Ungewöhnliche PCs –Thin Clients

Diese Rechner haben Steckdosen-Größe

Beim Stichwort PC denken die meisten an die üblichen Computermodelle mit Monitor und Rechner. Doch es gibt auch PCs, die sind so klein wie ein Handy-Ladegerät. Hier kommen ungewöhnliche Rechenkünstler.

Wer diese Geräte sieht, denkt vielleicht an einen Autoschlüssel. Oder er hält die Konstruktion, die da in der Steckdose klemmt, für ein Ladegerät. Weit gefehlt. Diese Minis sind wahre Rechengrößen und dienen dazu, die Leistungskapazität des heimischen Netzwerkes zu erhöhen. Die Steckdosen-Computer sind mit schnellen Prozessoren ausgestattet und bieten gute Rechenleistung. Die meisten verfügen außerdem über zusätzliche Anschlüsse, an die per USB-Kabel externe Festplatten, Drucker und dergleichen angeschlossen werden können. Viele Modelle haben außerdem Ausgänge für Monitore, Maus und Tastatur.

Die Mini-Rechner werden auch „Thin Clients“ genannt. Sie bieten direkten Zugriff auf virtualisierte Desktops, Cloud Computing und serverbasierte Umgebungen. Der Vorteil gegenüber herkömmlichen Rechnern ist der sehr geringe Stromverbrauch bei fast gleicher Rechenleistung. Die Clients unterstützen entweder das Heimnetzwerk oder optimieren Arbeitsplätze in Großunternehmen. Die Rechner dienen nur als Datenverarbeiter, gespeichert und abgerufen wird alles auf externen Servern. Das spart Energie und Geld.

Thin Client-Umgebungen mit Sicherheitsvorteil

Thin Client-Umgebungen mit Sicherheitsvorteil
Server Based Computing bietet den Vorteil, dass viele IT-Risiken erst gar nicht auftreten: Datensicherung, Storage, System- und Datenwiederherstellung erfolgen zentral, auf den Clients ist dafür keine Software erforderlich. Auch dem internen Datendiebstahl lässt sich sehr einfach vorbeugen. Per Remote-Management lassen sich die USB-Ports gruppenbasiert oder individuell für bestimmte Peripheriegerätetypen sperren. Erfahren Sie in unserem Online-Artikel, wie Sie die Sicherheitsvorteile von Thin Client-Umgebungen erfolgreich für Ihre Infrastruktur nutzen.

Sicherheitslücken in Unternehmensnetzwerken können teuer werden: Laut des jährlich erscheinenden Berichts des Computer Security Institute stehen an Platz eins der Ursachen Virenangriffe, gefolgt von Datenmissbrauch durch Mitarbeiter, Verlust sensibler Geschäftsdaten und Hackerangriffe. Da verwundert es nicht, dass deutsche Unternehmen ihre Ausgaben für die Informationssicherheit trotz sinkender IT-Budgets erhöhen wollen.

Grundsicherheit durch Thin Client-Infrastruktur
Die geschilderten Gefahren für die IT und die damit verbundenen stetig steigenden Kosten für Sicherheitsvorkehrungen sind recht typisch für klassische Client/Server-Umgebungen. Denn dort stellt jeder einzelne Arbeitsplatzrechner mit seinen zahlreichen Schnittstellen und Möglichkeiten zur lokalen Datenspeicherung eine potenzielle Gefahrenquelle dar. Anders verhält es sich dagegen im Server Based Computing (SBC) mit Thin Clients, wo viele bekannte Kosten und Risiken gar nicht erst auftreten. Selbst wenn neben Thin Clients auch Laptops genutzt werden, können sie so konfiguriert werden, dass sie per LAN- oder WLAN-Verbindung, VPN-Tunnel und Kommunikationsprotokolle wie ICA oder RDP auf die zentralen Server zugreifen und ausschließlich dort firmenrelevante Daten speichern.

