Firmen ergänzen heute ihre lokalen und unternehmensweiten Netze zunehmend mit WLAN und künftig auch mit Gigabit-WLAN. Einen Zugang zu sämtlichen Netzen ermöglicht Unified-Access, wodurch der Managementaufwand deutlich sinkt. Doch welche organisatorischen, technischen und sicherheitsrelevanten Fragestellungen müssen Mittelständler beachten?

Während früher fast alle Mitarbeiter im Firmengebäude einen fest zugewiesenen Schreibtisch mit PC und Telefon hatten, wird das Arbeiten heute immer mobiler und flexibler. Für die IT-Ausstattung ist daher nicht mehr so sehr das Rollenprofil entscheidend, sondern vielmehr der damit verbundene „Working Style“. Ein Mitarbeiter im Außendienst arbeitet anders als eine Verwaltungskraft, ein Wissensarbeiter oder ein Manager – um nur einige Beispiele zu nennen.

Dabei wird die Geräteausstattung immer vielfältiger. In einigen Unternehmen können sich Mitarbeiter bereits aussuchen, ob und wann sie PC, Notebook, Tablet oder Smartphone nutzen möchten. Zudem lösen moderne Unified-Communications-Lösungen die Grenzen zwischen Geräten, Anwendungen und Arbeitsorten auf. So können sich Mitarbeiter mit Kollegen und Kunden per „Cisco Jabber“ oder „Microsoft Lync“ über verschiedene Kommunikationsanwendungen vernetzen – per Telefon über Chat und Instant-Messaging bis hin zur Videokonferenz inklusive Desktop-Sharing und Dokumentenaustausch.

Der feste Arbeitsplatz löst sich auf

Diese technischen Möglichkeiten nutzen auch mittelständische Unternehmen immer häufiger, vor allem im Außendienst und im Management. Branchen wie Dienstleistung oder Gesundheitswesen statten auch Kundenberater, Service-Techniker oder Ärzte immer häufiger mit mobilen, geräteunabhängigen Lösungen aus. Doch gerade das Verschwinden des festen Arbeitsplatzes führt in vielen IT-Abteilungen zu Sorgenfalten. Denn die Administratoren verlieren damit zunehmend die Kontrolle, mit welchen Geräten und Betriebssystemen sowie über welche Netze und an welchen Orten die Mitarbeiter auf das Unternehmensnetzwerk zugreifen. Diese nutzen eventuell sogar ihr privates Mobilgerät, ihre persönlichen Apps und Cloud-Anwendungen. Sicherlich können Firmen diesen Wildwuchs verbieten. Doch in der heutigen Zeit lassen sich die geänderten Arbeitsstile, vor allem junger Mitarbeiter, nicht per Dekret verhindern. Schließlich können sie mit mobilen Anwendungen meist schneller, praktischer und effizienter arbeiten. Entsprechend bringt dies auch für Unternehmen deutliche Geschäftsvorteile. Daher sollten sie die höhere Flexibilität des Arbeitsplatzes sowie der Hardware- und Software-Ausstattung akzeptieren und bestmöglich steuern.

Zudem ist für viele junge Berufseinsteiger eine zeitgemäße IT-Ausstattung des Arbeitsplatzes ein wichtiges Entscheidungskriterium bei der Arbeitgeberauswahl.

Per WLAN vernetzt

Ein wichtiger Schritt ist dabei die Bereitstellung eines zuverlässigen und schnellen WLANs im Firmengebäude. Schließlich möchten nicht nur die Mitarbeiter, sondern auch Gäste, Dienstleister oder Kunden mit ihren Endgeräten dort reibungslos und effizient arbeiten. Auch im Mittelstand hat das allgegenwärtige „Apple iPad“ bereits zu einem Umdenken geführt. Zudem erkennen immer mehr Firmen die Vorteile eines Funknetzes, da die meist aufwändige Verlegung von Kabeln – etwa in Besprechungsräumen – weitgehend entfällt. Ein Problem stellt aber oft die mangelnde Kapazität dar, wenn das Netz nicht ausreichend für die zunehmende Anzahl mobiler Endgeräte dimensioniert ist oder das Wachstum der übertra-genen Datenmenge unterschätzt wurde.

