Im Grunde ist es der Alptraum jedes Netzadministrators: Eine Person wählt sich von außen in das Unternehmensnetz ein und hat Zugang zu Ressourcen, die sonst nur direkt vor Ort verfügbar sind. Verheerende Schäden drohen! Entsprechend geplant und abgesichert jedoch haben solche Fernzugriffe das Potential, um (Unternehmens-)Träume zu verwirklichen: Auch von außen ständig ergänzt, sind alle Firmendaten immer auf dem aktuellen Stand, das Unternehmen hat also einen enormen Wettbewerbsvorteil.
Ein mögliches Einsatzgebiet des auch als Remote Access bezeichneten Verfahrens stellt das Teleworking dar, bei dem Mitarbeiter auf ihrem Rechner zu Hause arbeiten. Dabei kommunizieren sie ganz normal mit ihren Kollegen über das betriebsinterne E-Mail-System, schicken Druckaufträge zum Büro des nächsten Sachbearbeiters, speichern Dateien im Firmennetz oder fragen Produkt- und Kundendaten aus der zentralen Datenbank ab - genauso, als ob sie im Büro wären.
Außendienstmitarbeiter profitieren von der Technologie, indem sie gleich vom Kunden aus Bestellungen oder gerade abgeschlossene Verträge an die Zentrale weiterleiten. Via Fernzugriff kann ein Unternehmen seinen Kunden aber auch Zugang zu speziellen Service-Angeboten verschaffen. Administratoren gehen dank des Verfahrens auch von unterwegs oder in Notfällen nach Feierabend auf Fehlersuche im Netz, ohne jedesmal in die Firma fahren zu müssen. Schließlich läßt sich Remote Access einsetzen, um Partnern das Abfragen von Produktionsdaten zu ermöglichen oder um Außenstellen mit dem Unternehmensnetz zu verbinden.
Unabhängig davon, zu welchem Zweck die Einwahl in das lokale Firmennetz erfolgt, sind dabei zwei grundsätzlich verschiedene Methoden zu unterscheiden. Eine davon ist die Fernsteuerung - neudeutsch Remote Control genannt -, bei der die Einwahl gezielt über einen bestimmten Rechner erfolgt, der sich dann fernsteuern läßt. Dem Anwender stehen zwar ebenfalls alle Unternehmensressourcen zur Verfügung, der Unterschied liegt jedoch darin, daß die Daten physikalisch immer noch im Firmennetz sind und nicht direkt auf den externen Rechner übertragen werden. Ebenso laufen alle Programme auf dem Rechner intern ab, nach außen werden nur die Informationen für die Darstellung am Bildschirm des Fernarbeiters übertragen. Das gleiche gilt in umgekehrter Richtung für alle Tastatur- oder Mauskommandos.
Anders der "echte" Remote Access. Hier bildet der von außen zugreifende Rechner als Remote Node einen vollwertigen Bestandteil des Netzes. Die Anwendungen zur Bearbeitung der Informationen laufen direkt auf dem Computer, die Daten werden dagegen meist verschlüsselt zwischen PC und Host übertragen.
Dies funktioniert nach folgendem Prinzip: Clients (entweder normale PCs oder Laptops) greifen über Analogmodem, ISDN oder GSM von einem Punkt außerhalb des Unternehmens über einen speziellen Router oder Remote-Access-Server (RAS) auf das LAN zu. Eine besondere Variante, auf die hier nicht näher eingegangen werden soll, stellt der Zugang zum Firmennetz über das Internet im Rahmen von Virtual Private Networks dar (siehe CW 25/98, Seite 33: "Virtual Private Networks sind noch nicht reif"). Damit nur autorisierte Personen Zutritt zum LAN erhalten, kommen verschiedene Mechanismen wie Password Authentication Protocol (PAP) oder Challenge Handshake Authentication Protocol (CHAP) zum Einsatz.
