Remote Work braucht neue Sicherheitskonzepte

Jannis Moutafis23. November 2020

Der Run auf Cloud-Anwendungen und das Auslagern der Arbeitsplätze auf Homeoffices hat die traditionelle Definition des Firmennetzes endgültig in Frage gestellt. Angesichts der steigenden Zahl der Angriffe sind jetzt neue Sicherheitskonzepte gefragt.

Die Migration der IT-Infrastruktur in Richtung Cloud scheint unaufhaltsam zu sein und hat durch die Corona-Krise zusätzlichen Auftrieb bekommen. Das bestätigt auch der State of Digital Transformation Report des Security-Spezialisten Zscaler. In einer Umfrage unter 606 Unternehmen mit mehr als 3.000 Mitarbeitern in Europa sagten zwei Drittel der befragten Unternehmen, dass sie die Mehrzahl ihrer Geschäftsanwendungen bereits in die Cloud verlagert haben. Fast ein Viertel der Firmen lassen mehr als drei Viertel ihrer Anwendungen bei einem Cloud-Anbieter hosten.

Welche Ihrer Anwendungen laufen bereits in der Cloud oder werden bald in die Cloud ausgelagert? (Quelle: Zscaler)

Mehr noch: Homeoffice wird dank Corona zum Regelarbeitsplatz. Fast die Hälfte der Firmen erwartet, dass die Zahl der Remote-Mitarbeiter im nächsten Jahr zwischen 25 – 50 Prozent anwachsen wird. Doch dafür braucht es auch geordnete Verhältnisse. Mochten die Arbeitenden am Anfang der Krise noch viel Langmut und Verständnis für technische Unzulänglichkeiten aufbringen, so ist bereits heute abzusehen, dass dies nicht ewig so bleiben wird. Das gilt besonders beim Thema Sicherheit, denn der heimische Arbeitsplatz entwickelt sich immer mehr zum Einfallstor für Hacker.

Die Burg ist verlassen

Es zeichnet sich aber längst ab, dass traditionelle Security-Konzepte nicht mehr gut genug für die dezentrale Arbeitswelt sind. Denn dank Cloud Computing und den plötzlichen Exodus in Richtung Homeoffice greift die traditionelle Definition des Firmennetzes, auf dem auch die bisherigen Sicherheitskonzepte beruhen, nicht mehr. Letztere sahen das Unternehmensnetzwerk als eine Art Burg mit möglichst hohen Mauern – auf die IT übertragen wären das Firewalls und andere Abwehrmechanismen. Arbeitende außerhalb dieser Mauer müssen dabei über eine gesicherte Verbindung mit der Zentrale kommunizieren, die meist mithilfe eines VPN hergestellt wurde. Doch welchen Sinn hat die Mauer, wenn sowohl Anwendungen als auch Arbeitende außerhalb der Burg tätig sind?

„Die Umfrageergebnisse zeigen, dass das Internet den Status des neuen Unternehmensnetzwerks erreicht hat und die Cloud zum neuen Rechenzentrum geworden ist“, sagen die Studienautoren. In einem solchen Szenario sei es an der Zeit, die Security vom Netzwerk abzukoppeln und Sicherheitsrichtlinien überall dort durchzusetzen, wo sich die Anwendungen befinden und Mitarbeiter dazu Verbindungen herstellen. Unternehmen, die Applikationen ohne Anpassung ihrer Infrastrukturen und Sicherheitskonzepte in die Cloud verlagern, hätten deswegen mit der Komplexität und den sich ändernden Sicherheitsanforderungen zu kämpfen.

Die Sicherheit wird bei der Migration in die Cloud als größte Herausforderung angesehen. (Quelle: Zscaler)

Die Zeit ist reif für Alternativen

Wenig überraschend deshalb, dass die Sicherung von Multi-Cloud-Infrastrukturen bei den Befragten an erster Stelle der Herausforderungen rangiert (siehe Grafik). „Die Tatsache, dass so viele Unternehmen ihre Cloud-Infrastruktur noch immer mit traditionellen Remote Desktop- und VPN-Lösungen kombinieren, adressiert die modernen Herausforderungen nicht effizient“, sagt Ismail Elmas, Europachef bei Zscaler. „Da die Mobilität der Mitarbeiter in naher Zukunft nicht an Bedeutung verlieren, sondern im Gegenteil sogar weiter wachsen wird, müssen sich Unternehmen nach modernen Methoden zur Absicherung ihrer Belegschaft umsehen und einen benutzerfreundlichen und leistungsfähigen Zugriff anbieten.“

Eine Umschau nach Alternativen zu VPN ist längst fällig, doch laut Zscaler-Studie evaluieren momentan lediglich ein Drittel der befragten Unternehmen neue Sicherheitslösungen auf der Grundlage des wachsenden Bedarfs an Remote-Arbeitsplätzen. Doch das Problem auf die lange Bank zu schieben nützt nichts. Langfristig müssen die Nutzer in der Lage sein, von jedem Standort aus mit den für ihre Tätigkeit notwendigen Anwendungen sicher zu arbeiten, und zwar mit einem Gerät ihrer Wahl.

Sicherheit vor Produktivität

Der Zugang ins Firmennetz wird heute (überwiegend über VPN und RDP geregelt - noch.(Quelle: Zscaler) — Der Zugang ins Firmennetz wird heute (überwiegend über VPN und RDP geregelt – noch. (Quelle: Zscaler)

Das Beratungshaus Gartner nennt ein Sicherheitskonzept nach diesen Maßgaben ein „Secure Access Services Edge„, kurz SASE. Nur braucht ein solches Konzept einen neuartigen Sicherheitsansatz. In dessen Mittelpunkt steht die Absicherung des Datenverkehrs auf dem gesamten Weg vom Endgerät des Nutzers bis zur Cloud-Applikation. Gefragt nach ihrem Kenntnisstand in Sachen SASE und ihren Plänen für die Implementierung eines solchen Security-Frameworks sagten immerhin 55 Prozent der befragten IT-Manager, dass sie Gartners Rahmenwerk adaptieren wollen.

Triebfeder für den Wechsel zu SASE sind für die meisten sicherheitspolitische Überlegungen, obwohl das Konzept auch viel für die Produktivität der Mitarbeiter leistet. „Wir waren angenehm überrascht, dass SASE in den Roadmaps so vieler europäischer Unternehmen präsent ist und die Vorteile weitgehend anerkannt sind“, kommentiert Nathan Howe, Head of Transformation Directors EMEA bei Zscaler. „Was noch vor einem Jahr ein ziemlich undurchsichtiges Framework war, dem nur wenig Aufmerksamkeit geschenkt wurde, ist durch die enorme Cloud-Transformation weit nach oben gerückt auf der Agenda. Wenn die Unternehmen ihre SASE-Einführung richtig angehen, sollten die aktuellen Sicherheitsherausforderungen bald der Vergangenheit angehören.“