E-Mail ist die Einstiegsdroge beim Remote Access

Fernzugriff auf das Netz ist kein Sicherheitsrisiko mehr

15.09.2000
MÜNCHEN (hi) - Zu teuer, zu unsicher: Mit diesen Vorurteilen hatte Remote Access lange Zeit zu kämpfen. Heute ist die Technik, die den Mitarbeitern mehr Freiheiten beim Arbeitsablauf eröffnet, nicht nur verfügbar und bezahlbar geworden, sondern bei der Einhaltung einiger Grundregeln auch kein Sicherheitsrisiko mehr.

Die Szenarien klangen wunderbar: Weil Telearbeiter - neudeutsch Telecommuter genannt - Fernzugriff auf das Firmennetz hätten, sollten Probleme wie Dauerstaus, Parkraumnot, Ozonalarm etc. endlich der Vergangenheit angehören.

Solche und ähnliche Bilder zeichneten die Hersteller zu Beginn der 90er Jahre zuhauf. In der Praxis geschah dann, zumindest hierzulande, in Sachen Telearbeit wenig, von einigen Vorzeigeprojekten wie etwa bei IBM oder BMW abgesehen.

Danach befragt, warum es bei der Vision blieb, führen IT- und TK-Hersteller mehrere Gründe an. Zum einen war wohl damals das Equipment - Modems mit 9600 oder 14 400 Bit/s galten als State of the Art - noch zu langsam oder aber wie im Falle von ISDN zu teuer. Erschwerend kam hinzu, dass ein PC in den privaten Haushalten noch nicht zur Grundausstattung gehörte und Investitionen von rund 5000 Mark pro Heimarbeitsplatz manchen Arbeitgeber abschreckten.

Zudem so ist immer wieder hinter vorgehaltener Hand zu hören, wurde wohl die Bereitschaft der Mitarbeiter zur Heimarbeit überschätzt. Doch die Situation habe sich mittlerweile grundlegend geändert So habe der heimische Internet-Zugang entscheidend dazu beigetragen, die Berührungsängste mit der Technik abzubauen. Deshalb ist das Thema Remote Access für Claudia Navarre, Sales-Managerin bei der Berliner Acotec GmbH, heute aktueller denn je: "Immer mehr Mitarbeiter erwarten von ihren Arbeitgebern die Möglichkeit, ihre E-Mails auch zu Hause bearbeiten zu können."

Allerdings ist der Abruf von E-Mails in der Regel nur die "Einstiegsdroge": Häufig wird dann schnell der Wunsch geäußert, auch von unterwegs oder von daheim aus auf die Standardapplikationen und Datenbanken zugreifen zu können. Eine Möglichkeit, die eigentlich nur Außendienstler und "Techies" hatten. Die Umsetzung kann jedoch problematisch sein, wie Frank Hauser, Key-Account-Manager bei Digi Europe, erklärt: "Viele der eingesetzten Applikationen, etwa Datenbanken, erwarten sehr kurze Anwortzeiten." Das ist in lokalen Netzen zwar kein Problem, bei der Einwahl von außen führt es aber durchaus zu Schwierigkeiten, da ein Verbindungsaufbau mit Anwahl, Authentisierung sowie Protokollaushandlung schon etliche Sekunden dauern kann." Hauser rät deshalb potenziellen Remote-Access-Service-Anwendern (RAS), vorher in einem Test zu prüfen, ob die entsprechenden Applikationen wirklich für eine remote Anbindung brauchbar sind.

Ebenfalls im Vorfeld zu prüfen ist die Wahl des passenden Übertragungsmediums. Hierzulande bieten sich dazu heute primär GSM, ISDN, VPNs , xDSL sowie Glasfaserverbindungen an. Für den Zugang via Handy sieht Bintec-Manager Konrad Simon allerdings nur eingeschränkte Einsatzmöglichkeiten: "Aufgrund der niedrigen Bandbreite von 9600 Bit/s eignet sich dies höchstens zum Abruf von E-Mails." Unisono sehen die Hersteller deshalb ISDN als Allzweckwaffe beim Zugang zum Unternehmensnetz. Für die Technik sprechen neben einer Bandbreite von 64 Kbit/s vor allem ihre Verfügbarkeit in der Fläche sowie der Aspekt der Rufnummernübermittlung als Sicherheitsfeature. Die übermittelte Rufnummer dient dabei zur Authentifizierung und zur Einleitung des Rückrufs (Dial-back).