Zusätzlich besteht bei den meisten Lösungen die Möglichkeit, nach der Identifizierung des Anrufenden einen Rückruf (Callback) vorzunehmen. Über die Option, nur bestimmte, vorher festgelegte Rückrufnummern zuzulassen, läßt sich mit diesem Verfahren die Gefahr eines unbefugten Eindringens ins Firmennetz reduzieren. Callback vereinfacht aber vor allem die Kontrolle der Telefonkosten, da sie auf diese Weise über das Unternehmen abgerechnet werden. Ein Gebührennachweis durch den Mitarbeiter entfällt also.
Die im Unternehmen stehenden RAS-Systeme haben die Aufgabe, die eingehenden Anrufe anzunehmen und die Verbindung zum lokalen Netz herzustellen. Das für die Übertragung zumeist benutzte Point-to-point Tunneling Protocol (PPTP) verpackt dabei LAN-Protokolle wie IP oder IPX. An diesem Punkt erfolgt aber auch die Kontrolle darüber, welcher Nutzer auf welche Ressourcen zugreifen und was er damit machen kann, weshalb diesen Geräten eine zentrale Bedeutung zukommt. Dominierten lange Zeit proprietäre Lösungen von Herstellern wie Cisco, Ascend oder Shiva diesen Markt, so buhlen nunmehr verstärkt offene, auf allgemeinen Standards basierende Produkte um die Gunst des Anwenders. ITK, Digi und Rascom sind einige der Anbieter, die sich auf dieses Marktsegment konzentrieren.
Im Gegensatz zu den proprietären "Black boxes" bildet bei offenen RAS-Systemen handelsübliche PC-Hardware das Herzstück der Geräte. Diese ist mittlerweile so leistungsfähig, daß sie mit den herstellerspezifischen Lösungen der Konkurrenz mithalten kann. Als Betriebssystem kommt in der Regel Windows NT zum Einsatz, das ab Version 4.0 Unterstützung für Fernzugriffe integriert hat. Es gibt jedoch auch Systeme, die den Fernzugriff auf Basis von Novells Netware realisieren. Alle bereits in den Betriebssystemen vorhandenen Features für Sicherheit, Authentifizierung, Kanalbündelung oder Unterstützung verschiedener Clients stehen den Anwendern somit ohne weiteres zur Verfügung.
Zusätzlich sind diese Lösungen ohne weiteres mit Produkten von Drittanbietern zu kombinieren. Denkbar ist beispielsweise das zusätzliche Installieren einer Firewall oder eines Radius-Servers (Radius = Remote Authentication Dial-in User Service) auf einem NT-basierten Remote-Access-Server. Allerdings sind Anwender offener Systeme dadurch keineswegs vor unangenehmen Überraschungen gefeit, wie die jüngst entdeckten Probleme mit dem Point-to-point Tunneling Protocol des Remote-Access-Service von Windows NT zeigen (siehe Seite 30: "Neues Sicherheitsloch bedroht . . .").
Der zu erwartende Wettbewerbsvorteil sowie die Verfügbarkeit und Flexibilität von offenen RAS-Lösungen dürften neben sinkenden Kosten mit die Hauptgründe dafür sein, daß immer mehr Unternehmen zumindest einem Teil ihrer Mitarbeiter den Fernzugriff auf das Unternehmensnetzwerk ermöglichen. Die Analysten jedenfalls sagen dem Remote Access eine gute Zukunft voraus: Von 1997 bis zum Jahr 2000 soll sich nach Ansicht von IDC das Marktvolumen allein in Deutschland auf rund 420 Millionen Mark verdoppeln.
Abb.1: Remote-Access-Varianten
Fernzugriffe auf das Unternehmen erfolgen in der Regel über das Telefonnetz oder das Internet. Quelle: Rascom
Abb.2: Remote-Access-Lösungen
Bei der Installation von Fernzugriffslösungen spielt die Unterstützung von Standards eine führende Rolle. Quelle: PR-COM/Rascom