Gerade Letzteres geschieht häufig, da nicht nur die Zahl der Nutzer steigt, sondern auch die Größe der übertragenen Dateien, seien es beispielsweise hochaufgelöste Grafiken oder Videos in HD-Qualität. Dagegen hat sich das Sicherheitsrisiko inzwischen deutlich verringert. Tatsächlich sind die heute üblichen WLAN-Installationen durch integrierte Verschlüsselung des Datenverkehrs und die Authentifizierung des Endgeräts sogar sicherer als die meisten kabelgebundenen Netze.

Eine Anmeldung für alle Netze

Für die Absicherung der geschäftlichen Daten ist eine zuverlässige Identifizierung der Nutzer entscheidend. Doch die heute üblichen WLANs begnügen sich meist nur mit der Authentifizierung der Endgeräte, während  im LAN in der Regel nicht einmal dies überprüft wird. Hier herrscht dringender Handlungsbedarf. Möglicherweise wurde ein Smartphone gestohlen und ein Nicht-Berechtigter möchte sich damit den Zugang erschleichen? Deswegen sollte die Prüfung des externen Zugriffs über eine Zwei-Faktor-Authentifizierung realisiert werden, die nicht nur das Endgerät, sondern auch den Nutzer mit zwei voneinander unabhängigen Sicherheitsmerkmalen anmeldet. Dies können zum Beispiel ein Passwort und eine durchlaufende Sicherheitszahl sein.

Unternehmen sollten dabei jedoch das WLAN nicht isoliert von den anderen Netzen betrachten. Denn schließlich müssen sich Mitarbeiter auch weiterhin im LAN und/oder über Internet-VPN anmelden können. Unterschiedliche Zugangsmechanismen sind aber nicht nur störend für die Mitarbeiter, sondern erhöhen auch den Managementaufwand für die Unternehmens-IT. Die nutzerfreundlichste Lösung ist daher ein einheitlicher Zugang. Moderne Unified-Access-Architekturen umfassen dabei sämtliche Bereiche (siehe Grafik):

  • im Endgeräte-Layer alle mobilen und fest installierten Geräte wie PCs, Notebooks, Tablets oder Smartphones
  • im Infrastruktur-Layer Netzwerkgeräte wie Router, Switches, Access-Points, WLAN-Controller oder VPN-Firewalls
  • im Policy-Layer Geräte wie Policy-Controller, die für die Einhaltung von Richtlinien sorgen
  • im Application-Layer die Anwendungen.

Heterogene Infrastrukturen

Um den Managementaufwand möglichst gering zu halten, sollte die Lösung in einem Schritt die Konfiguration der Zugangsmechanismen für alle Netzinfrastrukturen und Endgeräte mit einheitlichen Richtlinien ermöglichen. Dies ist in der Praxis aber nicht immer umsetzbar, vor allem bei heterogenen Netzwerkgeräten. So besitzen LAN-Router und -Switches eines Anbieters oft andere Eigenschaften und Funktionen als die WLAN-Controller und -Access Points eines anderen Herstellers. Entsprechend müssen IT-Mitarbeiter die Policy- und Access-Konfigurationen anpassen. Aus diesem Grund empfiehlt es sich, Geräte eines Herstellers oder möglichst weniger Anbieter zu nutzen, um den Managementaufwand zu reduzieren und die Richtlinien weitgehend einheitlich zu halten. Dabei spielt die Ausstattung der Netzwerkgeräte eine große Rolle. So besitzen zum Beispiel günstige Switches eines unbekannten Herstellers häufig nicht die notwendigen Funktionen und Schnittstellen, um optimal mit modernen Zugangs- und Richtlinienlösungen zu funktionieren. In diesem Fall sind zuerst hochwertigere Geräte anzuschaffen. Zusätzlich sollte die vorhandene Infrastruktur weitere Grundvoraussetzungen erfüllen. Dazu zählt etwa ein gut strukturiertes Active-Directory als Basis für den Policy-Controller. Auch eine Zertifikats-Infrastruktur für Endgeräte ist wichtig, um die Sicherheitsrichtlinien effi-zient durchzusetzen.

