Ausfallsicherheit und Verschlüsselung: Die Grundpfeiler der Standortvernetzung
10. November 2015Wenn es um die Anbindung von Zweigstellen an die Unternehmenszentrale geht, können unterschiedliche Leitungen, Technologien und Strategien verfolgt werden. Aber welche Methode ist für welche Unternehmen am besten geeignet? Im Interview zeigt Gert Hansen, Chief Technology Officer bei Ocedo, zunächst die wichtigsten Anbindungsmöglichkeiten auf, und erläutert die gängigsten Methoden. Dabei ist eine genaue Analyse der Umgebungsparameter und der Vorgaben im Unternehmen unerlässlich. Redundanz und Ausfallsicherheit der Verbindungen stehen dabei meist an erster Stelle.
NT4ADMINS: Welche Konzepte gibt es, falls Unternehmen ihre Zweigstellen „IT-technisch“ an die Zentrale anbinden möchten?
Es gibt drei unterschiedliche Kategorien von Netzwerkverbindungen die sich für ein solches Vorhaben eignen:
- Zum Ersten ist es möglich, eine direkte Verbindung (WAN) über einen Provider zu beziehen. Dieses Vorgehen war in der Vergangenheit sehr verbreitet. Aktuell nehmen die meisten Unternehmen von diesen WAN-Verbindungen Abstand. Allerdings kommen diese Verbindungen noch vor, wenn die Entfernung von der Zweigstelle zur Zentrale eher gering ist.
- Zum Zweiten setzten viele Unternehmen auf sogenannte MPLS-Leistungen (Multiprotocol Label Switching), und „überlassen“ es einem bestimmten Provider, Verbindungen zwischen einen oder mehreren Zweigstellen zur Zentrale herzustellen. Der Vorteil liegt hierbei auf der Hand: Die Unternehmen müssen sich nicht weiter um die dahinter liegende Übertragungstechnologie kümmern. Allerdings kommt mit einem sehr hohen Preis ein gravierender Nachteil ins Spiel. Zudem ist die zur Verfügung gestellte Bandbreite ein limitierender Faktor. Denn bereits eine kleinere Leitung mit 2 MBit/s (ca. 150 € im Monat) sind relativ teuer, Bandbreiten von etwa 10 MBit/s schlagen hier schon mit etwa 500 € zu Buche.
- Zum Dritten können vorhandene (günstige) Internetleitungen durch entsprechende VPN-Technologien (Virtual Private Network) verwendet werden. Damit legen die Administratoren über den öffentlichen Internetzugang verschlüsselte Tunnel an. Darüber tauschen dann die einzelnen Niederlassungen der Unternehmen ihre Datenpakete aus. Diese Methode ist seit langem erprobt und relativ sicher. Nachteilig ist, dass die Konfiguration und Administration solcher Lösungen meist etwas umfangreicher ausfällt.
NT4ADMINS: Was gibt es für Voraussetzungen im Netzwerkbereich, um die Zweigstellen anzubinden?
Generell ist zunächst eine Telekommunikationsleitung erforderlich. Also beispielsweise eine klassische Telefonleitung, ein DSL-Anschluss, Kabelnetzwerke, die schon angesprochenen MPLS-Leitungen oder inzwischen auch vermehrt Funkanbindungen wie LTE (Long Term Evolution). Die einzelnen Anbindungen unterscheiden sich in der zur Verfügung gestellten Bandbreite und Latenz. Zudem können weitere Restriktionen vorliegen, etwa wenn man sich die Mobilfunkanbindungen wie UMTS oder LTE ansieht. Ist doch bei LTE meist eine Volumenbegrenzung vertraglich vereinbart, beispielsweise 10 GByte pro Monat oder ähnliche Download-Volumina. Bei der Latenz muss allerdings noch angemerkt werden, das beinahe alle Technologien inzwischen mit Antwortzeiten von um die 10 Millisekunden glänzen können. Dies ist für die meisten Anbindungen mehr als ausreichend.
Wichtiger dagegen ist die Ausfallsicherheit der verwendeten Leitungen und Transportmöglichkeiten. Beispielsweise bei Zweigstellen im Bereich des Einzelhandels. Müssen doch hier teilweise Warenwirtschaftssysteme (beinahe) in Echtzeit abgeglichen werden, oder Zahlungsmöglichkeiten (etwa per E-Cash) zu den Geschäftszeiten bereitstehen. Falls es nun in diesen Bereichen zu Ausfällen kommen sollte, kann der Schaden durch geplatzte Geschäfte bereits nach kurzer Zeit sehr hoch werden. Nachdem bei allen Leitungen die Möglichkeit eines Ausfalls besteht, ist es an dieser Stelle wichtig für Redundanz zu sorgen. Beispielsweise könnten mehrere Leitungen (etwa DSL und LTE) gebündelt werden, mit einem System, das zwischen den einzelnen Verbindungsarten automatisch wählt. So kann beim Ausfall des LTE-Mobilfunks auf die Kupfer-Leitung mit dem DSL-Anschluss umgeschaltet werden, oder bei einer DSL-Leitungsstörung auf LTE gesetzt werden. Um weitere Sicherheit hinzuzufügen, könnte man dann beispielsweise noch einen dritten vorsehen (etwa Internet per Kabel). Dass dann alle drei Leitungen gleichzeitig ausfallen, ist sehr unwahrscheinlich.
