Die Intranet-Anmeldung erfolgt dabei ausschließlich über Einmal-Passwörter (Tokens), und auch die Endgeräte selbst werden hierbei authentifiziert. Für Zugriffe auf das Internet dagegen wird über einen zweiten APN ein VPN zwischen dem Endgerät und einem separaten VPN-Gateway an der Peripherie des SBS-Netzes aufgebaut. Die Authentifizierung erfolgt hier über einen Radius-Server. "Auf diese Weise ist garantiert, dass auch alle Zugriffe mobiler Mitarbeiter auf das Internet von unseren zentralen Sicherheitsmaßnahmen erfasst werden", erklärt Klahold.
Auch wenn mobile Mitarbeiter, sich per WLAN über öffentliche Hotspots mit dem Unternehmensnetz verbinden oder das Internet nutzen, empfiehlt sich eine solche Absicherung über ein VPN mit einem von der IT kontrollierten Endpunkt, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zwar bemühen sich die Hotspot-Betreiber, den Zugang zum Internet möglichst einfach zu machen, doch für die Sicherheit sind nach wie vor der Anwender beziehungsweise das Unternehmen selbst verantwortlich.
Updates und Patches
Anwender wollen und sollen produktiv sein, und das gilt in besonderem Maße für mobile Mitarbeiter, die oft wenig Zeit für die Kommunikation haben. Es ist ihnen daher nicht zuzumuten - und unter Sicherheitsgesichtspunkten auch kontraproduktiv -, sie mit der Verwaltung und Installation von Updates der System-, Kommunikations- oder Antivirensoftware zu belasten. Hier werden zentral gesteuerte Update-Mechanismen benötigt, über die freigegebene Releases entweder automatisch eingespielt (neue Virenpattern; sicherheitskritische Patches) oder zum Download bei nächster Gelegenheit angeboten werden (neue Funktionen; Komfortmerkmale).