Was ist ein Thin Client?

Ein Thin Client ist ein einfaches Computergerät, auf dem Dienste und Software von einem zentralen Server laufen. Die meisten kennen Desktop-Computer, bei denen die Software auf der lokalen Festplatte installiert ist und ein Betriebssystem alles regelt, was mit der Software und deren Interaktion mit der lokalen Hardware zu tun hat. Bei einem Thin Client hat der Endnutzer nur Bildschirm, Netzwerkkarte, Maus und Tastatur vor sich, und alle andere Hardware und Dienste laufen über das Netzwerk.

Der Begriff „Fat Client“ ist weniger geläufig. Er bezeichnet das Gegenteil eines Thin Clients, nämlich einen Standard-Desktop mit CPU, Arbeitsspeicher, Festplatte und anderer üblicherweise in einem Desktop verbauten Hardware. Während Thin Clients mit einem zentralen Netzwerk verbunden sind, über das sie ihre Arbeitsumgebung laden, ist ein Fat Client ein eigenständiges Gerät, das mit oder ohne Netzwerkverbindung funktioniert. Auf einem Fat Client können Nutzer jede beliebige Software installieren; auf Thin Clients läuft demgegenüber nur eine eingeschränkte, vorher genehmigte Zahl an Programmen, und wie viel Speicherplatz den Nutzern zur Verfügung steht hängt davon ab, wie viel der Administrator ihnen zugewiesen hat.

Organisationen, die auf eine Thin-Client-Arbeitsumgebung wechseln, tun dies aufgrund mehrerer Vorteile. Die größten Vorteile haben große Unternehmen, denn jeden Mitarbeiter mit einem eigenen Desktop-Computer auszustatten würde bei einer großen Belegschaft jedes Budget sprengen. Bei einem großen Unternehmen steigen die Kosten für die Anschaffung neuer Desktop-Computer und Mobilgeräte für jeden neuen Mitarbeiter schnell in die Millionenhöhe. Thin Clients reduzieren einen Großteil der Betriebskosten für Desktop-Computer, inklusive der Kosten für IT-Support, Ersatzteile, Upgrades und Recycling. Die Vorteile eines Thin Clients sind unter anderem:

• Zentralisierte IT: Da ein Thin Client alle seine Software und das Betriebssystem von einem Netzwerk bezieht, hat die IT die volle Kontrolle darüber, welche Anwendungen sie in einem System erlaubt. Üblicherweise stehen den Netzwerk-Nutzern eine Liste an bestimmten Programmen zur Verfügung, die sie bei Bedarf in ihrer virtuellen Arbeitsumgebung installieren können. Jegliche Software, die nicht auf dieser Liste steht, braucht die vorherige Zustimmung der IT und muss zuerst auf dem zentralen Server installiert werden.
• Einfache Verwaltung: Wenn ein Thin Client kaputt geht, muss nicht viel an Hardware ausgetauscht werden. Liegt das Problem an der Software, kann ein Administrator die virtuelle Arbeitsumgebung des Nutzers wiederherstellen, ohne dass eine langwierige Fehlersuche nach inkompatibler Software oder Fehlern im Betriebssystem notwendig wird. Updates und Sicherheitspatches können auf allen Thin Clients ausgespielt werden, ohne dass sie auf jedem Gerät einzeln installiert werden müssen. Desktop-Computer bleiben im Gegensatz dazu so lange ungepatcht, bis ein Nutzer sich mit dem Netzwerk verbindet.
• Höhere Sicherheit: Dadurch, dass der Thin Client eines Nutzers weder über lokalen Speicherplatz oder ein Betriebssystem verfügt, gibt es weniger Schwachstellen, die ein Angreifer ausnützen könnte, als dies bei einem Desktop-Computer der Fall wäre. Manche Exploits sind bei einer Thin-Client-Umgebung geradezu nutzlos. Da keine Daten auf dem lokalen Gerät gespeichert sind, hat Malware, die es schafft, eine lokale Festplatte zu durchdringen (z.B. Ransomware) keinerlei Zugriff auf wichtige Daten. Computerviren, die ein Master Boot Record (MBR) befallen, haben keine Auswirkung auf einen Thin Client. Die meisten Risiken, die mit einem Desktop-Computer einhergehen, sind bei einem Thin Client weitestgehend neutralisiert.
• Verbesserte Produktivität: Bei einer Thin-Client-Umgebung können Nutzer von überall im Büro arbeiten, solange am Arbeitsplatz ein Thin Client steht. Die meisten Thin-Client-Systeme nutzen Rechenzentren mit zentralisierten Servern, sodass bei den Unternehmen die Notwendigkeit, eigene Server in großen Serverschränken zu betreiben, wegfällt. Dies schafft Platz für mehr Thin Clients, an denen Nutzer arbeiten können. Nutzer haben auf ihren Mobilgeräten Zugriff auf ihr eigenes virtuelles Profil, wodurch sie auch von zuhause arbeiten können und auf Dienstreisen Zugriff auf alle ihre Produktivitätstools haben.
• Kosteneinsparungen: Der wohl größte Vorteil sind die reduzierten Kosten. Thin-Client-Geräte sind wesentlich günstiger als ein vollwertiger Desktop, und eine Thin-Client-Umgebung zu betreiben erfordert weniger IT-Personal. Statt sich fortlaufend um Hardware-Upgrades und kaputte Desktops zu kümmern, müssen nur regelmäßig Bildschirm, Maus und Tastatur ausgetauscht werden.
• Lösung für Fernarbeit: Für viele Unternehmen ist es von Vorteil, wenn sie es ihren Angestellten ermöglichen, im Home Office zu arbeiten. Dafür müssen jedoch Hardware und Ressourcen vorhanden sein. Bei einer Thin-Client-Umgebung können Nutzer von ihren privaten Geräten aus auf ihren virtuellen Desktop zugreifen. Nutzer authentifizieren sich beim Zugang zum Netzwerk und laden dann ihren virtuellen Desktop auf ihren Laptop oder privaten Desktop. Die virtuelle Desktop-Infrastruktur (VDI) belässt Software und Daten im Netzwerk, aber ermöglicht es den Nutzern, auch von zuhause aus produktiv zu arbeiten.