Momentan bieten auch schon Internet-Provider wie etwa Vodafone oder Telekom entsprechende Lösungen an, um mehrere Übertragungswege in kleineren Routern und Consumer-Modellen zu bündeln. Hier besteht seitens der Provider allerdings meist die Intention, diese „Leitungsbündelungen“ eher als Booster einzusetzen. Beispielsweise wenn der „normale“ Surf-Traffic über die DSL-leitung abgewickelt wird, und bei kurzzeitigen Leistungsspitzen (größere Download-Volumina) kann dann LTE automatisch zugeschaltet werden, um kurzfristig die Übertragungsgeschwindigkeit zu erhöhen. Besonders kleinere Unternehmen könnten von diesen, eigentlich auf den Verbraucher zugeschnittenen Lösungsweg einer hybriden Datenübertragung profitieren. Kleinere Standorte und Zweigstellen lassen sich so relativ günstig und redundant an das Internet anbinden.
NT4ADMINS: Welche Voraussetzungen müssen die eingesetzten Router erfüllen, um die angesprochene Leitungsbündelung zu realisieren?
Teilweise genügen wie bereits angesprochen „Einstiegsmodelle“ oder auch Consumer-Geräte (beispielsweise FritzBox von AVM). Das kann für kleinere Unternehmen oder Zweigstellen bereits ausreichend sein. Ansonsten benötigen die Firmen und Unternehmen meist teurere Modelle, um solche Leistungsbündelungen vorzunehmen. Im Gegensatz zu den Consumer-Geräten sind die hochwertigeren Business-Router auch meist dazu in der Lage, drei oder mehrere Leitungen gleichzeitig zu nutzen. Dabei achten die Systembetreuer in den mittleren und großen Unternehmen auch darauf, dass diese Router redundant verfügbar sind, schließlich stellt ein einziger Zugangspunkt zum Internet einen „Single-Point-of-Failure“ dar. Dabei gilt es auch zu differenzieren, in welcher Form der eingesetzte Router die unterschiedlichen Leitungen ansteuern kann. Ist das System nur in der Lage, jeweils eine Leitung für den Internet-Zugang bereitzustellen, und die zweite oder dritte Leitung als „Notreserve“ für einen Ausfall, oder kann der Netzwerk-Traffic auf alle verfügbaren Leitungen aufgeteilt werden, um die Übertragungsgeschwindigkeit zu erhöhen? Hier müssen die Unternehmen die entsprechende Infrastruktur und die passenden Geräte aufeinander abstimmen.
NT4ADMINS: Wie ist es um die Sicherheit der Daten beim Transport bestellt?
Ein ganz wichtiger Punkt ist sicherlich die Frage nach der Sicherheit und der Datenverschlüsselung. Bei MPLS ist es beispielsweise so, dass die Daten unverschlüsselt zum Provider (und danach zur Gegenstelle) transportiert werden. Inzwischen gehört es zum Stand der Technik, dass Verschlüsselung eingesetzt wird, wenn es um die Anbindung von Zweigstellen an die Unternehmen geht. Schließlich muss man davon ausgehen, dass alles außerhalb des eigenen Netzwerkes als nicht vertrauenswürdig einzustufen ist. Teilweise könnte man sogar so weit gehen, dass man selbst im internen Netzwerk nichts als vertrauenswürdig einstuft. Daher sollte jegliche Kommunikation verschlüsselt sein, besonders wenn es um die Anbringung von Zweigstellen geht. Dafür gibt es unterschiedliche Spielarten. Im Prinzip ist dabei VPN das Mittel der Wahl, ob ich nun Daten von Kassensystemen austauschen, oder VOIP über eine MPLS-Leitung mit einer zentralen Telefonanlage übertragen möchte.
NT4ADMINS: Was ist zu tun, um Mobilgeräte wie Notebooks von Außendienstmitarbeitern ebenfalls anzubinden?
Generell lässt sich VPN nicht nur als „Tunnel“ zwischen einzelnen Niederlassungen einsetzen, sondern auch von einzelnen Mitarbeitern um auf Unternehmensdaten von Unterwegs (etwa per Laptop, Tablet oder Smartphone) zuzugreifen. Daher müssen die einzelnen Teilnehmer der verschlüsselten Kommunikation zum einen eindeutig identifiziert werden können, zum anderen können etwa Kennwörter und Zertifikate genutzt werden, um verschlüsselt Daten auszutauschen.