Ein etwas anderes VPN

Während die bekannten VPN-Lösungen häufig auf die Installation einer virtuellen Netzwerkkarte auf den Endgeräten beim Nutzer oder andere Softwareinstallationen beruhen, geht das deutsche Unternehmen sayTEC mit seinem Produkt «sayTRUST VPSC» einen anderen Weg. Yakup Saygin, Vorstand und CEO von sayTEC, erläuterte uns den Ansatz folgendermassen: «Der Anwender-PC (Mobile Device) und die Netzwerkumgebung, in dem diese sich befinden, sind als schwächste Glieder oft Einfallstor für Angriffe. Daher sind Technologien gefragt, die den Zugang zu den Unternehmensdaten PC unabhängig sichern, das heisst, diese müssen auch den Kommunikationskanal vor dem dafür genutzten PC schützen.»

Die Lösung besteht aus einem Server- und einer Client-Komponente in Form eines USB Sticks, einer SD Karte oder einer App. Der Server kann als Appliance oder als Software (auch virtualisiert) zum Einsatz kommen. Für Nutzer dabei besonders praktisch: Sie brauchen im Prinzip nur den USB-Stick mit ihrem Endgerät verbinden und arbeiten dann in einer abgesicherter Arbeitsumgebung: So ist dann beispielsweise die Kopplung des LANs im Home-Office mit dem LAN im Unternehmen nicht nötig. Die durch sayTRUST Access aufgebaute VPSC-Verbindung erfolgt auf der Anwendungsebene. Dabei werden die Informationen des geschützten nicht auf dem Client-Rechner vorgehalten. Sie sind somit weder dort noch auf der auf der Verbindungsstrecke sichtbar. Beendet der Nutzer die Verbindung, verbleiben auf dem Client-System auch keinerlei Informationen.

Yakup Saygin zeigt sich überzeugt von diesem Weg, der nach seiner Aussage weitere Vorteile bietet: «Jeder Anwender wird bereits vor Beginn der Tätigkeit für die Kommunikation authentifiziert und entsprechend der erteilten Berechtigungen werden Zugriffe auf Anwendungen oder Daten freigeben. Für unbefugte Anwender und unerlaubte Anwendungen ist der Zugang blockieren.»

Zum Abschluss möchten wir hier noch einmal Udo Schneider von Trend Micro zitieren: «Es ist wichtig, dass sich wirklich alle Beteiligten der Problematik beim mobilen und Remote-Arbeiten bewusst sind.» Hat der vermehrte Einsatz von Home-Offices während der Covid-19-Krise auf der einen Seite eindrucksvoll bewiesen, dass es mit den vorhandenen technischen Mitteln sehr wohl möglich ist, einen grossen Teil der Büro- und strategischen Arbeiten auch «aus der Ferne» mit Zugriff auf die Firmendaten sicher zu bewältigen, so zeigt sich doch häufig, dass es noch Handlungsbedarf gibt. Sei es auf Seiten der Firmen-IT, die genügend Kapazitäten für den gesicherten Zugriff schaffen und entsprechende Sicherheitsregeln und -techniken durchsetzen muss, oder auf der Seite der Nutzer, denen bewusst werden muss, dass sie auch wenn sie im heimischen Umfeld arbeiten, die gleichen oder oftmals noch strengere Sicherheitsregeln zu beachten haben.

Thomas Uhlemann von Eset fasst das sehr schön zusammen: «Schulungen und die Stärkung der Security Awareness gehören generell zu jedem guten IT-Sicherheitskonzept. Gerade in der aktuellen Ausnahmesituation ist es wichtiger denn je, den Mitarbeitern zusätzlich praktikable und praxisnahe Leitfäden (Security Cookbooks) an die Hand zu geben.»