Mobiles Arbeiten: Lastverteilung und Virtualisierung als Problemzonen beim Bund
Während der Corona-Krise hat die Bundesverwaltung zehntausende Laptops zusätzlich fürs Homeoffice beschafft. Vor allem Videokonferenzen sind schwierig.
(Bild: Mr.Whiskey/Shutterstock.com)
Die Bundesverwaltung hat die Corona-Pandemie bei der damit erforderlichen Umstellung aufs Homeoffice für die Mitarbeiter teils kalt erwischt. "Covid hat eine riesengroße Nachfrage an Ausrüstung veranlasst", erklärte Tom Pasternak, Abteilungsleiter für die Netze des Bundes (NdB) bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) am Dienstag bei einer Online-Konferenz des "Behörden-Spiegels" zum sicheren mobilen Arbeitsplatz der Zukunft. Allein die Zahl der Notebooks habe um Zehntausende erhöht werden müssen, "damit die Leute zuhause arbeiten konnten".
Systeme an den Grenzen
Die NdB-Zuständigen hätten ferner auch eine Meeting-Plattform und "Räume für Videokonferenzen mit oder ohne Einstufung" bereitgestellt, die teils auch für vertraulich und besonders schützenswert erachtete Unterredungen nutzbar seien, führte Pasternak aus. In "extremen Lastsituationen mit tausenden parallelen Videokonferenzen" sei dabei deutlich geworden, dass die Lastverteilungssysteme einzelner Provider an ihre Grenzen gekommen seien. Etwa bei bestimmten DSL-Leitungen habe man festgestellt, "die Instanz läuft zu 70:30 voll", was eine Echtzeit-Kommunikation erschwert habe.
Auch eine Virtualisierung, die etwa eingesetzt wird, um einen Rechner besonders gut abzusichern, gestaltete sich dem Experten zufolge schwierig. Die verfügbaren abgeschirmten Systeme könnten häufig nicht mehr auf Prozessoren für die Videobeschleunigung oder die Sprachverarbeitung zugreifen. Bei einer Videokonferenz ergebe sich dann schnell eine "reine CPU-Last von 100 Prozent". Mit einer so ausgeschöpften Zentraleinheit eines Rechners ließen sich dann parallel etwa keine Büroprogramme mehr bedienen.
Die BDBOS interessiert sich daher laut Pasternak mittlerweile stark für die Eigenschaften einschlägiger Systeme. Sie biete für eingestufte Kommunikation mit dem niedrigsten Grad "Verschlusssachen – Nur für den Dienstgebrauch" (VS-NfD) aktuell drei Varianten an. Die eine garantiere hochsichere mobile Zugänge mit sehr starken Virtualisierungen, die auf bestimmte Hardware zugeschnitten seien. Dazu komme ein rein auf Virtual Private Networks (VPN) basierter Ansatz, bei dem die Rechnerausrüstung frei wählbar sei und die Authentifizierung teils mit Smartcard erfolge. Dafür werde in der Regel ein Lesegerät benötigt. Die weitere Offerte seien Terminal-Services, die letztlich auf USB-Stick hinterlegt werden könnten und "Bring your own Device" ermöglichten.
IT-Sicherheit oft nicht ausreichend gewürdigt
Entscheidend sei bei konkreten Anwendungen, das Dreieck zwischen Sicherheit, Performanz und Anwenderfreundlichkeit zu beachten, weiß der Behördenvertreter. So könne man bei einer Virtualisierung zwar "die obere Ebene komplett autark schützen", dies koste aber Leistung. Die meisten Nutzer wollten ihr Gerät zudem so einsetzen, dass sie auch "private Sessions" durchführen können. Diese sollten die Arbeitsumgebung aber nicht negativ beeinflussen.
Das Thema IT-Security sei beim raschen Einführen des mobilen Arbeitens während der Corona-Krise "an vielen Stellen nicht wirklich gewürdigt" worden, monierte Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zu beachten sei hier vor allem die Verschlüsselung aller Daten und Ströme auf dem Transportweg sowie eine "starke Authentisierung aller Beteiligten". Auch eine Festplattenverschlüsselung und Schnittstellenkontrolle seien nötig, um der Gefahr des Verlusts eines Rechners entgegenzuwirken.
Für Videokonferenzen stehe inzwischen eine Plattform für die Bundesverwaltung, die mit der Datenschutz-Grundverordnung (DSGVO) vereinbar sei, berichtete Schabhüser. Nötig sei es noch, die mobile Plattform "auch auf dem Geheimlevel" hinzukriegen, also auch für höchste VS-Stufen. Am praktikabelsten sei hier wohl eine "Veredelung bestehender IT-Architekturen durch deutsche Sicherheitsfirmen".
Motivation erhöht
Wie dies im Prinzip aussehen könnte, erläuterte Friedel Cramer, Präsident des Bundesamts für Verbraucherschutz und Lebensmittelsicherheit (BVL). Am Anfang der Pandemie seien teils noch "Aktenkoffer hin- und hergeschickt" worden. Anfang 2020 habe die Behörde über rund 100 Laptops und 50 VPN-Verträge verfügt. In diesem Sommer seien es 850 tragbare Rechner und ebenso viele VPN-Zugänge gewesen.
Für den Bereich VS-NfD setzte das BVL bereits frühzeitig auf die Festplattenverschlüsselung Trusted Disk von Rohde & Schwarz (R&S), machte Cramer klar. Die unkomfortable hardwarebasierte VPN-Lösung sei fürs Homeoffice durch den R&S Trusted VPN Client ersetzt worden, den das BSI im Oktober 2020 zugelassen habe. Der Umstieg aufs mobile Arbeiten mit der Softwarelösung habe die Mitarbeitermotivation erhöht. Viele wollten inzwischen auch wieder ins Büro kommen, wobei die Laptops über eine Docking-Station ebenfalls einfach anschließbar seien. Insgesamt sei es so letztlich "ein Glücksfall gewesen, dass wir uns so schnell voranpuschen mussten".
Mittelfristig geht Schabhüser davon aus, dass ein großer Teil des mobilen Arbeitens über Smartphones oder andere ultramobile Handhelds ermöglicht wird. Als Basis fürs Messaging seien in der Bundesverwaltung hier Wire und Matrix vorgesehen. Das Gute daran sei, dass die durchgehende Verschlüsselung meist schon eingebaut sei. Dies mache das Absichern auch für Verschlusssachen einfacher, "als mühselig E-Mail nachzurüsten".
(mho)
