- Anzeige -
- Anzeige -
StartDigitalesModerne IT-Arbeitsplätze

Moderne IT-Arbeitsplätze

Anzeige

Vermehrte Telearbeit, verstärkter Einsatz externer Dienstleister, fehlende Ressourcen: Auch Behörden müssen sich an variierende Rahmenbedingungen anpassen – und sollen gleichzeitig sichere Arbeitsumfelder bereitstellen. Der Behörden Spiegel sprach mit Dominik Kammerloher, Abteilungsleiter Strategy bei genua GmbH, über mögliche Lösungen für die gestiegenen Anforderungen.

Behörden Spiegel: Wie hat sich das Arbeitsumfeld für Behörden in den letzten Jahren verändert und welchen Einfluss hat das auf die IT-Sicherheitsarchitektur?

Dominik Kammerloher: Auch Behörden sind direkt von den Entwicklungen der letzten Jahre betroffen. Auf der einen Seite nutzen viele Mitarbeitende ganz oder teilweise Telearbeitsangebote, sind also beispielsweise vom Homeoffice oder von unterwegs aus tätig. Auf der anderen Seite sehen wir, dass Behörden verstärkt mit externen Dienstleistern kooperieren und Services auslagern, die sie möglicherweise früher selbst bereitgestellt haben – oder neu implementieren.

Das bedeutet, dass die Organisationen Remote-Zugriffsmöglichkeiten von außen auf Ressourcen in ihren Netzwerken bereitstellen müssen – und sich somit stärker im digitalen Raum exponieren. Das ist nicht ohne Risiko: Wenn der Zugang unzureichend abgesichert ist, können unter Umständen Cyberkriminelle, ausländische Dienste und deren Sympathisanten über diese Schwachstelle ins Netzwerk eindringen, sich lateral darin vorarbeiten und letztlich großen Schaden anrichten. Diesen potenziellen Angriffsvektor gilt es also auszuschalten.

Hinzu kommt: Auch Behörden wollen zunehmend von den Vorteilen moderner Cloud-Umgebungen profitieren. Etwa, um Services bedarfsgerecht skalieren und so letztlich kosteneffizient nutzen zu können. All dies erhöht die Anforderungen an die IT-Sicherheitsarchitekturen.

Behörden Spiegel: Welche Anforderungen stellen moderne Arbeitsumgebungen, User und Anwendungen an solche Remote-Zugriffslösungen?

Kammerloher : Wichtig ist, dass die Lösungen einfach zu administrieren sind und für Endanwender möglichst transparent funktionieren. Am besten sollte der berechtigte Zugriff auf eine Anwendung ohne eine weitere Nutzeraktion möglich sein – also etwa ohne erneutes Anmelden und Authentifizieren für den Aufbau einer Remote-Verbindung.

Darüber hinaus sollten die Lösungen auf möglichst vielen Endgeräten funktionieren. Denn auch das ist heute Realität: Remote-Anwender nutzen längst nicht mehr nur einen stationären Desktop-PC für ihre Tätigkeiten, sondern ein ganzes Spektrum von Geräten – vom Notebook über Tablets bis zum Smartphone.

Behörden Spiegel: Bislang sind VPN-Lösungen das Mittel der Wahl für Remote-Access. Haben diese auch Einschränkungen?

Kammerloher : Virtuelle Private Netze sind in vielen Fällen weiterhin relevant. Sie erfordern allerdings einen gewissen administrativen Aufwand, nicht zuletzt durch den VPN-Client auf den Endgeräten. Es gibt zudem Situationen, in denen ein VPN-Client nicht genutzt werden kann – etwa, weil ein Dienstleister die Installation auf dem Endgerät nicht zulässt. Je nach Anwendungsfall ist der Einsatz eines VPNs nicht unbedingt erforderlich. Ein Beispiel: Wenn eine Behörde nur punktuell und möglicherweise temporär begrenzt Zugriff auf bestimmte Ressourcen in ihrem Netzwerk erteilen möchte – etwa auf Lieferantenportale für Lieferketten oder für Audits – sollte sie Alternativen in Betracht ziehen.

Behörden Spiegel: Welche Alternative käme denn für den beschriebenen Anwendungsfall in Frage?

