Vier Wochen Homeoffice: Eine Zwischenbilanz

20.04.2020
G DATA Blog

Als die Arbeit im Homeoffice praktisch über Nacht zur Anforderung wurde, sind viele Unternehmen ins kalte Wasser gesprungen. Auch für G DATA bedeutete der Übergang ins Homeoffice einiges an Umgewöhnung. Im Interview berichten zwei Kollegen aus der IT über ihre Herausforderungen in dieser Zeit.

Gab es bei G DATA vor der Corona-Pandemie bereits einen Plan für den Fall, dass alle ins Homeoffice müssen?

Thorsten Schäfer: Insgesamt waren wir auch im Vorfeld schon recht gut aufgestellt. Die Infrastruktur für Remote-Arbeit ist bei uns schon länger vorhanden, da einige Abteilungen auch auf Remotearbeit angewiesen sind. Wir hatten gerade unsere Planungen für ein derartiges Szenario finalisiert, denn es gibt ja durchaus Situationen abseits von Corona, bei denen eine Menge Leute von Zuhause arbeiten müssen. Bereits in der Vergangenheit konnten etwa Mitarbeiter aufgrund von Unterbrechungen beim öffentlichen Nahverkehr nicht ins Büro kommen. Und dann gibt es ja gerade hier im Ruhrgebiet  immer wieder Funde alter Weltkriegsbomben, bei deren Entschärfung dann eine große Fläche evakuiert werden muss. So eine Räumung kann uns dann natürlich auch betreffen. Wir haben also einfach nur den Zeitpunkt, an dem wir den Plan dann tatsächlich umsetzen mussten, ein bisschen vorverlegt (lacht).

Marc Hauseur: Für uns war das schon eine ziemlich stressige Zeit. Vor Corona hatten wir immer ungefähr 100 User, die remote gearbeitet haben. Im Laufe eines Wochenendes kamen plötzlich zu diesen 100 über 350 neue Remote-Nutzer dazu. Derzeit sind an einem normalen Werktag etwa 430 bis 450 VPN-Verbindungen aktiv. Unsere Mitarbeiter teilen sich in zwei Nutzergruppen: Die eine Gruppe benutzt Firmen-Geräte - bisher waren das immer Laptops. Der Vertriebsaußendienst, die Unternehmenskommunikation und Teile unserer Research-Abteilung sind hier unsere typischen „Kunden“. Jetzt sind auch andere Abteilungen wie zum Beispiel die Buchhaltung, das Order Processing, und fast unser kompletter Vertrieb mit dazu gekommen, die natürlich eigene Anforderungen haben. Die Umstellung hat auch Arbeit gekostet und wir mussten unsere Kapazitäten bei der Bandbreite erhöhen. Da war es zwischendurch schon ein bisschen eng, aber nicht so, dass für die Verfügbarkeit des Netzwerkes Gefahr bestanden hätte.

Gab es Überraschungen oder Dinge, mit denen ihr nicht gerechnet habt?

MH (lacht): Manchmal muss man Nutzer an die Hand nehmen und ihnen genau zeigen, was sie tun müssen. Wir haben zwar Anleitungen erstellt, die alle Schritte genau beschreiben, aber nicht jeder unserer Kollegen ist Techniker. Wenn unsere Anwender irgendwo unsicher sind, dann helfen wir natürlich gerne, aber das hat insgesamt doch wesentlich mehr Zeit eingenommen als wir gedacht hätten. Aber sonst? (denkt kurz nach) Lief eigentlich alles nach Plan.

TS: Man muss an dieser Stelle ganz eindeutig ein Lob an alle Kollegen und Kolleginnen in der Abteilung aussprechen. Was sie geleistet haben, ist schon eine ganz schöne Hausnummer, das hätte ein unerfahrenes Team so nicht hinbekommen. Schon alleine das kurzfristige Erstellen der noch fehlenden Anleitungen war eine klasse Leistung. Und das direkt in zwei Sprachen – Deutsch und Englisch – da wir natürlich auch Mitarbeiter in anderen Ländern haben. In anderen Unternehmen ist das, was wir hier geschafft haben, selbst nach drei Wochen noch nicht fertig. Ein ganz großes Lob daher noch mal an unser Team!

 

Mit welchen Geräten arbeiten die Kollegen denn jetzt von Zuhause? Hat jeder ein Firmenlaptop mitbekommen?

