Die Büropflicht ist zuletzt vielerorts gefallen und wird wohl auch nicht im vollen Umfang zurückkehren. Damit Mitarbeiter sicher von zu Hause oder einem anderen Ort ihrer Wahl arbeiten können, müssen Unternehmen die entfernten Rechner allerdings ebenso gut schützen wie innerhalb des eigenen Netzwerks. Die Grundlage dafür ist der zuverlässige Rollout von Updates und Patches.
Das Homeoffice hat in den vergangenen Monaten einen enormen Schub erfahren, doch diese Entwicklung ist nur ein erster Schritt in eine Arbeitswelt, in der Mitarbeiter ihren Arbeitsort völlig frei wählen können. Denn die neue Freiheit gefällt inzwischen nicht mehr nur den Mitarbeitern selbst, auch viele Unternehmen haben erkannt, welche Vorteile ihnen Remote Work bietet. Sie profitieren unter anderem von einer zufriedeneren Belegschaft und deutlich niedrigeren Reisekosten, da sich viele Dinge, die bislang den Besuch eines Technikers oder ein persönliches Gespräch erforderten, remote und virtuell erledigen lassen. Ebenso tun sich Unternehmen mit Remote Work leichter, Fachkräfte zu gewinnen, weil sie nicht darauf angewiesen sind, dass neue Mitarbeiter aus ihrer Region stammen oder umzugsbereit sind. Darüber hinaus können sie mittelfristig, wenn sich die hybride Arbeitswelt eingespielt hat und Erfahrungswerte zur Büroauslastung vorliegen, vielleicht sogar ihre Büroflächen reduzieren und damit weitere Kosten sparen.
Allerdings stellt die neue Arbeitswelt die Unternehmen auch vor Herausforderungen, da sich die Rechner der Mitarbeiter nicht mehr im geschützten Unternehmensnetzwerk befinden, während dieses gleichzeitig offener werden muss, um einen Zugriff auf interne Daten und Anwendungen von außen zu ermöglichen. Der Schutz von Benutzerkonten, die Vergabe von Rechten und die Kontrolle von Zugriffen ist daher deutlich wichtiger als in der alten, gut abgeschotteten Büroarbeitswelt. Bewährt haben sich hier Zero-Trust-Konzepte, bei denen Mitarbeiter nur exakt die Rechte erhalten, die sie für ihre Arbeit benötigen, und sich bei allen Systemen und Anwendungen über eine Mehrfaktorauthentifizierung anmelden. Dazu gehört auf jeden Client ein aktueller Malware-Schutz.
Sicherheit mit neuestem Softwarestand
Wirklich sicher wird Remote Work aber nur, wenn Unternehmen sicherstellen, dass alle Endpoints auf dem neuesten Softwarestand sind. Immerhin sind Softwareschwachstellen heute eines der Haupteinfallstore für Angreifer und nahezu jede Malware und fast alle schädlichen Websites nutzen Sicherheitslücken im Betriebssystem oder in Anwendungen aus, um Daten zu entwenden, Hintertüren einzurichten oder Systeme zu verschlüsseln. Doch gerade der zuverlässige Rollout von Updates und Patches an entfernte Endpoints fällt vielen Unternehmen schwer. Teilweise erreichen sie die Systeme nicht, weil Mitarbeiter dank Cloud-Services keinen Zugriff auf firmeninterne Anwendungen benötigen und gar nicht mit dem Unternehmensnetzwerk verbunden sind. Oder sie nutzen spezielle Remote Access Clients, die den Verbindungsaufbau von außen blockieren, der für ein Remote-Management der Geräte benötigt wird. Beim klassischen VPN ist das kein Problem, allerdings kann der Rollout großer Update-Pakete oder neuer Anwendungen schnell die Leitungen verstopfen.
Neue Anforderungen an das Endpoint-Management
Der Schlüssel für die zuverlässige Verteilung von Updates und Patches ist ein modernes Endpoint-Management, bei dem der Client die Kommunikation initiiert. Sobald er online ist, nimmt er Kontakt zu einer Cloud-Komponente auf, die den Schlüsselaustausch organisiert und eine sichere Verbindung zum Endpoint-Management vermittelt. So kann dieses alle Geräte unabhängig von ihrem Standort und ihrer Anbindung an das Unternehmensnetzwerk unter seine Fittiche nehmen. Das Endpoint-Management prüft den Sicherheitsstatus des Systems, aktualisiert seine Sicherheitsrichtlinien und teilt ihm mit, welche neuen Anwendungen, Updates und Patches bereitstehen. Diese werden heruntergeladen, während der Mitarbeiter mit dem System arbeitet, denn Unternehmen können die entfernten Endpoints nicht wie Geräte innerhalb ihres Netzwerks außerhalb der Arbeitszeiten aufwecken, um sie mit Software-Aktualisierungen zu versorgen. Das Endpoint-Management muss daher fehlertolerant sein und Verbindungsabbrüche – etwa durch schlechte Internetverbindungen oder ein Herunterfahren des Rechners durch den Mitarbeiter – registrieren und anschließend sicherstellen, dass Download und Installation später abgeschlossen werden. Ebenso muss der Download die verfügbare Bandbreite optimal ausnutzen, ohne die geschäftlich genutzten Anwendungen auszubremsen. Die meisten Lösungen überwachen daher die Netzwerklatenz – was allerdings nur ein reaktiver Ansatz ist, da das Netzwerk bereits überlastet ist, wenn die Latenz steigt. Ein modernes Endpoint-Management verfügt daher über ein proaktives Bandbreitenmanagement, das die Auslastung in Echtzeit ermittelt und die freien Kapazitäten vorausschauend nutzt.
Die Cloud als Gamechanger
Software-Repositories in der Cloud und Content Delivery Networks (CDN) tragen dazu bei, die lokale Infrastruktur zu entlasten, weil nicht alle Software-Pakete über einen zentralen Update-Sever sowie die meist gut ausgelasteten WAN- und VPN-Verbindungen laufen. Einige Endpoint-Management-Lösungen integrieren bereits Cloud-Speicher und CDN, sodass Unternehmen sich nicht mit deren teils komplexer Einrichtung befassen müssen und auch die Kosten für Speicherplatz und Traffic gut kontrollieren können. P2P-basierte Lösungen helfen, diese Datenübertragungskosten weiter zu senken. Nicht jeder Client holt sich sein Update vom Server oder aus der Cloud – hat ein anderer Client in der Nähe das Paket bereits erhalten, kann er es auch von ihm beziehen. Welche Systeme dafür infrage kommen, ermittelt das Endpoint-Management per Geolocation.
Überhaupt ist die Cloud ein entscheidender Faktor in der neuen Arbeitswelt. Zum einen bieten Cloud-Services weniger Angriffsfläche für Malware als lokal installierte Anwendungen und müssen nicht gepatcht werden, weil sie automatisch immer auf dem neuesten Stand sind. Zum anderen erleichtern sie Mitarbeitern die Kommunikation und Zusammenarbeit mit räumlich entfernt arbeitenden Kollegen. Mitarbeiter müssen nicht ausschließlich Firmengeräte verwenden und können für einen schnellen Check ihrer Mails oder einen kurzen Abstimmungscall das eigene Smartphone oder Tablet nutzen. Auf diesen privaten Geräten sollte das Endpoint-Management allerdings einen Compliance-Check vornehmen können, um sicherzustellen, dass ein Malware-Schutz vorhanden und insbesondere der Browser aktuell ist.