Mobile Geräte besser verwalten

EMM verbessert die Entscheidungsbasis für die Netzwerkzugangskontrolle

04.02.2014
Von Christof Baumgärtner
Network Access Control (NAC)-Systeme sind ohne detaillierte Informationen über den jeweiligen Endpoint eindeutig suboptimal. Das gilt besonders in einer Smartphone- oder Tablet-Infrastruktur. Die enge Verzahnung von NAC-Systemen mit einem Enterprise Mobility Management (EMM)-System kann die Entscheidungsbasis bei der Netzwerkzugangskontrolle entscheidend verbessern.
Beim Schutz der Netzinfrastruktur vor Angriffen arbeiten NAC und EMM Hand in Hand.
Beim Schutz der Netzinfrastruktur vor Angriffen arbeiten NAC und EMM Hand in Hand.
Foto: Maksim Kabakou, Fotolia.com

Sicherheit setzt Sichtbarkeit voraus, das gilt ganz besonders für "Bring-your-own-Device"-Infrastrukturen. Die Sichtbarkeit bezieht sich zum einen auf das einzelne Mobilgerät als Endpoint, zum anderen auf das gesamte Unternehmensnetz, an das sich die einzelnen Mobilgeräte andocken. Insofern ist es ratsam, die beiden Komponenten mobiler Endpoint und Unternehmensnetz in puncto Sicherheit und Compliance als Einheit zu sehen.

Das gilt sowohl technisch als auch organisatorisch: Technisch bringt die enge Verzahnung der jeweiligen Managementsysteme Mobile Device Management / Enterprise Mobility Management (MDM/EMM) und Network Access Control (NAC) bessere Informationen für eine fundierte Entscheidung beim Netzwerkzugang, organisatorisch erhöht das Zusammenwirken der Kompetenzteams im Mobilbereich mit den traditionellen Netzwerkern nicht nur die Sicherheit und Compliance, sondern senkt auch den Verwaltungsaufwand und damit die Kosten.

Network Access Control und Enterprise Mobility Management sind insofern Technologien, die weitgehend komplementär sind. Während die EMM-Lösung dafür sorgt, dass ein Mobilgerät mit den richtigen Einstellungen (Netzwerkname, SSID, Benutzername, Passwort oder Zertifikat sowie Proxy- und Einwahleinstellungen) versehen wird, sind NAC-Lösungen dazu da, die Geräte, die ans Netz andocken wollen, auf die Korrektheit ihrer Sicherheitseinstellungen (Virenschutz etc.) oder die Identität des Benutzers hin zu überprüfen. Je nach Prüfergebnis wird dann das Gerät zugelassen oder abgewiesen; oder es werden für die Zulassung bestimmte Korrekturmaßnahmen verlangt beziehungsweise nur ein eingeschränkter Netzzugang erlaubt. Einem Endgerät, das keinen aktuellen Virenschutz hat, wird man beispielsweise den Zugriff auf die Unternehmensdatenbank verweigern, den Zugang zum Internet aber vielleicht erlauben.

NAC-Systeme haben im Mobilbereich Nachholbedarf

Während NAC-Systeme im Desktop / Laptop-Bereich ausreichend effizient sind, haben sie in der Welt der Smartphones und Tablets noch einiges zu lernen. So mag im Mobilbereich ein NAC-System zwar (über die MAC-Adresse) erkennen, dass beispielsweise ein Apple-Gerät ins Netz will. Über eine Agentensoftware, die den DHCP-Verkehr beziehungsweise die Browsereingaben überwacht, identifiziert es vielleicht sogar den Mobilgerätetyp (Smartphone oder Tablet).

Gleichwohl bleiben viele blinde Flecken: Das NAC-System ist etwa nicht in der Lage, Betriebssystemmanipulationen wie Jailbreaking oder Rooting zu erkennen. Fehlanzeige ist auch bei der Erkennung von sicherheitsproblematischen Apps zu konstatieren. Auf diesem Terrain verfügt dagegen ein leistungsfähiges EMM-System über sehr genaue Informationen. Mehr noch: diese wichtigen Informationen müssen in der Regel nicht händisch vom Benutzer eingegeben werden, sondern werden automatisch aus dem Unternehmens-Directory entnommen. Änderungen sind dadurch leicht möglich und lassen sich auch bei sich ständig ändernden Benutzeridentitäts-Daten leicht aktuell halten.

Im Prinzip kann ein mobiles Endgerät durch das NAC-System für den Betrieb im Netzwerk provisioniert werden. In der Regel ist es aber besser, diese Provisionierung über das EMM-System vorzunehmen. Wie bereits erwähnt, muss das NAC-System für wichtige Sicherheitsinformationen wie Jailbreaking und Rooting oder Problem-Apps sowieso auf das EMM-System zurückgreifen. Da sich überdies mit letzterem auch E-Mail-Einstellungen festlegen und Apps installieren lassen, ist es schon deshalb eleganter und effizienter, die Netzwerkeinstellungen gleich zusammen mit der Nutzer-Registrierung beim EMM-System zu erledigen.

Gerade für im BYOD-Modus betriebene Mobilgeräte sind im EMM-System wichtige Richtlinien festgelegt, die man etwa beim Einsatz von Mobilgeräten im Krankenhaus benötigt. In diesem Sektor gibt es strenge gesetzliche Regelungen, was die Einhaltung des Persönlichkeitsschutzes der Patienten betrifft. So sind etwa weder Bildschirmaufnahmen noch Cloud-Filesharing zugelassen, weil Patientendaten auf diesen Wegen möglicherweise die sichere Umgebung verlassen.

EMM-Intelligenz für das gesamte Netzwerk

Im Allgemeinen docken NAC-Komponenten über eine Programmier-Schnittstelle (API) an das EMM-System an. Das NAC-System erkennt beim Andocken eines Mobilgeräts in das Funknetz den Hardware-Identifikator dieses Geräts und fragt daraufhin das EMM-System nach weiteren und detaillierteren Informationen zu dem neuen Gerät. Mindestens will das NAC-System dabei wissen, ob das Gerät nach den Maßstäben des EMM-Systems die vorgegebenen Sicherheitsrichtlinien erfüllt. Auf der Basis der eruierten Daten wird der Netzzugang gewährt, gänzlich oder teilweise abgelehnt, oder es werden Quarantäne- oder Nachbesserungsmaßnahmen angeordnet.

Durch eine Verzahnung von EMM- und NAC-System, die deutlich über die API-Möglichkeiten hinausgeht, erhält das NAC-System zusätzliche Informationen und damit eine weitaus belastbarere Entscheidungsgrundlage. So hat beispielsweise der WLAN-Manager dank der Inventarinformationen von EMM- und NAC-System eine sehr detaillierte Kenntnis über die einzelnen Komponenten im Netz, beispielsweise über die Art und die Sicherheitsqualität der auf dem Gerät installierten Apps.

Profitieren kann die Netzzugangskontrolle auch von den Abwehrmechanismen gegen bewusst oder fahrlässig herbeigeführte Datenabflüsse. Hier sind EMM-Systeme mit entsprechenden Data-Loss-Prevention- (DLP-) Modulen ausgestattet, die als vertraulich klassifizierte Daten nicht an beliebige Kanäle verschickt werden können beziehungsweise dass bei einem Versand der entsprechende Versender genau protokolliert wird.