Um sich vor dem Diebstahl der Daten zu schützen, muss also ausschließlich der Server geschützt werden. Ein Angriff auf das Endgerät beziehungsweise dessen Diebstahl stellt keine Gefahr dar. In Client/Server-Netzwerken hingegen ist genau dieses Endgerät das schwächste Glied in der Kette, da es meist schlechter gesichert ist als die Server und daher im Fokus der Angreifer steht. SBC schließt dieses Sicherheitsrisiko per se aus.

Wenig Angriffsfläche von außen
In jüngster Zeit mehren sich die Angriffe von außen. Zero-Day-Attacken treten immer häufiger auf und erfordern immer schnellere Reaktionszeiten. Eine moderne Gegenmaßnahme stellen intelligente Netzwerkkonzepte dar, wie etwa das Self-defending Network (SDN) von Cisco. Sie nutzen die globale Vernetzung, um lokal auftretende Attacken an der internationalen Verbreitung zu hindern. Bei Gefahr werden die Kommunikationsports des Firmennetzwerks nach außen automatisch geschlossen. Doch solche Investitionen lohnen nur, wenn es auch innerhalb des Firmennetzwerks keine ungeschützten Schlupflöcher gibt.

Hier bieten Thin Clients eine sichere Alternative: Denn anders als Arbeitsplatz-PCs bieten sie regulierbare Schnittstellen nach außen, keine Festplatten oder Laufwerke, auf denen sich Viren, Würmer oder Trojaner dauerhaft festsetzen könnten. Bei Thin Clients kann sich die Abwehr gegen äußere Angriffe folglich allein auf das Rechenzentrum konzentrieren. Damit fallen auf Desktop-Ebene keine Kosten mehr für Antiviren- oder Firewall-Software an. Auch dem internen Datendiebstahl lässt sich mit Thin Clients sehr einfach vorbeugen: Per Remote-Management lassen sich die USB-Ports der Thin Clients gruppenbasiert oder individuell für bestimmte Peripheriegerätetypen sperren. Diese Maßnahme betrifft je nach Anforderung beispielsweise Memory-Sticks, CD-Laufwerke, Bluetooth- und WLAN-Geräte oder lokale Drucker.

Interner Datenaustausch
Der Datenaustausch ist in SBC-Architekturen naturgemäß sicherer als im Client/Server-Modell, denn die Datenströme zwischen (Thin) Client und Server beinhalten in der Regel nur Ein- und Ausgabecodes, wie zum Beispiel Bildschirmdaten und Tastatureingaben. Die Auswertung ist aufwändig, der Informationsgehalt gering. Zum Schutz vor dem Abhören von Passwörtern ist dennoch eine Verschlüsselung wichtig. Das Microsoft-Protokoll RDP ist prinzipiell verschlüsselt, das Citrix ICA optional. In Linux-Umgebungen lässt sich eine Verschlüsselung durch die Protokollergänzung NoMachine NX erzielen.

Darüber hinaus gibt es immer die Möglichkeit, für die Kommunikation zwischen Endgerät und Rechenzentrum VPN-Verbindungen aufzubauen. Für die drahtlose Anbindung stationärer oder mobiler Thin Clients empfiehlt sich die Berücksichtigung der Standards WPA- beziehungsweise WPA2. Auch das Management der Thin Clients sollte prinzipiell verschlüsselt und zudem zertifikatsbasiert erfolgen. Dies ist zum Beispiel beim deutschen Hersteller IGEL Technology der Fall. Dessen Universal Management Suite gestattet darüber hinaus aber auch die Kontrolle von USB-Ports sowie das Loggen von Authentifizierungsvorgängen.

