© 1995-2008 Symantec Corporation. All rights reserved. Rechtliche Hinweise Aktualisierte Datenschutzrichtlinien Impressum
Umfassende Sicherheit beim Öffnen von Netzwerken für TelearbeiterDie Entscheidung, das Netzwerk eines Unternehmens für Mitarbeiter zugänglich zu machen, die von zu Hause oder von unterwegs arbeiten, bedarf gründlicher Überlegungen. Denn: Anforderungen, Ausstattung und Umgebung unterscheiden sich erheblich von denen der Mitarbeiter im Büro. Im Folgenden geben wir einige Ratschläge, wie beide Arbeitsformen kombiniert werden können, ohne die Unternehmenssicherheit zu gefährden.Während die Telearbeit bei Mitarbeitern inzwischen sehr geschätzt wird, sind nicht alle IT-Manager davon überzeugt. Mitarbeitern zu ermöglichen, von außerhalb auf die Ressourcen eines Unternehmens zuzugreifen, so als würden sie im Büro sitzen und wären direkt mit dem lokalen Netzwerk verbunden, ist eine echte Herausforderung an die Unternehmenssicherheit. IT-Manager müssen sicherstellen, dass verschiedene Protokolle eingehalten werden, und sie müssen die Komplexität von Firewalls und Zugriffskontrollen im Griff haben. Vor allem aber müssen sie Vertrauen in Lösungen und Prozesse haben, die außerhalb des Einflussbereichs des Unternehmens liegen: Familienmitglieder des Mitarbeiters, die denselben PC nutzen, dessen Internet-Dienstanbieter und die auf dem Computer installierte Software.Einzeln betrachtet kann jeder der oben genannten Faktoren zu Problemen führen. Nimmt man alle Faktoren zusammen, kann sich dies rasch zu einem wahren Albtraum für die IT-Abteilung entwickeln. Zwar gibt es technische Lösungen auf dem Markt, die Unternehmen dabei helfen, interne Netzwerke sicher und effizient für die Außenwelt zu öffnen. Der Schlüssel zum Erfolg liegt jedoch darin, eine sehr genaue Analyse der vorhandenen Sicherheitsrichtlinien durchzuführen. Wenn es gar keine Sicherheitsrichtlinien gibt, ist dies DIE Gelegenheit, sie zu erstellen, auch wenn es sich dabei nur um einige einfache Richtlinien zur ordnungsgemäßen Verwendung von IT-Ressourcen handelt.Verschiedene Kategorien von TelearbeiternZunächst einmal müssen Sie die Mitarbeiter, die externen Zugriff auf das Unternehmensnetzwerk benötigen, in verschiedene Gruppen einteilen. Dabei sollten jedem dieser Mitarbeiter nur jene Rechte gewährt werden, die er wirklich benötigt. Sie können verschiedene Kategorien für Telearbeiter erstellen, beispielsweise „Freizeit-Telearbeiter“ für die, die sich nur abends oder an Wochenenden am Netzwerk anmelden, z. B. um E-Mail abzurufen, oder „Teilzeit-Telearbeiter“ für diejenigen, die an mehreren Tagen in der Woche im Büro sind, und schließlich noch „Vollzeit-Telearbeiter“ für alle, die so gut wie nie im Büro arbeiten.Anschließend müssen Sie spezifische Nutzungsregeln für die externen Mitarbeiter aufstellen, unabhängig davon, welcher Kategorie sie angehören. In der Praxis heißt das, bereits im Büro angewandte Regeln einfach an die spezifischen Anforderungen jedes Telearbeiters anzupassen. So könnte beispielsweise festgelegt werden, wie Dokumente zu speichern sind (ein Vorgang, der im Büro automatisch durchgeführt wird).Technologie für den Netzwerkzugriff hängt vom Benutzer abWelche Technologie für den Netzwerkzugriff verwendet wird, hängt von der jeweiligen Rolle des Telearbeiters ab. Allgemein gilt die Regel, nur Vollzeit- oder Teilzeit-Telearbeitern vollen Zugriff auf das lokale