VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Arbeitsplatz Digital 520149709 700

Desktop as a Service ermöglicht Unternehmen, den eigenen Mitarbeitern alle für ihren Job notwendigen Services zeit-, standort- und geräteunabhängig bereitzustellen. Vorteile wie eine größere Flexibilität gibt es allerdings nur, wenn die Lösung auch den Unternehmensanforderungen an die Sicherheit entspricht.

In deutschen Unternehmen sind neue Konzepte für die Art des Arbeitens derzeit eines der zentralen Handlungsfelder. Eine Möglichkeit, sich von starren, ortsgebunden Arbeitsplatzstrukturen zu lösen, sind virtualisierte Desktops aus der Cloud: Bei Desktop as a Service (DaaS) loggen sich Mitarbeiter über einen Internet-Browser auf einem zentralen Portal ein und erhalten Zugriff auf ihren personalisierten Desktop-Arbeitsplatz, der alle notwendigen Programme und Anwendungen für ihre Aufgaben bereitstellt. Nutzer erhalten damit einen standort- und geräteunabhängigen Zugriff auf ihre gewohnte Arbeitsumgebung. Virtuelle Desktops erlauben Nutzern und Unternehmen mehr Flexibilität. Dabei betreibt ein Provider die virtuellen Desktops auf einem zentralen Server und nicht auf den mobilen Endgeräten der Mitarbeiter. Das ermöglicht vor allem geräte- und standortunabhängiges Arbeiten.

Doch wie jede Lösung – insbesondere, wenn sie für den Einsatz außerhalb des geschützten Unternehmensnetzes gedacht ist – muss auch DaaS im Business-Kontext den rechtlichen und internen Sicherheitsanforderungen entsprechen. Denn in den meisten Fällen hantieren die Mitarbeiter mit geschäftskritischen Daten. Setzen beispielsweise Versicherungsunternehmen DaaS für ihre Kundenberater im Außendienst ein, handelt es sich oft um hochsensible personenbezogene Gesundheitsdaten. Oder in der Industrie arbeitet ein Konstrukteur während seiner Dienstreise an den Plänen für eine neue Fertigungslinie. In puncto Datenschutz sind, zudem im Hinblick auf die anstehende EU-Datenschutzgrundverordnung, die Anforderungen an eine Verarbeitung der personenbezogenen Daten mit einer DaaS-Lösung sehr hoch.

Authentifizierung und Verschlüsselung

Um die Daten und Informationen bei DaaS zu schützen, gilt es, sowohl den Zugang zum Desktop als auch die Kommunikation zwischen Endgerät und den Systemservern zu schützen. Für Ersteres ist die Authentifizierung des Nutzers ein grundlegender Schutzbaustein. Hier ist vor allem eine 2-Faktor-Authentifizierung, bestehend aus Passwort und etwa einem zusätzlichen Token empfehlenswert. Im Hinblick auf Passwörter sollten Richtlinien zur Länge und der Kombination von Buchstaben, Sonderzeichen und Zahlen verpflichtend sein. Der Token generiert eine zufällige Zahl, die ergänzend zum Passwort einzugeben ist. Die DaaS-Lösung sollte eine bereits existierende Authentifizierungslösung wie etwa Microsofts Active Directory unterstützen. Die Kommunikation zwischen Endgerät und den Systemservern, auf dem die Daten liegen und verarbeitet werden, gilt es durchgängig Ende-zu-Ende zu verschlüsseln. Das BSI empfiehlt für eine RSA-Verschlüsselung eine Mindest-Schlüssellänge von 2.000 Bit, für eine Gültigkeitsdauer nach dem Jahr 2022 sogar 3.000 Bit.