Multifaktor-Authentifizierung
Ein klassisches und zunehmendes Sicherheitsrisiko auf Anwenderseite bilden passwortbasierte Anmeldeverfahren. Anwender, die sich viele Kennwörter merken müssen oder aufgrund der Passwort-Policy einem hohen Wechselzyklus unterworfen sind, wählen häufig leicht zu erratende Kennwörter oder schreiben sie auf einen Notizzettel. Die am häufigsten verwendete Angriffsmethode auf passwortbasierte Authentifizierungssysteme ist schlichtes Raten. So genannte Wörterbuch-Attacken setzen ganze Nachschlagewerke auf die User-Logins an. Auch mittels Hardware können die Passwörter ermittelt werden. Zwischen Tastatur und Computer geschaltete Key-Logger zeichnen dazu die Eingaben des Users auf.

Besonders hohe finanzielle Verluste verursachen mittlerweile aber auch die Betrugsmethoden des Social Engineering, zu denen vor allem das Phishing zählt. Eine wirkungsvolle Maßnahme gegen unbefugten Zugriff stellen Multifaktor-Authentifizierungslösungen dar, die neben dem Faktor "Wissen" (Benutzername und Passwort) auch den Faktor "Besitz" und/oder "Sein" erfordern. Biometrische Verfahren, wie etwa der Fingerabdruck (Faktor "Sein"), gelten dabei als besonders sicher, sind aber in der Umsetzung relativ teuer.

Ein gutes Kosten/Nutzen-Verhältnis bieten Smartcard-basierte Lösungen (Faktoren "Besitz" und "Wissen"). Die Wissenskomponente ist dabei durch die PIN-Nummer gegeben, welche die Smartcard zugleich gegen unbefugten Gebrauch schützt. Die Besitzkomponente ist die Hardware der Smartcard. Ein Auslesen der PIN ist nicht möglich, da äußere Angriffe auf eine Smartcard zur Zerstörung derselben führen. Smartcards gibt es heute neben der typischen Form auch integriert in USB-Sticks. Diese Lösung hat den Vorteil, dass, wie im Bild ersichtlich, kein zusätzliches Lesegerät erforderlich ist.

Integrierte Sicherheit
Zu den wesentlichen Merkmalen von Thin Client-Umgebungen zählt die Standardisierung der Endgeräte und die zentrale Administration. Dadurch können die Energiekosten um über 50 Prozent sinken, die Gesamtkosten um bis zu 70 Prozent. Ein zusätzliches Konsolidierungspotenzial offerieren in die Thin Client-Firmware integrierten Softwareclients, -tools und Protokolle, die den direkten Zugriff auf unterschiedliche zentrale IT-Infrastrukturen erlauben. Damit wird der Thin Client gleichzeitig zum Printserver, zum IP-Telefon, zum Terminal für Hostapplikationen oder zu einem effizienten Endgerät für virtuelle Desktops.

Bestimmte Firmware-Komponenten dienen zudem einem sicheren Datenaustausch. Beispiele hierfür sind: Cisco VPN-Client, die VPN-Protokolle PPTP und L2TP, das Secure Realtime Protocol (SRTP) für VoIP-Gespräche oder Kerberos – eine Single Sign-on- und Authentifizierungslösung für Hostzugriffe. So können beispielsweise auch Heimarbeitslätze grundlegende Sicherheitsmerkmale der Thin Client-Umgebung nutzen, zum Beispiel Smartcard-basierte Authentifizierung, Single Sign-on und mittels VPN verschlüsselte Übertragung von Sprache und Daten via DSL.

Aktive Gestaltung der Maßnahmen
Infrastruktur, Kommunikation und Management von Thin Client-Umgebungen schaffen ein hohes Grundniveau an Sicherheit. Die Zentralisierung von Datenhaltung, und -sicherung minimiert die Angriffsfläche nach außen. Die typischen Budgeteinsparungen des SBC schaffen zudem einen finanziellen Gestaltungsspielraum, mit dem die verantwortlichen IT-Manager aktiv und rechtzeitig auf wachsende Bedrohungen zugehen können. Moderne Lösungen bieten darüber hinaus eine Vielzahl sicherheitsrelevanter und miteinander kombinierbarer Sicherheitsmerkmale, mit deren Hilfe sich unterschiedlichste Userszenarien getreu der aktuellen Security-Bedürfnisse abbilden lassen.