Die Abrechnung wird einfacherFür das Dial-back spricht aber noch mehr: Die Kommunikationskosten fallen direkt in der Unternehmenszentrale an und nicht beim zu Hause tätigen Mitarbeiter. Ein Punkt, der ihre Abrechnung und Verbuchung deutlich vereinfacht. Zumal noch von einer anderen Seite Ungemach droht, wie Jörg Jakobi, Leiter Technologien und Lösungen beim Systemhaus Dimension Data Germany (vormals Telemation) in Oberursel zu bedenken gibt: "Es exisitieren wohl Bestrebungen, die Erstattung der Telefonkosten beim Remote Access als geldwerten Vorteil zu betrachten, weil der Mitarbeiter über den Firmenzugang ja auch kostengünstig ins Internet kommt." Eine Klippe, die sich elegant umschiffen lässt, wenn die Kosten nur in der Firma anfallen. Unter finanziellen Aspekten spricht für ISDN auch noch das Feature "Short in Hold". Hierbei bleibt eine Remote-Access-Verbindung nur so lange aufgebaut, wie wirklich Daten übertragen werden.

Allerdings hat auch ISDN im praktischen Einsatz seine Grenzen, wenn die Einwahl zum teuren Ferngesprächstarif erfolgt. Ein Ausweg ist hier der Einsatz eines Virtual Private Networks (VPNs), das auf dem Internet aufsetzt. Hierbei wählt sich der Mitarbeiter von unterwegs in den nächsten öffentlichen Internet-Knoten ein, so dass nur Ortsgebühren anfallen. Der Weitertransport der Daten erfolgt dann via Internet, wobei das VPN die Daten mit Sicherheitstechnologien wie Tunneling etc. vor unerwünschten Blicken schützt. "So verlockend diese Idee ist", berichtet Acotec-Managerin Navarre, "in der Praxis wird sie noch selten genutzt." Ein Grund hierfür liegt wohl darin, so vermutet man auf Herstellerseite, dass die Implementierung eines VPN nicht ganz trivial ist und vielen Unternehmen das notwendige Know-how fehlt. Manager Jakobi von Dimension Data empfiehlt deshalb, diesen Bereich auszulagern, da die Gefahr potenzieller Sicherheitslücken bei einer unfachmännischen VPN-Installation sehr groß sei.

Noch in den Kinderschuhen steckt heute der Remote Access via xDSL, da die Technologie noch nicht flächendeckend verfügbar ist und in Sachen Ausfallsicherheit zu wünschen übrig lässt. Dennoch sagen alle Player der RAS-Szene diesem Verfahren eine große Zukunft voraus. So empfehle sich xDSL etwa für den Soho-Bereich, wenn die Integration verschiedener Dienste via Fax, Internet, E-Mail oder Voice-Mail über die remote Anbindung erfolgen soll.

Darüber hinaus gelten Glasfaser, VPN und xDSL in einem anderen klassischen RAS-Szenario mittlerweile als die Übertragungstechniken der Stunde: Bei der Anbindung von Filialen an die Zentrale scheinen die drei Verfahren den bisherigen Verbindungsarten ISDN, Standleitung und Satellit den Rang abzulaufen.

Eher unproblematisch scheint die Wahl der Hardware: Habe sich der Anwender vor einigen Jahren dabei noch längerfristig an einen Hersteller gebunden, so betonen die Unternehmen, seien ihre Produkte heute untereinander kompatibel. Ein Versprechen, das so nicht ganz stimmt. Die Kompatibilität ist nämlich nur bezüglich der Übertragungsprotokolle gewährleistet - anders sieht es dagegen in Sachen Management aus.

SNMP ist der kleinste gemeinsame NennerHier beschränkt sich die Kompatibilität, wie Bintec-Manager Simon einräumt, auf den kleinsten gemeinsamen Nenner, nämlich SNMP (Simple Network Management Protocol). Auf dieser Basis ist auch eine Einbindung in Management-Lösungen wie HP Openview möglich. Ansonsten kochen die Hersteller aber mit spezifischen Erweiterungen ihr jeweils eigenes Süppchen. Wer also etwa die Geräte in den Filialen seines Unternehmens per Fernwartung kontrollieren möchte, so der Rat von Jakobi von Dimension Data, komme nicht umhin, sich an einen Hersteller zu binden, wenn er sich nicht mit den unterschiedlichsten Tools herumärgern wolle. Gleiches gilt in Sachen Reporting, wenn also die Zugriffszeiten und -dauer zur Kostenkontrolle oder zum Aufspüren von unberechtigten Einwahlversuchen mitprotokolliert werden sollen. Bestehen aber bereits historisch gewachsene heterogene Installationen, bieten eventuell die Management-Tools von Drittherstellern einen Ausweg. Diese versuchen, die modellspezifischen Besonderheiten der verschiedenen Geräte über eine Administrationsplattform anzusprechen.