Ein entscheidender Vorteil, den DaaS mit sich bringt: Zu keinem Zeitpunkt sind die Daten auf den Endgeräten der Mitarbeiter gespeichert. Kommt es zum Verlust oder einer Beschädigung des Laptops oder Tablets sind die Daten auf den Servern gespeichert – und unterliegen damit durchgängig der Kontrolle des Unternehmens. Zusätzlichen Schutz bieten Optionen zur Festplattenverschlüsselung, sodass selbst der Provider der DaaS-Lösung keine Möglichkeit hat, Einblick in die Daten zu erhalten. Als Cloud-basierte Anwendung gilt es, die Verfügbarkeit der DaaS-Lösung sicherzustellen. Für Ausfallsicherheit sind Redundanzen notwendig oder automatisierte Fail-Over-Mechanismen, falls ein Server ausfällt. Um potenzielle Security Incidents zu erkennen, ist ein durchgängiges 24/7-Monitoring der Lösung wichtig. So ist beispielsweise feststellbar, ob ein nichtautorisierter Nutzer versucht, sich auf dem virtualisierten Desktop einzuloggen.

Geteilte Verantwortung

Der Einsatz von Desktop as a Service erfordert sowohl auf Seite des Unternehmens, das die Lösung nutzt, als auch auf Seite des Providers Sicherheitsvorkehrungen. Der Provider sichert die DaaS-Plattform ab sowie die damit verbundenen Funktionen. Dies umfasst die gesamte Kommunikation, Verfügbarkeit des Systems und die technische sowie organisatorische Datensicherheit. Ein wichtiger Punkt ist auch die Mandantenfähigkeit. Der Provider muss beispielsweise über den Einsatz von VLANs (Virtual Local Area Network) sicherstellen, dass alle Mandanten vollständig voneinander getrennt sind. Bei der Wahl eines passenden DaaS-Anbieters sollten Unternehmen darauf achten, dass dieser durchgängig dem deutschen Datenschutzgesetz entspricht. Dazu gehört auch zu hinterfragen, woher die Technologie für DaaS kommt. Hier bringt „Made und Hosted in Germany“ das größte Schutzniveau.

Das Unternehmen wiederum verantwortet vor allem den Zugang zur DaaS-Lösung innerhalb eines Nutzer- und Rechtemanagements. Scheidet ein Mitarbeiter aus dem Unternehmen aus, darf dieser anschließend keinen Zugang mehr auf den virtuellen Desktop haben. Eine weitere wichtige Komponente ist das Betriebssystems (OS) des virtuellen Desktops. Das Unternehmen als Kunde entscheidet, ob es etwa Windows oder ein Linux-Derivat sein soll und welche Version unter welchen Richtlinien zum Einsatz kommt. Gleichzeitig muss es die Sicherheit des Betriebssystems gewährleisten. Dazu gehört grundlegend ein Patch Management, um Sicherheits-Updates durchzuführen und neue Sicherheitslücken zu schließen.

Fazit

DaaS-Lösungen sind ideal für den digitalisierten, geräte- und standortunabhängigen Arbeitsplatz von Mitarbeitern. Um diese sicher zu nutzen, sind zentrale Sicherheitsvorkehrungen auf technischer sowie organisatorischer Ebene notwendig. Maximale Sicherheit ist nur durch entsprechende Vorkehrungen auf beiden Seiten – sowohl der des Anbieters als auch des Nutzers – zu erreichen.

Tobias Reisberger

 

 

Autor: Tobias Reisberger ist Chief Digital Officer bei Nexinto (Bildquelle: Nexinto GmbH)

  

GRID LIST
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

8 Tipps für eine optimale Web Application Firewall

Die Entscheidung für die optimale Web Application Firewall (WAF) basiert heute nicht mehr…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool

Thycotic, ein Anbieter von Privileged Account Management-Lösungen, hat mit Least…
Risiko Businessman

Das Sicherheitsrisiko von Vorständen ermitteln

NTT Security (Germany) erweitert seine umfangreiche Angebotsreihe um den „Management…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Malwarebytes mit neuer Endpoint Protection and Response-Lösung

Malwarebytes gibt die Veröffentlichung der Malwarebytes Endpoint Protection and…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security