Die Alternativen
Weil es sich bei RAS jedoch um Direktverbindungen handelt, explodieren die Kosten vor allem über größere Entfernungen schnell. Deshalb hat sich mittlerweile ein anderer Ansatz durchgesetzt: Man nehme ein Access-Medium mit interessantem Preis-Leistungs-Verhältnis und transportiere die Daten dann möglichst kostengünstig über das öffentliche Internet oder spezielle Datenfernverbindungen der Carrier. Um die Daten vor neugierigen Blicken zu schützen, wird VPN-Technik (Virtual Private Networks) verwendet.
Eine Kombination, die so erfolgreich ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutzkatalog Remote Access gar nicht mehr als eigenes Thema behandelt, sondern unter dem Begriff Remote-Access-VPNs dem VPN-Segment zuordnet. Dabei lassen sich grundsätzlich drei Remote-Access-Spielarten unterscheiden:
-
Site-to-Site,
-
End-to-End und
-
End-to-Site.
Die verwendete Anbindungsart hat direkten Einfluss auf die erforderliche Sicherheitsstrategie, denn es ist ein Unterschied, ob man zwei LANs per Remote Access miteinander koppelt oder nur ein mobiler Mitarbeiter per Notebook Zugriff auf das Unternehmensnetz erhalten soll. Gleichzeitig hat dies direkte Auswirkungen auf die erforderliche Bandbreite. Hinsichtlich der Gefährdungslage sollte sich jeder IT-Verantwortliche vor Augen halten, dass sich mit dem Aufbau einer Remote-Access-Infrastruktur die Perimetergrenzen drastisch verschieben. Der Limes verläuft nun nicht mehr durch die Unternehmens-Firewall, sondern direkt durch die Filiale vor Ort, das Internet-Cafe des mobilen Mitarbeiters oder das Wohnzimmer des Teleworkers.
Dementsprechend kritisch sollte die Gefährdungslage eingeschätzt werden. Neben allgemeinen organisatorischen Mängeln wie etwa unzureichender Planung oder menschlichem Fehlverhalten (beispielsweise durch Administratoren und Endbenutzer) sind noch die Besonderheiten des jeweiligen Remote-Access-Szenarios zu beachten - davon abgesehen, dass ein Datentransport über öffentliche Netze grundsätzlich eine Gefahr darstellt.
Remote-Access-Szenarien
Site-to-Site: Hier werden zwei Computernetze miteinander gekoppelt, etwa eine Außenstelle oder Filiale mit dem Netz der Zentrale.
End-to-End: Es wird eine Verbindung zwischen zwei dedizierten Endgeräten - meist Servern - aufgebaut. Deshalb wird diese Form häufig als Host-to-Host-Verbindung bezeichnet.
End-to-Site: Ein Endgerät erhält Zugriff auf ein entferntes Netz. Der typische Anwendungsfall hierfür ist der mobile Mitarbeiter, der von unterwegs mit seinem Laptop auf das Unternehmensnetz zugreift.