Kammerloher : Hier möchte ich Zero Trust Application Access, kurz ZTAA, nennen. Eine Zugangstechnologie, die Remote-Anwendern einen kontrollierten, anwendungsspezifischen und identitätsbasierten Zugriff auf Ressourcen innerhalb des Netzwerks einer Organisation – etwa einer Behörde – bereitstellt. Ein wichtiger Aspekt ist dabei die Annahme, dass Fehler unvermeidlich sind – sich deren Auswirkungen aber durch ein robustes, fehlerbewusstes Design der IT-Infrastruktur minimieren lassen. Dieses Design folgt dem Zero-Trust-Grundsatz: Vertraue niemandem, nicht einmal dir selbst.

Eine ZTAA-Lösung, wie genusphere von genua, setzt daher auf ein feingranulares Berechtigungsmanagement, das dem Prinzip der minimalen Rechtevergabe folgt: User erhalten abhängig von ihrer Identität ausschließlich Zugriff auf für sie freigegebene Anwendungen. Die Integration von Identity Providern wie Microsoft Entra ID und Keycloak sorgt dafür, dass Administratoren die Nutzerrechte komfortabel verwalten können.

Verbindungen zwischen Usern und Anwendungen werden anhand von Rollen und Geschäftsrichtlinien hergestellt – und zwar von innen aus dem Netzwerk heraus nach außen. Die vollständige Verschlüsselung der übertragenen Daten erhöht die Informationssicherheit zusätzlich. Auf diese Weise erhalten Behörden auch die Möglichkeit, Legacy-Web- und Windows-Applikationen weiter zu betreiben, restriktiv eingesetzte Anwendungen abzusichern oder auch temporäre Zugänge für externe Nutzer einzurichten.

Behörden Spiegel: Welche Vorteile hat der On-Premise-Betrieb einer solchen Lösung – und wie können Behörden davon profitieren?

Kammerloher : Als selbst hostende Einrichtungen behalten Behörden sämtliche Daten unter ihrer Kontrolle – dies ist ein wichtiger Baustein für ihre digitale Souveränität. Zudem müssen sie sich nicht mit möglicherweise komplexen Fragestellungen rund um Cloud Governance mit externen Anbietern auseinandersetzen. Darüber hinaus laufen sie nicht in die Gefahr eines Vendor Lock-Ins auf Plattformen der großen Hyperscaler, da sie die Kontrolle über ihre eigene Betriebsumgebung behalten.

Behörden Spiegel: Wie aufwändig ist der Einsatz einer ZTAA-Lösung für Administratoren, und was ändert sich für die Endnutzer?

Kammerloher : Anwenderseitig kommt zum Beispiel unsere ZTAA-Lösung genusphere ohne spezielle Client-Software aus. Ein Standard-Webbrowser bildet das Portal für den Zugriff auf netzwerkinterne Applikationen. Das vereinfacht die Handhabung und das Management der Lösung. Und ist die vielleicht größte Umstellung für Anwender: Sie starten zum Beispiel Windows-Applikationen nicht per Doppelklick, sondern über einen Link im Browser.

Behörden Spiegel: Wird ZTAA klassische VPN-Lösungen ersetzen?

Kammerloher : Davon gehe ich nicht aus. Aus meiner Sicht ergänzen sich die beiden Technologien vielmehr sehr gut. Je nach Schutzanforderung und Anwendungsfall kann es zum Beispiel zwingend erforderlich sein, ein VPN etwa mit unserer genuconnect-Lösung aufzubauen, um darüber VS-NfD-konforme Kommunikation zu ermöglichen.

In anderen Fällen wiederum kann ZTAA seine Stärken ausspielen – etwa, wenn es darum geht, unkompliziert identitätsbasiert temporäre und dennoch sichere Zugänge für dedizierte Applikationen einzurichten. Zero Trust Application Access lässt sich darüber hinaus mit VPN-Lösungen kombinieren, um den Zugriff auf IT-Systeme noch besser abzusichern. Denn je weniger Zugriffsmöglichkeiten ein Endnutzer hat, desto kleiner ist auch die Angriffsfläche. Selbst über einen kompromittierten Benutzeraccount kann sich ein Angreifer nicht lateral im Netzwerk ausbreiten.

Der Interviewpartner Dominik Kammerloher ist Abteilungsleiter Strategy bei der genua GmbH.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein