Sicherheitsrisiken mit VPN-Lösungen senken

Alle Zeichen auf Kontinuität

Im Interview erläutert Patrick Oliver Graf, Geschäftsführer der NCP Engineering GmbH, wie VPN-Lösungen die Business Continuity stärken und Sicherheitsrisiken senken können.

  • Patrick Oliver Graf, NCP Engineering GmbH

    Patrick Oliver Graf, NCP Engineering GmbH: „Neben den organisatorischen und logistischen ­Herausforderungen müssen Arbeitgeber in Bezug auf eine Homeoffice-Regelung auch rechtliche Frage­stellungen adressieren.“

  • Patrick Oliver Graf, NCP Engineering GmbH

    „Deutschland ist ein Hochtechnologieland und keine IT-Wüste, aber gerade dieses Jahr hat vielen Unternehmen aufgezeigt, in welchen Belangen man in Bezug auf die IT Nachbesserungsbedarf hat“, so NCP-Chef Graf.

  • Patrick Oliver Graf, NCP Engineering GmbH

    Patrick Oliver Graf von NCP: „Unternehmen gleich welcher Größe, aber auch der ­öffentliche Sektor müssen sich für die Themen ‚Home­office‘ und ‚Remote Work‘ deutlich breiter aufstellen.“

  • Patrick Oliver Graf, NCP Engineering GmbH

    „Niemand möchte seinen Unternehmensnamen in Zusammenhang mit einem ­Sicherheitsvorfall lesen“, betont Graf von NCP.

ITD: Herr Graf, von wo aus arbeiten Sie derzeit?
Patrick Oliver Graf:
Gegenwärtig arbeite ich im Büro. Im Rahmen unseres im März dieses Jahres eingeführten Raum- und Hygienekonzepts ist hier ein sicheres Arbeiten möglich.

ITD: Damit liegen Sie inzwischen wieder ganz im Trend. Wie halten Sie es mit der Belegschaft?
Graf:
Zu Beginn des Lockdowns haben wir fast alle Mitarbeiter mehr oder minder über Nacht ins Homeoffice geschickt. Im Büro sind nur die Team- und Abteilungsleiter und die Geschäftsleitung geblieben. Im Zuge der Lockerungen konnten wir unsere Mitarbeiter, basierend auf einem Raum- und Hygienekonzept, nach und nach wieder an ihren Arbeitsplatz zurückkehren lassen, aber natürlich nicht alle gleichzeitig. Heute sind ungefähr 60 Prozent der Belegschaft anwesend, dies im rotierenden Wechsel.

ITD: Wie wird sich Ihrer Meinung nach die Situation der Arbeit­nehmer im kommenden Jahr ent­wickeln? Wird Remote Work weiter der Standard bleiben oder irgendwann wieder an Popularität ver­lieren?
Graf:
Vieles hängt von der Situation rund um die Pandemie ab. Es ist durchaus davon auszugehen, dass sich diese in absehbarer Zeit mehr und mehr entspannt. Wie es tatsächlich weiter geht, kann natürlich keiner mit Sicherheit voraus­sagen. Ich glaube aber schon, dass Remote Work einen hohen Stellenwert behalten wird, nein, – sogar behalten muss, allerdings unter ­geänderten Rahmenbedingungen. Das Arbeiten im Homeoffice wurde bis vor nicht allzu langer Zeit als Mitarbeiterbenefit und als Beitrag zur „Work-Life-Balance“ gesehen. Fakt ist: Heute ist es fester Bestandteil zur Sicherung der „Business Continuity“ und leistet einen essenziellen Beitrag zur Erreichung der Unternehmensziele.

Unternehmen gleich welcher ­Größe, aber auch der öffentliche Sektor müssen sich für die Themen „Homeoffice“ und „Remote Work“ deutlich breiter aufstellen. Niemand kann weitere Vorkommnisse ausschließen, die ein sofortiges Handeln erfordern, um den Geschäftsbetrieb unterbrechungsfrei aufrechterhalten zu können. Es muss nicht immer eine Pan­demie sein, man denke nur an die Wetterkapriolen der letzten Jahre.