Unternehmensnetzwerk zu gewähren. Alle anderen externen Mitarbeiter müssen sich mit einem eingeschränkten Zugriff auf die für sie erforderlichen Anwendungen begnügen. So ist es beispielsweise einfacher, den Freizeit-Telearbeitern nur Internet-E-Mail-Zugriff (über eine sichere SSL-Verbindung) zu gewähren, da diese häufig nur ihre E-Mail oder ihren Terminkalender von zu Hause aus abrufen möchten. Dazu benötigen sie nichts weiter als einen Internet-Browser auf dem Familien-PC.Vollzeit- oder Teilzeit-Telearbeiter können vollen Zugriff auf das lokale Unternehmensnetzwerk oder nur einen eingeschränkten Zugriff auf die Anwendungen erhalten, die sie für die Erledigung ihrer Arbeit benötigen. Dies hängt von den Sicherheitsrichtlinien des Unternehmens ab. Bei der Einrichtung eines selektiven Zugriffs auf bestimmte Geschäftsanwendungen ist es in der Regel am einfachsten, ein VPN (Virtual Private Network) auf dem Unternehmens-Gateway zu verwenden, da dieses eine Internet-Schnittstelle für bestimmte Anwendungen (z. B. ERP-Anwendungen) bietet. Wenn sie jedoch vollen und transparenten Zugriff auf das lokale Netzwerk benötigen, sollten Sie eine IPsec-kompatible VPN-Verbindung einrichten, die Mitarbeitern genau dieselben Zugriffsmöglichkeiten bietet, die sie auch im Büro hätten, jedoch durch einen verschlüsselten Tunnel.Client-Integrität sicherstellenFür diese Art von Telearbeitern ist die Integrität des Client-Computers von großer Bedeutung. Die Mitarbeiter arbeiten in der Regel mit vertraulichen Daten, die bei einer Übertragung über einen verschlüsselten Tunnel auf dem PC selbst unverschlüsselt zugänglich sind und einem Trojanischen Pferd oder einer anderen Art von Virus anheim fallen können. Die einfachste Lösung wäre es, einen Unternehmens-PC einzurichten und dem Mitarbeiter die Verwendung des Familien-PCs für die Telearbeit sowie umgekehrt die Verwendung des Unternehmens-PCs für private Zwecke zu untersagen. Dies mag zwar eine etwas teurere Lösung sein, hat aber den Vorteil, dass das Konfigurationsmanagement stark vereinfacht wird, da es in den Händen der IT-Abteilung bleibt.Wenn es nicht möglich ist, einen bestimmten PC ausschließlich für die Telearbeit einzusetzen, kann auch eine Wechselplatte verwendet werden. Dies bietet die Möglichkeit, private und Unternehmensdaten von einander getrennt zu halten. Allerdings ist die Konfiguration der Software auf der Unternehmensfestplatte etwas heikel, da die IT-Abteilung nur mit den technischen Merkmalen des PCs vertraut ist!Zu guter Letzt und ganz unabhängig davon, für welche Lösung Sie sich entscheiden - der PC, der auf das Unternehmensnetzwerk zugreift, muss „sauber“ sein. Er muss als Mindestausstattung ein aktuelles Virenschutzprogramm sowie eine persönliche Firewall besitzen. Die Firewall muss so konfiguriert sein, dass nur der Zugriff auf die erforderlichen Dienste und Anwendungen möglich ist.Auf der Grundlage der oben beschriebenen Anforderungen hat sich die Mehrzahl der größeren Virenschutzsoftwarehersteller zusammengeschlossen, um einen Standard zu entwickeln, der es vielen Unternehmens-Routern ermöglicht, den Update-Status der Virenschutzsoftware auf Remote-Clients zu prüfen und allen Clients den Zugriff zu verweigern, die diesbezüglich nicht auf dem neuesten Stand sind!Hilfreicher Link:(Siehe Ankündigung auf der Website von Symantec bezüglich des „Cisco Network Admission Control“-Programms.)
zurück zum Seitenanfang
