Home-Office gilt als “New Way of Work” und bietet nicht nur Mitarbeiter:innen, sondern auch Unternehmen zahlreiche Vorteile.
SASE (Secure Access Service Edge) ist ein Begriff, den die Analysten von Gartner geprägt haben. Entstanden sind sie aus den Anforderungen an Security und Connectivity der IT-Infrastruktur in Unternehmen. Das starke Wachstum bei Cloud Applikationen und Services, getrieben durch verstärktes Home-Office, erfordert neue Lösungen, um Mitarbeiter:innen von jedem Ort aus optimal und sicher mit den jeweiligen Services und Applikationen zu verbinden.
Es ist abzusehen, dass dieser “New Way of Work” auch nach Corona bleiben wird, denn nicht nur für Mitarbeiter:innen hat das Home-Office gewisse Vorteile, sondern auch für Firmen: Weniger Stromverbrauch, weniger Abnutzung, weniger Verschmutzung, um nur ein paar zu nennen. Teilen sich Mitarbeiter:innen einen Arbeitsplatz wechselweise, dann kann sogar Büroraum eingespart werden. Daher ist absehbar, dass die Vorteile von Home-Office auch nach Corona weiter genutzt werden.
Problematik Homeoffice
Durch verstärktes Home-Office bei gleichzeitiger Verwendung vieler Cloudservices ergibt sich aber eine Problematik: In einer nach frühen Konzepten abgesicherten Netzwerkinfrastruktur verbindet sich ein Mitarbeiter bzw. eine Mitarbeiterin zum Beispiel mit seinen Microsoft 365 Services, um E-Mails abzurufen, zu telefonieren oder Dateien zu speichern immer noch über seine VPN-Verbindung über die Firmenfirewall, die seinen Datenverkehr überprüft.
Das heißt, der Datenverkehr wird vom Home-Office Arbeitsplatz zurück in die Zentrale geführt, nur um dann wiederum in das Internet zu den Cloud-Services geleitet zu werden. Dieses sogenannte “Backhauling” belastet einerseits die Leitung mit dem doppelten Datenverkehr als auch die Firewall, die auf einmal eigentlich doppelt so groß dimensioniert sein müsste.
Was aber ist die Alternative?
Eine Möglichkeit ist Split-Tunneling. Das heißt, dass nur noch der Verkehr auf Applikationen, wie Datenbanken die onPrem im Serverraum in der Zentrale stehen, über die Firmen-VPN-Verbindung geleitet werden. Der ganze andere Traffic für E-Mails, Telefonie oder auch Filesharing über OneDrive wird direkt vom Home-Office-Arbeitsplatz in das Internet geführt. Der Nebeneffekt in einer solchen Konstellation ist allerdings der Verlust von Security und Kontrolle.
Mitarbeiter:innen sind nicht mehr durch die Firmenfirewall geschützt und können Opfer einer Cyberattacke werden - bewusst oder unbewusst. Ein Beispiel für unkontrollierten Datenaustausch wären sensible Daten wie Kundenlisten, die über eine Shareplattform, wie WeTransfer geteilt werden. In Zeiten von heftigen DSGVO-Strafen sollte man so was auf jeden Fall vermeiden.
Cloud-Firewall als Zukunftsmodell
In diesem Fall bietet sich eine Cloud-Firewall als Alternative an. Hersteller wie Zscaler bieten Lösungen, die direkt auf dem Endgerät der Mitarbeiter:innen installiert werden und den Traffic über das eigene Cloud-Firewallprodukt leiten. Dieser Client kann nicht abgeschaltet oder deaktiviert werden und ist sofort nach dem Einloggen des Users aktiv. In der Cloud-Firewall kann fein granuliert eingestellt werden, was Mitarbeiter:innen dürfen und was nicht.
So ist es sogar möglich, den Zugriff auf Microsoft 365 grundsätzlich zu sperren, aber den Zugang zu dem firmeneigenen Microsoft 365 Portal zu gewähren. Eine Möglichkeit, die nicht viele Firewall-Hersteller bieten.
Solche Cloud-Firewalls können aber nicht nur einzelne Benutzer per installierten Client nutzen, es ist auch möglich, ganze Firmenstandorte und die Zentrale anzubinden. Die Vorteile liegen auf der Hand: Man hat eine gemeinsame Sicht, ein “single Pane of glass” über alle seine User. Die Firewall wird nach User und Traffic lizenziert, d.h. man zahlt also nur das, was man braucht. An den Standorten werden lediglich Devices eingesetzt, die eine Verbindung zur Cloud-Firewall aufbauen.