Bei einem kleinen Unternehmen bieten Thin Clients möglicherweise keinen Vorteil, weil sie das richtige IT-Personal haben müssen, um das System am Laufen zu halten. Nicht jeder IT-Angestellte ist mit virtuellen Arbeitsumgebungen vertraut. Der beste Use Case für einen Thin Client ist deshalb ein Unternehmen mit einer großen Belegschaft, von denen viele von zuhause arbeiten und Mitarbeiter zwischen verschiedenen Büros wechseln. Eine Thin-Client-Umgebung kann auch von Vorteil sein, wenn ein Unternehmen ein großes Bürogebäude besitzt, wo einzelne Abteilungen auf unterschiedlichen Etagen oder in getrennten Gebäuden sitzen.

Indem Thin-Client-Geräte über die Büros verteilt sind, kann sich ein Angestellter von jedem Gerät aus einfach einloggen und auf seinen virtuellen Desktop zugreifen. Bei VDI-Umgebungen gibt es keine Notwendigkeit mehr, jedem Angestellten eine eigene Arbeitskabine oder ein eigenes Büro zuzuweisen; stattdessen können sie überall im Gebäude arbeiten. Die IT hat dabei nur geringe Betriebskosten beim Einsatz neuer Geräte, da die meisten von ihnen sofort betriebsbereit sind und nur wenig Konfigurationsaufwand anfällt.

Es liegen einige Case Studies vor, die versuchen, den Unterschied zwischen Thin Clients und Fat Clients genau zu verstehen, um zu bestimmen, welche Umgebung die meisten Vorteile für Unternehmen bringt. Forscher der Penn State Universität haben mehrere Case Studies (PDF-Download) durchgeführt, um herauszufinden, welche Arten von Unternehmen am meisten von Thin Clients profitieren. Sie stellten fest, dass Thin Clients bei einer Institution wie einer Universität weitaus mehr Vorteile haben als Standard-Desktops.