ITD: Die IT-Verantwortlichen vieler Unternehmen hatten vor allem durch die speziellen Sicherheitsrisiken im Homeoffice deutlich mehr zu tun. Welche Gefahren werden dabei gerne unterschätzt?
Graf:
Die Mitarbeiter selbst bergen eines der Hauptrisiken, welches der eine oder andere Arbeitgeber durchaus unterschätzt. Wird beim Arbeitnehmer nicht von Anfang an das Bewusstsein für Sicherheit geschaffen, kann es im weiteren Verlauf der Zusammenarbeit unter Umständen problematisch werden. Dies gilt erst einmal allgemein, aber ganz besonders für das Arbeiten im Homeoffice. Konkret betrifft es die Aufbewahrung der vom Arbeitgeber gestellten End­geräte, die Vermeidung von un­berechtigter Nutzung selbiger (z. B. durch Familienangehörige) und auch der Umgang mit Firmenunterlagen. Neben den organisatorischen und logistischen Herausforderungen müssen Arbeitgeber in Bezug auf eine Homeoffice-­Regelung aber auch rechtliche ­Fragestellungen adressieren.

Diese können aus der Datenschutz-Grundverordnung, internen ­Compliance-Vorgaben oder kunden­spezifischen Absprachen (z. B. Zu­sicherung technisch-organisatorischer Maßnahmen) re­sultieren.

ITD: Solche rechtlichen Aspekte sind sicher nicht zu vernachlässigen, aber wie gut sind hiesige Unternehmen denn aus technischer Sicht unter den neuen Vorzeichen aufgestellt?
Graf:
Deutschland ist ein Hochtechnologieland und keine IT-Wüste, aber gerade dieses Jahr hat vielen Unternehmen aufgezeigt, in welchen Belangen man in Bezug auf die IT Nachbesserungsbedarf hat. Zwei Punkte gehen hier Hand in Hand: Netzwerkkommunikation und IT-Sicherheit. Hier sehe ich durchaus vorrangigen Handlungsbedarf bei der Bereitstellung von Netzwerk- und Serverkapazitäten, die im Ernstfall schnell skalierbar sein müssen. Darüber hinaus muss bei der Ausstattung der mobilen Endgeräte deutlich stärker auf eine ganzheitliche Absicherung des Gerätes geachtet werden.

ITD: Entsprechende Entscheidungen werden immer noch häufig in den Führungsetagen getroffen. Wie ausgeprägt ist das Bewusstsein dort für sicherheitskritische Aspekte?
Graf:
Die Zeiten sind vorbei, in denen man „Sicherheit“ als notwendiges Übel gesehen hat. Leider gab es in den letzten Monaten hierzu etliche Negativbeispiele, die durch die Presse gingen. Niemand möchte seinen Unternehmensnamen in Zusammenhang mit einem Sicherheitsvorfall lesen. Trotz allem, auch wenn das Bewusstsein gegeben ist: Das konsequente und richtige Handeln ist aus meiner Sicht das größere Problem. Was mich wundert, ja, teilweise auch ärgert, ist, dass viel zu oft auf Lösungen gesetzt wird, die nicht aus Deutschland bzw. Europa kommen.

ITD: Womit Sie ins Spiel kommen. Wie tragen Sie konkret zur Sicherheit Ihrer Kunden bei?
Graf:
Da es sich bei der NCP-Lösung um mehrere Komponenten handelt, setzen wir auf eine vollumfängliche Beratung mit dem Ziel, maximale infrastrukturelle Kompatibilität und Sicherheit zu gewährleisten. Hierbei kommen gegebenenfalls auch Produkte zum Einsatz, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Zulassung oder eine Freigabeempfehlung für die Geheimhaltungsstufe VS-NfD („Verschlusssache – Nur für den Dienstgebrauch“) haben. Bei uns gibt es im Prinzip alles aus einer Hand. Angefangen bei der Beratung über den Produktverkauf bis hin zur finalen Implementierung der Lösung.

ITD: Inwiefern hat die besondere Situation der letzten Monate das Geschäft angetrieben?
Graf:
Natürlich hat die Pandemie unserem Geschäft positiv in die Karten gespielt. Gleichzeitig waren unsere Mitarbeiter durch den Ansturm und die veränderten Arbeitsbedingungen sehr großen Herausforderungen ausgesetzt, die sie allerdings mit Bravour gemeistert haben. NCP ist, bedingt durch die Pandemie, auf einem noch schnelleren Expansionskurs. Einen Wermutstropfen gibt es allerdings: Leider wird es gleichzeitig auch immer schwieriger, zeitnah qualifiziertes Personal zu rekrutieren.

