site-to-site VPN) mit der vorhandenen VPN-Infrastruktur; die Mitarbeiter verbinden sich dann per AWS Client-VPN mit der VPC und haben so auch Zugriff auf das Unternehmensnetzwerk. „Die Unternehmen können die vorhandene Infrastruktur für die Anmeldung der Mitarbeiter weiternutzen. Auch wenn sich viele Mitarbeiter gleichzeitig anmelden müssen, skaliert die Infrastruktur automatisch, ohne dass zusätzliche Hardware angeschafft werden muss oder Lizenzen verteilt werden müssen“, betont Hanisch. Da das AWS Client-VPN stundenweise nach Bedarf abgerechnet wird können sich auch kleine und mittlere Unternehmen leisten, im Bedarfsfall allen Mitarbeitern einen VPN-Zugang zur Verfügung zu stellen, ohne vorab große Investitionen tätigen zu müssen.

Zwei-Faktor-Authentifizierung unbedingt erforderlich
In jedem Fall empfiehlt sich aber auch eine Zwei-Faktor-Authentifizierung, um das Netzwerk gegen unberechtigte Zugriffe zu sichern. Dabei handelt es sich um eine Sicherheitsmaßnahme, bei der die Authentisierung nicht nur über die Eingabe eines Passwortes erfolgt, sondern darüber hinaus noch über einen zweiten Faktor. Das kann beispielsweise die Eingabe einer PIN sein, der an die hinterlegte Handynummer gesendet wird, oder die Eingabe eines TANs beim Online-Banking. Damit schließt man Hacker zuverlässig aus, selbst wenn diese das Passwort knacken. Egal ob der Zugriff letztlich per AWS Client-VPN, Amazon AppStream oder Workspaces erfolgt – diese Dienste bringen neben der Anbindung an vorhandene Verzeichnisdienste auch eine eingebaute Unterstützung für die Zwei-Faktor-Authentifizierung mit.

„Auch wenn es durch die Cloud-Dienste zahlreiche Möglichkeiten gibt, schnell, unkompliziert und sicher auf das Unternehmensnetzwerk zuzugreifen und auch kurzfristig die vorhandenen Kapazitäten zu erweitern, sollten sich Unternehmen nicht erst im Krisenfall mit Sicherheitsmaßnahmen für das flexible Arbeiten beschäftigen“, rät Hanisch. Geeignete Business Continuity Prozesse und Disaster Recovery Mechansimen sollten zu jeder Zeit im Unternehmen getestet und etabliert werden, damit man im Ernstfall vorbereitet ist – und eine Sorge weniger hat.