TS: Die Bereitstellung von Hardware war ein Thema. Wir haben einen gewissen Vorrat an Laptops, den wir Mitarbeitern auch kurzfristig überlassen können. Einige Kollegen haben sowieso Laptops, weil sie regelmäßig im Außendienst unterwegs sind. Für die komplette Belegschaft ist das aber nicht zu realisieren. Wir haben hier aber Ausweichpläne. So konnten Mitarbeiter auch einige der sonst stationären Arbeitsplatzrechner mit nach Hause nehmen. Das war so zwar ursprünglich nicht vorgesehen, aber  in der aktuellen Situation  mussten wir spontan umdisponieren. Da bedarf es dann lediglich der Installation des VPNs – genau wie bei einem Laptop. In anderen Fällen geht das aber nicht. Wir würden niemals ein Privatgerät eines Mitarbeiters ganz normal ins VPN lassen.

Wie behaltet ihr im Moment den Überblick?

MH: Wir können natürlich nicht einfach alles so konfigurieren, dass es sofort passt. Einige Sachen müssen wir im Moment verstärkt im Auge behalten. Dafür benutzen wir ein Icinga2-basiertes Monitoring. Die Daten werden in einer Influx-DB gespeichert und dann mit Grafana visualisiert. So wissen wir zu jeder Zeit, wie viele Nutzer gerade angemeldet sind und wie ausgelastet die Verbindung ist. Wir haben noch zusätzliche Firewalls bereitgestellt, damit die Auslastung zu jeder Zeit im grünen Bereich bleibt. Aber sonst ist momentan alles ruhig. Sobald sich aber irgendwo Probleme abzeichnen, erhalten wir sofort einen Alarm. Wenn zum Beispiel die CPU-Last auf einer oder mehreren Firewalls plötzlich ansteigt, dann kann das ein Anzeichen für ein Problem sein. In so einem Fall schauen wir sofort nach. Außerhalb der Bürozeiten hatten wir auch schon vor Corona für solche Fälle einen Bereitschaftsdienst .

Wenn ihr die Uhr noch einmal ein paar Wochen zurückdrehen könntet:
Würdet ihr irgendetwas anders machen?

TS: (überlegt) Da gibt es nicht viel – eigentlich ist das alles schon richtig gut gelaufen, gerade in Anbetracht der extrem kurzen Zeitspanne. Das einzige, was ich ändern würde: Ich hätte gerne schon unser neues Asset-Tracking in Betrieb, damit wir einen besseren Überblick darüber haben, was an Hardware rausgegangen ist. Falls es noch einmal zu einer solchen Situation kommen sollte, würde ich den „Durchgangsverkehr“ in den Räumen unseres IT-Service anders regeln. Da war es teilweise schwierig, die gebotenen Abstände zu halten. Aber das wäre jetzt Jammern auf hohem Niveau.

Wenn ihr euren Admin-Kollegen in anderen Unternehmen einen Tipp mit auf den Weg geben könntet, was würdet ihr ihnen raten?

MH: Habt ein gutes Monitoring und nutzt eure Datenquellen vernünftig. Das beste Logging ist nutzlos, wenn ihr die Daten nicht verwendet und nicht ausreichend visualisiert. Am Ende können vielleicht ganze Abteilungen nicht vernünftig arbeiten, weil keiner gemerkt hat, dass die Firewalls im roten Bereich sind. Oder ihr bekommt einen Sicherheitsvorfall nicht mit, wenn zum Beispiel jemand ins Firmennetz einbricht. Möglichkeiten gibt es genug – Icinga2 ist nur eine davon.

TS: Was ich nur jedem raten kann: Habt eine Policy, die den Umgang mit Firmengeräten regelt. Wenn ein Mitarbeiter die unterschrieben hat, dann habt ihr wesentlich weniger Schwierigkeiten, Kontrollen durchzuführen und Regelungen durchzusetzen. Alles andere ist vertane Zeit. Und ganz wichtig: Baut Redundanzen auf. Es ist schön, wenn eure VPNs alle laufen und gut ausgelastet sind, aber wenn  nur eine Firewall im Einsatz ist, dann reicht ein einziger Ausfall einer Komponente und der ganze Betrieb steht still. Hochverfügbarkeit ist an der Stelle kein Luxus, sondern überlebensnotwendig. Es ist besser, wenn vielleicht nur 20 oder 30 Kollegen temporär nicht arbeiten können statt der gesamten Belegschaft.

Was kommt nach der Corona-Krise?

TS: Die einzige Herausforderung, die uns noch bevorsteht, ist das Wiedereingliedern der ausgeliehenen Desktop-Rechner. Streng genommen müssen wir alle Rechner, die sich über einen so langen Zeitraum außerhalb der Firma aufgehalten haben, als kompromittiert ansehen und neu installieren. Denn am Ende wissen wir natürlich nicht, was unsere Kollegen zuhause auf den Geräten machen. Grundsätzlich vertrauen wir natürlich unseren Kollegen, aber in diesem Fall können wir es nicht riskieren, die Geräte einfach so ungeprüft wieder ins Netz zu lassen.

Tim Berghoff
Security Evangelist