ITD: Ein anhaltendes Problem, das sicher auch Ihre Kunden kennen. Wo sind die NCP-Produkte besonders gefragt?
Graf:
Unsere Kunden finden sich in den Bereichen „KMU“, „Enterprise“ und auch im „Public-Sektor“. Diese bedienen wir teilweise auch zusammen mit starken Partnern wie der Deutschen Telekom. Wir positionieren uns als branchenübergreifender Lösungsanbieter für „Business Continuity“. Schon vor der durch das Corona-Virus ausgelösten Pandemie war NCP technologischer Marktführer für sicheres, mobiles Arbeiten und die flexible Anbindung von Home­office-Arbeitsplätzen.

ITD: Welche Rolle spielt das Virtual Private Network (VPN) für solche Szenarien?
Graf:
Nachdem Homeoffice und mobiles Arbeiten feste Bestandteile der Unternehmenskommunikation sind, positioniert sich VPN als zentrales Element für die Aufrechterhaltung des Geschäftsbetriebs und damit auch zur Sicherung der Unternehmensziele.

ITD: Wie komplex ist die Einführung einer entsprechenden Lösung auf technischer Seite für Unternehmen oder Behörden mit Mitarbeiterzahlen im vierstelligen Bereich?
Graf:
Ich möchte das an einem konkreten Beispiel aufzeigen: Unsere Software-Lösung wurde in einem Landesrechenzentrum innerhalb von fünf Werktagen komplett installiert, konfiguriert und für über 2.000 Mitarbeiter im Homeoffice bereitgestellt. Dies alles fand in der ersten Woche des Lockdowns statt und wie man sich vorstellen kann, unter deutlich erschwerten Bedingungen.

ITD: Die Einrichtung der Lösung ist eine Sache – wie aufwendig gestalten sich im Nachgang die Pflege und Verwaltung?
Graf:
Unsere Management-Software ist tragender Bestandteil der gesamten NCP-Enterprise-Lösung. Von Beginn an erleichtert sie dem Administrator das Leben. Der gesamte Rollout-Prozess, also die Verteilung der Clients in Verbindung mit der Konfiguration der VPN-Anwender und -Gruppen, wird von der Management-Software gesteuert und im laufenden Betrieb verwaltet sie die Software-Maintenance der VPN-Komponenten. Darüber hinaus ist sie als zen­trale Instanz auch für die Fehler­suche und -behebung ein wichtiges Element. Wir haben Kunden, die über 80.000 VPN-Anwender mit nur zwei Administratoren betreuen.

ITD: Solche Anwenderzahlen kennt man vor allem von Behörden. Wie sehen die Einsatzszenarien für Ihre Lösungen dort konkret aus?
Graf:
Gerade Behörden haben in der Pandemiephase sehr schnell reagiert und ihre Mitarbeiter ins Homeoffice geschickt. Der klassische Anwendungsfall unterscheidet sich nicht dramatisch von Mitarbeitern aus einem Unternehmen. Verwaltungsaufgaben können aus dem Homeoffice heraus genauso produktiv ausgeführt werden wie vor Ort. Grenzen sind in Kommunen und Behörden nur dort gesetzt, wo es die Tätigkeit an sich nicht zulässt, wie z. B. im Kindergarten, bei der Feuerwehr oder ähnlichen Berufsfeldern.

