Variante 4: Anders als die Anderen - G/On

Wie bereits erwähnt ist der Aufwand beim Aufbau einer VPN-Umgebung mit DMZ, Firewall, Authentication Server, Certificate Server, IPSec-VPN Terminator, SSL VPN Application und möglicherweise einem IDS (Intrusion Detection System) hoch. Zudem verlangt eine solche Lösung vom Systembetreuer in der Regel eine Menge Spezialwissen. Ein weiterer Aufwand für den Administrator besteht dann darin, dass er die IPSec VPN-Software auf den Clients installieren muss.

Einen anderen Weg geht die dänische Firma Giritech, die auf Basis ihrer EMCADS-Technik (Encrypted Multipurpose Content and Application Deployment System) das Produkt G/On auf den Markt gebracht hat. Dabei handelt es sich um eine Server-Software, die Anfragen von Clients über eine gesicherte Verbindung an einem einzigen, freigeschalteten Port entgegen nimmt und diese dann wie eine Art Proxy-Server weiterreicht. Die Client-Software wird dabei typischerweise direkt von einem speziellen USB-Stick gestartet, auf dem alle benötigten Programme abgelegt sind.

Dadurch ergibt sich eine ganze Reihe von Vorteilen:

• Das ISO-Image der Client-Software ist auf dem USB-Stick in der üblicherweise unsichtbaren "Read Only"-Partition abgelegt. Änderungen an dieser Partition sind durch den Anwender nicht möglich und etwaige Manipulationsversuche würden die Hash-Werte der Dateien ändern.

• Bevor Client und Server miteinander in Verbindung treten muss der Client auf dem Server einmalig freigeschaltet sein. Unveränderliche Merkmale der Client-Software und die weltweit eindeutige Seriennummer des USB-Sticks dienen als sichere Erkennungszeichen. Der Benutzer muss sich zudem bei Anmeldung noch mit einem Passwort und einem Benutzernamen identifizieren - so kommt es zu einer integrierten 2-Faktor Authentifizierung.

• Die Besonderheit der Lösung stellt die Art der Verbindung dar: Es handelt es sich um eine Verbindung auf Applikationsebene anstelle einer klassischen VPN-TCP-Verbindung.

• Neben dem USB-Stick wird der Client auch zur lokalen Installation auf Standard-PCs und mobilen Endgeräten wie dem Apple iPhone oder Apple iPad angeboten.

Auch diese Lösung hat bei unseren Test einwandfrei funktioniert und war vor allen Dingen sehr einfach in der Installation und Anwendung. Mögliche Einschränkung beim Einsatz dieser Software:

• Es handelt sich um eine kommerzielle Software, so dass auch hier ein entsprechend hoher finanzieller Aufwand entsteht, falls ein größeres Netz mit vielen Geräten eingebunden werden soll.

• Die Besonderheit der Software kann auch als Nachteil angesehen werden: Die IT-Abteilung bindet sich beim Einsatz dieser Lösung an die Technik eines Herstellers, die grundsätzlich nicht einfach mit anderen VPN-Lösungen kombiniert oder durch diese ergänzt werden kann.