Andererseits haben sich überdies sehr konservative IT-Techniken erstaunlich gut bewährt. Wer beispielsweise als Administrator daran gewöhnt war, über Terminal Server oder über einen virtualisierten zentralen Client die IT zu administrieren, der konnte von heute auf morgen auf die HOIT umsteigen, ohne dass sich etwas geändert hat. Genau dieser positive Effekt wurde mir tatsächlich von mehreren Seiten berichtet. Dies gilt natürlich auch allgemein für den Zugang zu IT-Anwendungen. Terminal Server und Virtual Desktop Infrastructure (VDI) haben sich hier mehr als bewährt und sind ebenso aus dem Blickwinkel der Informationssicherheit für die HOIT zu begrüßen. Wenn da nicht die Welt der Videokonferenz wäre. VoIP und Videokonferenz sind eine Kommunikationsform, die hier rein technisch nicht passt (Medienstrom per Terminal-Server-Protokoll in das heimatliche Rechenzentrum, dann als „echter“ Medienstrom weiter zum Ziel). In Konsequenz wird oft das Betriebssystem des physischen PCs im Homeoffice für die Videokonferenz verwendet, der Remote-Zugriff auf „spannende“ Daten und Anwendungen erfolgt dann nach den Regeln der Kunst abgesichert über Terminal Server oder VDI.

Es bleibt aber noch ein anderer wesentlicher Punkt: Das traditionelle Client-to-Site-VPN wird in der HOIT auf eine harte Probe gestellt. Eine typische Vorgabe aus der Informationssicherheit lautet, dass der Internetzugang zu Hause (oder unterwegs) nur für den Aufbau eines VPN-Tunnels zum RZ der jeweiligen Institution genutzt werden darf und der eigentliche Internetzugriff z.B. für die Nutzung eines Cloud-Dienstes dann stets über den Proxy bzw. das Secure Web Gateway (SWG) im RZ der jeweiligen Institution erfolgt. In der Welt der HOIT mit exponentiellem Wachstum der Nutzung von Cloud-Diensten ist dies jedoch immer weniger praktikabel. Eine typische Situation, die ich hier häufiger erlebe, sieht dann so aus: Teilnehmer A stellt in einer Videokonferenz per Chat fest „Ich kann Sie nur ganz schlecht verstehen, ich höre Sie nur abgehackt.“. Woraufhin Teilnehmer B antwortet „Oh, ich bitte um Entschuldigung, ich gehe eben schnell aus dem VPN heraus… Ist es jetzt besser?“, was Teilnehmer A dann mit einem „Ja, wunderbar!“ bestätigt.

Eine gute Idee könnte somit sein, Proxy bzw. SWG als Cloud-Dienst, über den der Internetzugriff des PCs im Homeoffice erfolgt, bereitzustellen [1]. Allgemein kann sogar festgestellt werden, dass für die gesamte Palette der Cloud-Dienste von Infrastructure as a Service (IaaS) bis zu Software as a Service (SaaS) als natürliche Konsequenz auch die notwendigen Sicherheitskomponenten als Cloud-Dienste (Security as a Service) zur Verfügung stehen.

Es gibt trotzdem berechtigte Bedenken seitens der Informationssicherheit und des Datenschutzes hinsichtlich einer immer umfassenderen Nutzung von Cloud-Diensten, bei der im Extremfall im heimatlichen RZ nur noch die Altlasten betrieben werden, die nicht in einer Cloud bereitgestellt werden können. Allerdings müssen wir hier realistisch sein, denn immer mehr Softwarehersteller gehen dazu über, ihre Systeme entweder nur noch in der Cloud anzubieten oder eine Installation On-Premises extrem zu verteuern.

Der (mobile) IT-Arbeitsplatz hat sich also während des laufenden HOIT-Experiments durchaus signifikant geändert, und es ist wichtig, diesen quasi neugeborenen IT-Arbeitsplatz professionell weiterzuentwickeln bis er erwachsen ist. Die Informationssicherheit muss diesen Prozess nun konsequent begleiten. Hierzu steht bereits ein guter Werkzeugkasten zur Verfügung:

• Für die Absicherung von Cloud-Diensten durch den Cloud-Provider gibt es inzwischen Standards und Prüfkataloge, nach denen seit geraumer Zeit auch zertifiziert bzw. geprüft und testiert wird. Zu nennen sind hier beispielsweise ISO 27017 [2] und BSI C5 [3]. ISO 27017 liefert dabei zusätzlich einen Maßnahmenkatalog für die sichere Nutzung von Cloud-Diensten. Hier kann auch auf den Baustein OPS.2.2 Cloud-Nutzung des BSI IT-Grundschutz-Kompendiums [4] zurückgegriffen werden.
• Das IT-Grundschutz-Kompendium liefert ebenfalls die notwendigen Bausteine zur allgemeinen Absicherung des (mobilen) IT-Arbeitsplatzes.
• Für moderne Videokonferenzsysteme steht das Kompendium Videokonferenzsysteme [5] des BSI zur Verfügung, das einen umfassenden detaillierten Maßnahmenkatalog beinhaltet, inklusive exemplarischer Sicherheitskonzepte und Beschaffungsleitfaden, der insbesondere auch Cloud-basierte Lösungen betrachtet.

Die hier spezifizierten Sicherheitsmaßnahmen adressieren insbesondere den Nutzer im Homeoffice. Dies ist ausgesprochen wichtig, denn aktuelle Untersuchungen haben deutlich gezeigt, dass sich Nutzer im Homeoffice häufiger als im Büro über Sicherheitsrichtlinien hinwegsetzen [6]. Die oben genannte Trennung einer VPN-Verbindung ist noch das harmloseste Beispiel. Der private PC kann zur Bearbeitung dienstlicher Dokumente deutlich bequemer als der dienstliche PC sein, da hier keine lästigen Sicherheitseinstellungen die Arbeit einschränken. Es kommt leider häufiger vor, dass hierzu einfach Dokumente vom dienstlichen zum privaten E-Mail-Account geschickt werden und umgekehrt. Andererseits besteht zudem eine Gefährdung durch eine leichtsinnige private Nutzung von Diensten im Internet über den dienstlichen PC. Dies verdeutlicht umso mehr, dass die HOIT einen Spagat schaffen muss, um einerseits für den Nutzer auch den nötigen arbeitserleichternden Komfort zu liefern und um andererseits das notwendige Sicherheitsniveau zu erreichen.

Verweise

[1] Siehe: Felix Brassel, “Secure Web Gateways im Jahr 2020“, Der Netzwerk Insider, Dezember 2020
[2] ISO 27017, “Code of practice for information security controls based on ISO/IEC 27002 for cloud services”, 2015
[3] BSI, „Kriterienkatalog Cloud Computing – C5:2020“, Januar 2020, verfügbar unter
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.html
[4] Siehe https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html
[5] Siehe https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Videokonferenzsysteme/videokonferenzsysteme_node.html
[6] Siehe z.B. https://www.cyberark.com/press/remote-work-study-how-cyber-habits-at-home-threaten-corporate-network-security/