In dem untersuchten Fall kamen Thin Clients in Laboren und Bibliotheken rund um den Campus zum Einsatz. Der erste Vorteil war, dass die IT die volle Kontrolle über die Computerumgebungen der Studierenden hatte und allen Nutzern mithilfe von LDAP in einer heterogenen Netzwerkumgebung (Unix und Windows) den Zugang mit nur einem einzigen Passwort ermöglichen konnten. Auch Professoren standen Thin Clients zur Verfügung, um es ihnen leichter zu machen, im Unterricht auf ihre vertrauten Tools zuzugreifen. Bibliotheken mit Thin Clients konnten ihren Kunden Internetzugang zur Verfügung stellen, und dies ohne die Sicherheitsrisiken, die öffentlich zugängliche Desktops normalerweise mit sich bringen.

Von den Kosteneinsparungen einmal abgesehen, setzen viele Organisationen Thin Clients aufgrund der höheren Cybersicherheit ein. Wenn eine öffentliche Bibliothek beispielsweise Internetzugang anbietet, bedrohen Malware und viele andere Risiken, die mit dem Browsen in einem öffentlichen WLAN einher gehen, das Netzwerk. Angreifer nehmen öffentliche WLANs häufig für Man-in-the-Middle-(MitM)-Angriffe, Malware, Phishing und zahlreiche andere Bedrohungen ins Visier. Anstatt das öffentliche Netzwerk Angriffen auszusetzen, reduzieren Thin Clients, bei denen Nutzern nur ein Browser zur Verfügung steht, das Risiko und die Angriffsfläche des Netzwerks.

Die wichtigsten Sicherheitsvorteile bezüglich Thin Clients sind:

• Ein zentralisierter Authentifizierungsmechanismus: Die meisten großen Unternehmen haben eine heterogene Netzwerkumgebung, wo Linux- und Windows-Server für unterschiedliche Zwecke zum Einsatz kommen. Wenn Nutzer dabei gezwungen sind, unterschiedliche Zugangsdaten für verschiedene Dienste zu nutzen, erhöht das das Sicherheitsrisiko, weil Angreifer dadurch mehr Gelegenheiten haben, Benutzernamen und Passwörter zu stehlen. Bei einem Thin Client hat jeder Nutzer nur jeweils einen Benutzernamen und Passwort.
• Zentralisierte Konfiguration: Eine häufige Schwachstelle, die sich auf menschliche Fehler zurückführen lässt und häufig übersehen wird, sind fehlerhafte Konfigurationen. Bei zentralisierten Konfigurationen müssen Administratoren Accounts und die Umgebung an sich nur einmal aufsetzen, was die Anfälligkeit für Fehler reduziert.
• Cloudfähigkeit: Virtuelle Umgebungen funktionieren sehr gut mit einer Cloud, die für ausreichend viel Speicherplatz sorgt und es Nutzern ermöglicht, von überall auf ihre Desktop-Umgebung zuzugreifen. Cloud-Umgebungen sind außerdem sicherer und lassen sich besser überwachen; sie besitzen eine Firewall-Infrastruktur und Logging-Features, um Angriffe zu erkennen.
• Webbasierte Verwaltung: Der Zugang zum Internet ist bei einem Thin Client sicherer als bei einem Desktop. Thin-Client-Computing kommt häufig bei Organisationen wie Bibliotheken und Internetcafés zum Einsatz, wo die Sicherheit des Systems dadurch beeinflusst ist, dass sich zahlreiche Fremde im Netzwerk befinden.
• Reporting: VDI-Systeme verfügen über Berichte und Dashboards, mit denen Administratoren Nutzeraktivitäten, Speicherplatzbelegung und Konfigurationsverwaltung in der gesamten Umgebung einsehen können. Besseres Logging und Monitoring unterstützt Administratoren dabei, das Netzwerk sicher zu halten.

Diese Liste umfasst lediglich die größten Sicherheitsvorteile einer VDI-Umgebung, aber es gibt auch noch weitere technische Gründe, warum Thin Clients sicherer sind. Thin Clients und eine VDI-Umgebung haben schreibgeschützte Festplatten sowie keinen lokalen Speicher für Malware, und erlauben es nur Administratoren, im Falle eines Problems auf Einstellungen und Backups der Desktopumgebung zuzugreifen. Zusammengenommen reduzieren diese technischen Vorteile die Angriffsfläche und Risiken um ein Vielfaches, sollte das Unternehmen tatsächlich das Ziel eines Angriffs werden.