Sicherheits-Policies durchsetzen
Aus Sicherheitssicht am unproblematischsten ist die Site-to-Site-Koppelung. Da hier zwei Unternehmensnetze miteinander verbunden werden, lässt sich an allen Standorten die unternehmenseigene Sicherheits-Policy durchsetzen. Eine leistungsstarke Infrastruktur vorausgesetzt, können an den entfernten Standorten auch Techniken wie Network Access Control (NAC) genutzt und zentral gemanagt werden. Lediglich einem Gerät sollte besondere Aufmerksamkeit gewidmet werden: dem Gateway - in der Regel wohl ein Router -, das die Verbindung in das Firmennetz aufbaut. Kommt ein Eindringlich physisch an dieses Gerät heran, weil etwa das Gebäude schlecht gesichert ist, dann steht ihm theoretisch das gesamte Unternehmensnetz offen.
NAC tut not
Andere Herausforderungen warten auf den Security-Verantwortlichen im End-to-Site-Szenario. Da nicht sichergestellt werden kann, dass das Notebook eines mobilen Mitarbeiters nur in gesicherten Umgebungen eingesetzt wird, sollte das Gerät erst einmal als unsicher betrachtet werden. Bevor es per Remote-Access-Zugriff auf das Unternehmensnetz erhält, muss dann überprüft werden, ob Virenschutz, Firewall und andere Schutzmechanismen auf dem aktuellen Stand sind und nicht manipuliert wurden. Deshalb wird man in den meisten Fällen nicht umhinkommen, weitergehende Verfahren wie NAC einzusetzen. Die Alternative wäre die absolute Beschneidung der User-Freiheiten, was wiederum nicht unbedingt der Arbeitsmotivation zugutekommt und eventuell den Workflow bremst, wenn wegen jeder kleinen Änderung der IT-Support bemüht werden muss.
Das wohl schwierigste Szenario stellen die Teleworker im Home Office dar. In Zeiten von NAS, vernetzten Fernsehern und Verstärkern wird bei den Teleworkern in der Regel ein LAN anzutreffen sein. Koppeln sie dieses mit dem Firmennetz, entsteht ein klassisches Site-to-Site-Szenario - mit einem wesentlichen Unterschied: Wer glaubt, hier eine unternehmenseigene Security Policy durchsetzen zu können, ist ein hoffnungsloser Träumer, denn den potenziellen Störenfried im Kinderzimmer wird dies wenig beeindrucken.
Zukunftsmusik Ethernet-WAN
Heute stehen Remote-Access-Lösungen auf VPN-Basis, die auf Mobilfunk oder xDSL aufsetzen, hoch im Kurs. Sie sind günstig sowie meist schnell zu installieren und scheinen sich nahtlos in die IP-Welt zu integrieren. Allerdings könnte mittelfristig eine neue Technik bei der Site-to-Site-Vernetzung den Markt dominieren: Ethernet im WAN. Anfang 2000 als Metro Ethernet gefeiert, verschwand die Technik im allgemeinen IP-Hype aus dem Fokus. Mit dem jetzt beginnenden bundesweiten Glasfaserausbau im Zuge des Konjunkturpakets II wird diese Technik aber wieder interessant, wenn in wenigen Jahren Glasfaseranschlüsse bis zum Gebäude, der Wohnung oder dem Büro zum Standard gehören. Die neue Technik verspricht nicht nur höhere Geschwindigkeiten im Gigabit-Bereich, sondern arbeitet auf Ebene 2 des OSI-Modells. Damit ist eine transparentere Netzkoppelung als mit den heute üblichen IP-basierenden Remote-Access-Lösungen möglich. Erste Service-Provider offerieren bereits entsprechende Dienste. So bietet die Münchner Teragate eine bedarfsorientierte Geschwindigkeitsanpassung an.