ITD: Sie bieten neben klassischen VPN-Produkten auch spezielle Hardware-Lösungen an, mit denen z. B. streng geheime Dokumente ­sicher verschickt werden können. Was hat es damit auf sich?
Graf:
Damit sprechen Sie unsere Produkte „Verschlusssachen – Nur für den Dienstgebrauch“ an. Der Anspruch an höhere Kommunikationssicherheit findet sich sowohl bei Behörden als auch bei Unternehmen aus der geheimschutz­betreuten Wirtschaft. Unsere bisherige Hardware-Lösung erreicht im April nächstes Jahr ihr End-of-Life. Der Grund, weshalb wir in Zukunft auf eine reine Software-Lösung setzen, ergibt sich aus den Anforderungen des Marktes.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Anwender aus Behörden und geheimschutzbetreuten Unternehmen verlangen nach einer flexibleren und, in Bezug auf die Einsatzplattform, breiteren Lösung. ­Beides ist mit einer statischen Hardware nicht realisierbar. Aus diesem Grund entwickeln wir – zusammen mit dem BSI – eine native VPN-Software-Lösung für VS-NfD, für die wir bereits im ­Juli dieses Jahres eine Freigabeempfehlung erhalten haben.

ITD: Die Bedeutung von sicherer Kommunikation und Datenübertragung dürfte mit Blick auf die ­zunehmende Vernetzung von Wirtschaft und Gesellschaft in Zukunft auch ganz allgemein wachsen. In welchen Bereichen sehen Sie eine besondere Dringlichkeit?
Graf:
Die meisten Menschen gehen mit dem Thema „Datensicherheit“ immer noch viel zu sorglos um – sei es bei der Übermittlung personenbezogener Daten oder bei der Nutzung von Online-Diensten. Aber auch die Unternehmen sind in der Pflicht, personenbezogene Daten ausreichend zu schützen. Ich glaube, in den genannten Bereichen herrscht durchaus noch Handlungsbedarf, um das Bewusstsein für den richtigen Umgang zu schärfen.

ITD: In welchen Branchen oder Marktsegmenten könnte die ­Nachfrage für VPN-Technologie in Zukunft wachsen?
Graf:
Wir sehen einen klaren Trend im IoT-Markt, vor allem bei der Verbindung der beiden Welten IT und OT und gerade vor dem ­Hintergrund von Cloud-basierten Lösungen. Aufgrund des sich zunehmend schneller entwickelnden IIoT-Marktes (Industrial Internet of Things), haben wir uns auch hier sehr früh positioniert und können bereits in diesem Jahr das erste Produkt liefern: eine rein Software-basierte und Cloud-fähige Smart-Maintenance-Lösung. An weiteren IIoT-Produkten wird bereits gearbeitet, u.a. mit dem Ziel, uns auch im Bereich „IoT-Kommunikation“ eine äquivalent marktführende Position zu erarbeiten.

ITD: Mit der steigenden Verbreitung von IoT-Technologie nimmt auch der globale Datenverkehr immer weiter zu. Wie sicher sind diese Verbindungen nach aktuellem Stand?
Graf:
Meines Wissens gibt es in der IoT-Welt über 170 Kommunika­tionsprotokolle. Mit dem Trend, dass alles miteinander kommunizieren muss oder soll, bin ich mir sicher, dass protokollübergreifende Kommunikationssicherheit nicht gegeben ist. Ein Eldorado für ausländische Geheimdienste zur Wirtschaftsspionage!

ITD: In diesem Kontext gelten vor allem vernetzte Industrieanlagen als sehr anfällig – wie lassen sich solche Anwendungsszenarien sicherer gestalten?
Graf:
Um maximale Sicherheit zu gewährleisten, muss der Aspekt „Sicherheit“ von Beginn an bei der Entwicklung eines Produkts mitberücksichtigt werden. Ist dies nicht der Fall, kommen nur ganzheitliche Lösungen für die Vernetzung solcher Industrieanlagen infrage. Hierbei meine ich Lösungen, die sich direkt auf den Industrieanlagen installieren lassen und auch entsprechende Sicherheitsmechanismen wie z. B. Hardware-Zertifikate für die Authentifizierung unterstützen. Um die unterschiedlichen Komponenten sicher miteinander kommunizieren zu lassen, bedarf es einer intelligenten „Middleware“.

Patrick Oliver Graf

Alter: 51 Jahre
Familienstand: verheiratet, drei Kinder
Werdegang: 26 Jahre Erfahrung in der IT, u. a. als Product Manager, Marketing­leiter, Int. Vertriebsleiter und Geschäftsführer – immer im Bereich „Secure Communi­cations“
Hobbys: Motorradfahren, ­Skydiving, Tauchen, Reisen, Eishockey (als Zuschauer)


Bildquelle: Michael Schober

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok