Thought Leadership
Desktop as a Service ermöglicht Unternehmen, den eigenen Mitarbeitern alle für ihren Job notwendigen Services zeit-, standort- und geräteunabhängig bereitzustellen. Vorteile wie eine größere Flexibilität gibt es allerdings nur, wenn die Lösung auch den Unternehmensanforderungen an die Sicherheit entspricht.
In deutschen Unternehmen sind neue Konzepte für die Art des Arbeitens derzeit eines der zentralen Handlungsfelder. Eine Möglichkeit, sich von starren, ortsgebunden Arbeitsplatzstrukturen zu lösen, sind virtualisierte Desktops aus der Cloud: Bei Desktop as a Service (DaaS) loggen sich Mitarbeiter über einen Internet-Browser auf einem zentralen Portal ein und erhalten Zugriff auf ihren personalisierten Desktop-Arbeitsplatz, der alle notwendigen Programme und Anwendungen für ihre Aufgaben bereitstellt. Nutzer erhalten damit einen standort- und geräteunabhängigen Zugriff auf ihre gewohnte Arbeitsumgebung. Virtuelle Desktops erlauben Nutzern und Unternehmen mehr Flexibilität. Dabei betreibt ein Provider die virtuellen Desktops auf einem zentralen Server und nicht auf den mobilen Endgeräten der Mitarbeiter. Das ermöglicht vor allem geräte- und standortunabhängiges Arbeiten.
Doch wie jede Lösung – insbesondere, wenn sie für den Einsatz außerhalb des geschützten Unternehmensnetzes gedacht ist – muss auch DaaS im Business-Kontext den rechtlichen und internen Sicherheitsanforderungen entsprechen. Denn in den meisten Fällen hantieren die Mitarbeiter mit geschäftskritischen Daten. Setzen beispielsweise Versicherungsunternehmen DaaS für ihre Kundenberater im Außendienst ein, handelt es sich oft um hochsensible personenbezogene Gesundheitsdaten. Oder in der Industrie arbeitet ein Konstrukteur während seiner Dienstreise an den Plänen für eine neue Fertigungslinie. In puncto Datenschutz sind, zudem im Hinblick auf die anstehende EU-Datenschutzgrundverordnung, die Anforderungen an eine Verarbeitung der personenbezogenen Daten mit einer DaaS-Lösung sehr hoch.
Authentifizierung und Verschlüsselung
Um die Daten und Informationen bei DaaS zu schützen, gilt es, sowohl den Zugang zum Desktop als auch die Kommunikation zwischen Endgerät und den Systemservern zu schützen. Für Ersteres ist die Authentifizierung des Nutzers ein grundlegender Schutzbaustein. Hier ist vor allem eine 2-Faktor-Authentifizierung, bestehend aus Passwort und etwa einem zusätzlichen Token empfehlenswert. Im Hinblick auf Passwörter sollten Richtlinien zur Länge und der Kombination von Buchstaben, Sonderzeichen und Zahlen verpflichtend sein. Der Token generiert eine zufällige Zahl, die ergänzend zum Passwort einzugeben ist. Die DaaS-Lösung sollte eine bereits existierende Authentifizierungslösung wie etwa Microsofts Active Directory unterstützen. Die Kommunikation zwischen Endgerät und den Systemservern, auf dem die Daten liegen und verarbeitet werden, gilt es durchgängig Ende-zu-Ende zu verschlüsseln. Das BSI empfiehlt für eine RSA-Verschlüsselung eine Mindest-Schlüssellänge von 2.000 Bit, für eine Gültigkeitsdauer nach dem Jahr 2022 sogar 3.000 Bit.
Ein entscheidender Vorteil, den DaaS mit sich bringt: Zu keinem Zeitpunkt sind die Daten auf den Endgeräten der Mitarbeiter gespeichert. Kommt es zum Verlust oder einer Beschädigung des Laptops oder Tablets sind die Daten auf den Servern gespeichert – und unterliegen damit durchgängig der Kontrolle des Unternehmens. Zusätzlichen Schutz bieten Optionen zur Festplattenverschlüsselung, sodass selbst der Provider der DaaS-Lösung keine Möglichkeit hat, Einblick in die Daten zu erhalten. Als Cloud-basierte Anwendung gilt es, die Verfügbarkeit der DaaS-Lösung sicherzustellen. Für Ausfallsicherheit sind Redundanzen notwendig oder automatisierte Fail-Over-Mechanismen, falls ein Server ausfällt. Um potenzielle Security Incidents zu erkennen, ist ein durchgängiges 24/7-Monitoring der Lösung wichtig. So ist beispielsweise feststellbar, ob ein nichtautorisierter Nutzer versucht, sich auf dem virtualisierten Desktop einzuloggen.
Geteilte Verantwortung
Der Einsatz von Desktop as a Service erfordert sowohl auf Seite des Unternehmens, das die Lösung nutzt, als auch auf Seite des Providers Sicherheitsvorkehrungen. Der Provider sichert die DaaS-Plattform ab sowie die damit verbundenen Funktionen. Dies umfasst die gesamte Kommunikation, Verfügbarkeit des Systems und die technische sowie organisatorische Datensicherheit. Ein wichtiger Punkt ist auch die Mandantenfähigkeit. Der Provider muss beispielsweise über den Einsatz von VLANs (Virtual Local Area Network) sicherstellen, dass alle Mandanten vollständig voneinander getrennt sind. Bei der Wahl eines passenden DaaS-Anbieters sollten Unternehmen darauf achten, dass dieser durchgängig dem deutschen Datenschutzgesetz entspricht. Dazu gehört auch zu hinterfragen, woher die Technologie für DaaS kommt. Hier bringt „Made und Hosted in Germany“ das größte Schutzniveau.
Das Unternehmen wiederum verantwortet vor allem den Zugang zur DaaS-Lösung innerhalb eines Nutzer- und Rechtemanagements. Scheidet ein Mitarbeiter aus dem Unternehmen aus, darf dieser anschließend keinen Zugang mehr auf den virtuellen Desktop haben. Eine weitere wichtige Komponente ist das Betriebssystems (OS) des virtuellen Desktops. Das Unternehmen als Kunde entscheidet, ob es etwa Windows oder ein Linux-Derivat sein soll und welche Version unter welchen Richtlinien zum Einsatz kommt. Gleichzeitig muss es die Sicherheit des Betriebssystems gewährleisten. Dazu gehört grundlegend ein Patch Management, um Sicherheits-Updates durchzuführen und neue Sicherheitslücken zu schließen.
Fazit
DaaS-Lösungen sind ideal für den digitalisierten, geräte- und standortunabhängigen Arbeitsplatz von Mitarbeitern. Um diese sicher zu nutzen, sind zentrale Sicherheitsvorkehrungen auf technischer sowie organisatorischer Ebene notwendig. Maximale Sicherheit ist nur durch entsprechende Vorkehrungen auf beiden Seiten – sowohl der des Anbieters als auch des Nutzers – zu erreichen.
Autor: Tobias Reisberger ist Chief Digital Officer bei Nexinto (Bildquelle: Nexinto GmbH)
