VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Arbeitsplatz Digital 520149709 700

Desktop as a Service ermöglicht Unternehmen, den eigenen Mitarbeitern alle für ihren Job notwendigen Services zeit-, standort- und geräteunabhängig bereitzustellen. Vorteile wie eine größere Flexibilität gibt es allerdings nur, wenn die Lösung auch den Unternehmensanforderungen an die Sicherheit entspricht.

In deutschen Unternehmen sind neue Konzepte für die Art des Arbeitens derzeit eines der zentralen Handlungsfelder. Eine Möglichkeit, sich von starren, ortsgebunden Arbeitsplatzstrukturen zu lösen, sind virtualisierte Desktops aus der Cloud: Bei Desktop as a Service (DaaS) loggen sich Mitarbeiter über einen Internet-Browser auf einem zentralen Portal ein und erhalten Zugriff auf ihren personalisierten Desktop-Arbeitsplatz, der alle notwendigen Programme und Anwendungen für ihre Aufgaben bereitstellt. Nutzer erhalten damit einen standort- und geräteunabhängigen Zugriff auf ihre gewohnte Arbeitsumgebung. Virtuelle Desktops erlauben Nutzern und Unternehmen mehr Flexibilität. Dabei betreibt ein Provider die virtuellen Desktops auf einem zentralen Server und nicht auf den mobilen Endgeräten der Mitarbeiter. Das ermöglicht vor allem geräte- und standortunabhängiges Arbeiten.

Doch wie jede Lösung – insbesondere, wenn sie für den Einsatz außerhalb des geschützten Unternehmensnetzes gedacht ist – muss auch DaaS im Business-Kontext den rechtlichen und internen Sicherheitsanforderungen entsprechen. Denn in den meisten Fällen hantieren die Mitarbeiter mit geschäftskritischen Daten. Setzen beispielsweise Versicherungsunternehmen DaaS für ihre Kundenberater im Außendienst ein, handelt es sich oft um hochsensible personenbezogene Gesundheitsdaten. Oder in der Industrie arbeitet ein Konstrukteur während seiner Dienstreise an den Plänen für eine neue Fertigungslinie. In puncto Datenschutz sind, zudem im Hinblick auf die anstehende EU-Datenschutzgrundverordnung, die Anforderungen an eine Verarbeitung der personenbezogenen Daten mit einer DaaS-Lösung sehr hoch.

Authentifizierung und Verschlüsselung

Um die Daten und Informationen bei DaaS zu schützen, gilt es, sowohl den Zugang zum Desktop als auch die Kommunikation zwischen Endgerät und den Systemservern zu schützen. Für Ersteres ist die Authentifizierung des Nutzers ein grundlegender Schutzbaustein. Hier ist vor allem eine 2-Faktor-Authentifizierung, bestehend aus Passwort und etwa einem zusätzlichen Token empfehlenswert. Im Hinblick auf Passwörter sollten Richtlinien zur Länge und der Kombination von Buchstaben, Sonderzeichen und Zahlen verpflichtend sein. Der Token generiert eine zufällige Zahl, die ergänzend zum Passwort einzugeben ist. Die DaaS-Lösung sollte eine bereits existierende Authentifizierungslösung wie etwa Microsofts Active Directory unterstützen. Die Kommunikation zwischen Endgerät und den Systemservern, auf dem die Daten liegen und verarbeitet werden, gilt es durchgängig Ende-zu-Ende zu verschlüsseln. Das BSI empfiehlt für eine RSA-Verschlüsselung eine Mindest-Schlüssellänge von 2.000 Bit, für eine Gültigkeitsdauer nach dem Jahr 2022 sogar 3.000 Bit.

Ein entscheidender Vorteil, den DaaS mit sich bringt: Zu keinem Zeitpunkt sind die Daten auf den Endgeräten der Mitarbeiter gespeichert. Kommt es zum Verlust oder einer Beschädigung des Laptops oder Tablets sind die Daten auf den Servern gespeichert – und unterliegen damit durchgängig der Kontrolle des Unternehmens. Zusätzlichen Schutz bieten Optionen zur Festplattenverschlüsselung, sodass selbst der Provider der DaaS-Lösung keine Möglichkeit hat, Einblick in die Daten zu erhalten. Als Cloud-basierte Anwendung gilt es, die Verfügbarkeit der DaaS-Lösung sicherzustellen. Für Ausfallsicherheit sind Redundanzen notwendig oder automatisierte Fail-Over-Mechanismen, falls ein Server ausfällt. Um potenzielle Security Incidents zu erkennen, ist ein durchgängiges 24/7-Monitoring der Lösung wichtig. So ist beispielsweise feststellbar, ob ein nichtautorisierter Nutzer versucht, sich auf dem virtualisierten Desktop einzuloggen.

Geteilte Verantwortung

Der Einsatz von Desktop as a Service erfordert sowohl auf Seite des Unternehmens, das die Lösung nutzt, als auch auf Seite des Providers Sicherheitsvorkehrungen. Der Provider sichert die DaaS-Plattform ab sowie die damit verbundenen Funktionen. Dies umfasst die gesamte Kommunikation, Verfügbarkeit des Systems und die technische sowie organisatorische Datensicherheit. Ein wichtiger Punkt ist auch die Mandantenfähigkeit. Der Provider muss beispielsweise über den Einsatz von VLANs (Virtual Local Area Network) sicherstellen, dass alle Mandanten vollständig voneinander getrennt sind. Bei der Wahl eines passenden DaaS-Anbieters sollten Unternehmen darauf achten, dass dieser durchgängig dem deutschen Datenschutzgesetz entspricht. Dazu gehört auch zu hinterfragen, woher die Technologie für DaaS kommt. Hier bringt „Made und Hosted in Germany“ das größte Schutzniveau.

Das Unternehmen wiederum verantwortet vor allem den Zugang zur DaaS-Lösung innerhalb eines Nutzer- und Rechtemanagements. Scheidet ein Mitarbeiter aus dem Unternehmen aus, darf dieser anschließend keinen Zugang mehr auf den virtuellen Desktop haben. Eine weitere wichtige Komponente ist das Betriebssystems (OS) des virtuellen Desktops. Das Unternehmen als Kunde entscheidet, ob es etwa Windows oder ein Linux-Derivat sein soll und welche Version unter welchen Richtlinien zum Einsatz kommt. Gleichzeitig muss es die Sicherheit des Betriebssystems gewährleisten. Dazu gehört grundlegend ein Patch Management, um Sicherheits-Updates durchzuführen und neue Sicherheitslücken zu schließen.

Fazit

DaaS-Lösungen sind ideal für den digitalisierten, geräte- und standortunabhängigen Arbeitsplatz von Mitarbeitern. Um diese sicher zu nutzen, sind zentrale Sicherheitsvorkehrungen auf technischer sowie organisatorischer Ebene notwendig. Maximale Sicherheit ist nur durch entsprechende Vorkehrungen auf beiden Seiten – sowohl der des Anbieters als auch des Nutzers – zu erreichen.

Tobias Reisberger

 

 

Autor: Tobias Reisberger ist Chief Digital Officer bei Nexinto (Bildquelle: Nexinto GmbH)

  

GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Oliver Dehning

Praktisch alle Unternehmen werden angegriffen

Im 3-Fragen-Kurz-Interview zeigt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im…
Smarte News aus der IT-Welt