Den Nutzer im Blick

Der tatsächliche Aufwand für die Einführung von Unified-Access hängt aber von vielen Faktoren ab: der vorhandenen Hardware und Software, der Anzahl der Nutzer, der Heterogenität und Komplexität der bestehenden Infrastruktur sowie den gewünschten Funktionen und Kapazitäten, aber auch von organisatorischen Entscheidungen. So müssen sich Unternehmen im ersten Schritt Gedanken über die jeweiligen Arbeitsstile machen: Welche Mitarbeiter benötigen welche Netzwerkzugänge? Wie ist der Anteil der Mobil- und Festnetz-Nutzung? Wie wird sich diese in Zukunft entwickeln? Auf Basis dieser Fragen sind die Mitarbeiter mit den geeigneten Geräten und Anwendungen auszustatten. Dabei sollte die IT von Anfang an die jeweiligen Zugangs- und Sicherheitslösungen einrichten – ergänzt durch eine Schulung der Mitarbeiter.

Zudem muss die Lösung mit einer entsprechenden Gerätepolitik abgestimmt werden. Dürfen Mitarbeiter private Geräte nutzen oder nur firmeneigene? Welche Sicherheitslösungen und Mobile-Device-Management-Systeme (MDM) sind darauf zu installieren? Wie ist die Trennung von privaten und geschäftlichen Daten auf den Geräten gelöst? Aus diesen Fragen wird klar, dass die Einführung von Unified-Access mit dem Austausch von ein paar Switches noch lange nicht getan ist. Auch die IT-Abteilung wird gegebenenfalls vor eine organisatorische Herausforderung gestellt, da die Einführung von Unified-Access eine enge, abteilungsübergreifende Abstimmung und Zusammenarbeit bedingt.

Höhere Sicherheit & Produktivität

Dafür profitieren auch mittelständische Unternehmen von zahlreichen Vorteilen, wie einer zuverlässigeren Identifizierung der Nutzer, um geschäftskritische Daten besser zu schützen. Mitarbeiter erhalten einen einfachen, flexiblen Zugang zu allen Netzen und können diesen geräte-, orts- und zeitun-abhängig nutzen. Bei firmeneigenen Geräten erfolgt dieser weitgehend automatisch durch die gespeicherte ID. Zumindest auf dem Unternehmensgelände muss der Mitarbeiter dann nur eine PIN eingeben, außerhalb reicht meist eine Zwei-Faktor-Authentifizierung. Durch den praktischen Zugang steigt sowohl die Zufriedenheit als auch die Produktivität der Mitarbeiter.

Schließlich können Unternehmen möglicherweise sogar Kosten sparen, indem sie zum Beispiel externen Dienstleistern und Technikern nicht mehr ein separates Gerät zur Verfügung stellen müssen, da diese ihr eigenes Notebook oder Tablet verwenden können. Jedoch sollte dieses aus Sicherheitsgründen nicht auf alle Bereiche des Netzwerks zugreifen dürfen. Gleiches gilt für die privaten Geräte der Mitarbeiter. Hier bietet sich ein Gastzugang mit Zugriff auf unkritische und notwendige Daten an. Für einen vollen Zugriff sind nur firmeneigene Geräte inklusive MDM- und Datencontainer-Lösung geeignet. Dieser kann dafür dann auch von außerhalb des Unternehmens über einen abgesicherten VPN-Tunnel erfolgen. Dies alles wird durch eine integrierte Unified-Access-Lösung mit einer zentralen, benutzerbezogenen Steuerung der Zugriffe über alle Netzzugänge (LAN, WLAN, VPN) ermöglicht.

Fazit

Lohnt sich Unified-Access für den Mittelstand? Mit der richtigen Planung ja. Aufgrund des meist größeren Kostendrucks müssen Mittelständler im Vergleich zu Großunternehmen im Vorfeld noch genauer den aktuellen Status ihrer Infrastruktur und die gewünschten Funktionen sowie den Skalierungsgrad analysieren. Auf Basis der exakt definierten Anforderungen und des jeweiligen Sicherheitsbedürfnisses muss eine detaillierte Kosten-Nutzen-Abschätzung durchgeführt werden. In Kombination mit einem erfahrenen Dienstleister, der ihn berät und bei der Installation unterstützt, profitiert er dann genauso wie ein Konzern vom einfacheren Management und den flexibleren Zugangsmöglichkeiten durch Unified-Access.

von Steffen Winkler, Solution Manager Borderless Network, Computacenter | funkschau.de)

Ein Zugang für alle Netze