Außerdem, so der Tipp von Navarre, sollte der Anwender bei der Wahl seiner Hardwareplattform auf eine entsprechende Skalierbarkeit achten, denn ist Remote Access erst einmal eingeführt, wächst auch bei anderen Mitarbeitern der Wunsch nach einem solchen Zugang. Kurzfristig lassen sich Engpässe mit der Definition einer Remote-Access-Policy überbrücken: Abbau der Verbindung mit dem erwähnten Short-Hold-Modus, um so die Verfügbarkeit der Ports zu erhöhen.

In einem anderen Punkt herrscht heute unter den Herstellern Einigkeit: Der noch vor Jahren geführte Streit, ob Windows NT RAS oder Radius ( Remote Authentication Dial-in User Service) zur Zugriffskontrolle besser sei, hat nur noch akademische Bedeutung. Aus heutiger Sicht eignet sich Windows NT RAS vor allem für kleinere Netze, da es einfacher zu installieren ist.

Allerdings erkauft sich der Anwender diesen Vorteil mit einer schlechteren Skalierbarkeit sowie dem Problem, dass NT keine fein differenzierten Zugangsregeln erlaubt. Oder wie es Managerin Navarre vereinfacht darstellt: "Unter NT kann ich nur entscheiden, ob jemand Zugriff hat oder nicht." Deshalb, so die einhellige Meinung der Spezialisten, sei für größere Unternehmen, bei denen die Sicherheits-Policy nur einen Zugriff auf ausgewählte Applikationen erlaubt, Radius die erste Wahl. Zudem wartet dieser Ansatz mit einer höheren Performance auf als Windows NT RAS und eignet sich besser für Multivendor-Umgebungen. Eine interessante Alternative zu beiden Möglichkeiten nennt 3Com-Manager Harald Klenner: Remote-Access-Lösungen auf Basis von Linux.

Die Entscheidung zugunsten von Windows NT, Radius oder Linux ist jedoch nur die halbe Miete in Sachen Sicherheit beim remoten Zugriff. Entscheidend ist nämlich, dass die Passwörter nicht im Klartext übertragen werden. Laut Bintec-Mann Simon ist dabei eine 64-Bit-Verschlüsselung heute das Mindeste, was ein Anwender fordern sollte. Geht es um sensible Anwendungen und Daten, dann steht das Verschlüsselungsverfahren RSA hoch im Kurs. Allerdings warnt 3Com-Manager Klenner die Anwender vor einem gefährlichen Trugschluss: Die sichere Anmeldung mit verschlüsselten Passwörtern und User-IDs garantiert noch lange nicht die Sicherheit der Übertragung. Sie hält höchstens unerwünschte Besucher von einem direkten Zugriff über die Remote-Access-Ports ab. "Falsch motivierte Menschen können den Verkehr immer noch unterwegs abfangen", erklärt Klenner. "Deshalb sollte für den Anwender auch die Verschlüsselung des Datenverkehrs bei der Übertragung oberste Priorität haben."

Problemfall ClientSind in der Firmenzentrale alle Entscheidungen bezüglich Übertragungsmedien und Sicherheitsverfahren getroffen, so ist in Sachen Remote Access noch ein Hindernis zu nehmen: Die Konfiguration des Notebooks oder der Heimrechner für den Zugriff. Eine Hürde, die schon die ehrgeizigsten RAS-Fans an den Rand der Verzweiflung getrieben hat. Entweder verweigerten Modem oder ISDN-Karte das Zusammenspiel mit dem Rechner, oder das als Client verwendete Windows-eigene DFÜ-System blieb dem Benutzer mit seinen vielen Parametern schleierhaft. Zum Umschiffen dieser letzten Klippe auf dem Weg zum remoten Firmenzugang haben Hersteller wie etwa Acotec so genannte Remote Client Manager entwickelt. Diese, so das Versprechen der Firmen, richten die Zugangssoftware auf den PCs der mobilen Benutzer weitestgehend automatisch ein und tragen die entsprechenden Wahlparameter in das DFÜ-Netzwerk ein.