Sicherheitsrisiken beim Remote-Zugriff senken

Wie die Mobilität ungefährlicher wird

23.11.2007
Von Detlev Flach
Für bessere Kundenbeziehungen machen immer mehr Firmen ihre Angestellte zu mobilen Mitarbeitern. Doch der Remote-Zugriff auf das Firmennetz stellt die IT-Verantwortlichen vor Probleme.

Robert Meierhofer, IT-Chef einer Mittelstandsfirma, legt die Stirn in Falten. Befragt nach den aktuellsten Herausforderungen an IT-Security in der Praxis, muss er nicht lange nachdenken. "Mobile Mitarbeiter, das ist die Nummer eins. Wir wissen, dass Mittelständler immer mehr im Fadenkreuz von Wirtschaftsspionen stehen. Für unsere Niederlassungen haben wir deshalb in den letzten Jahren Sicherheitsstrategien entwickelt und umgesetzt. Wir wissen genau, welche PCs und Anwendungen wir im Netz haben, außerdem verteilen wir Updates von zentraler Stelle aus auf die Clients und achten natürlich auch darauf, dass unsere Sicherungssysteme auf dem neuesten Stand sind."

Nicht ganz so einfach sei es aber mit mobilen Mitarbeitern, führt Meierhofer aus, die vor Ort beim Kunden arbeiten und sich von dort ins Unternehmensnetz einwählen oder abends an einem Hotspot im Hotel schnell noch Daten abgleichen. Ein weiteres Risiko brächten Heimarbeitsplätze. Die gute Breitbandabdeckung und fallende Preise für den Internet-Zugang zu Hause führten dazu, dass der Zugriff vom Homeoffice auf Firmendaten selbstverständlich werde.

Mobile Mitarbeiter als Security-Problem

Aktuelle Studien, etwa von der Security-Firma Sophos, untermauern Meierhofers Erfahrungen. Vor allem Mitarbeiter, die sich mit Laptops und per Fernzugriff mit dem heimischen Firmennetz verbinden, setzen das Unternehmensnetz Sicherheitsrisiken aus – dies schätzen mehr als 30 Prozent der im September 2007 befragten Unternehmen. Schwerpunkt der Untersuchung war die Frage, welche Anwender nach Ansicht von Firmen die größte Gefahr für die IT-Sicherheit darstellen. Gegenüber Lieferanten, Mitarbeitern von Fremdfirmen und Gästen, die von außerhalb auf das Unternehmensnetz zugreifen, haben insgesamt 25 Prozent der Unternehmen die größten Sicherheitsbedenken. Insgesamt nahmen 207 Unternehmen an der Umfrage teil.

Viele Unternehmen haben Probleme damit, Sicherheitsrichtlinien für mobile Mitarbeiter durchzusetzen.
Viele Unternehmen haben Probleme damit, Sicherheitsrichtlinien für mobile Mitarbeiter durchzusetzen.

Sophos zufolge ist es für viele Unternehmen nach wie vor schwierig, dafür zu sorgen, dass sich ihre mobilen Mitarbeiter an dieselben Sicherheitsrichtlinien halten wie ihre Kollegen im Büro. Dies liegt insbesondere daran, dass die Firmen nicht erkennen können, ob die Remote-Geräte mit der erforderlichen Software, den neuen Betriebssystem-Patches und aktuellen Sicherheitsanwendungen ausgestattet sind. Die Gefahr, das Netz für Malware-Angriffe zu öffnen, steigt damit immens.

Sascha Pfeiffer, NAC Business Development Manager bei Sophos, bringt es auf den Punkt: "Remote-Mitarbeiter und Gäste können IT-Administratoren beim Versuch, Unternehmensnetze zuverlässig zu schützen, echte Kopfschmerzen bereiten. Insbesondere dann, wenn die Mitarbeiter verschiedene Endgeräte benutzen, unterschiedliche Sicherheitsprogramme einsetzen und mit jeweils anderen Betriebssystemen oder System-Patches arbeiten."

Doch wie bindet man Außendienstler und Teleworker sicher an das Firmennetz an? Professionelle Software und Managed Services für die Zugangskontrolle zum Netz bieten Unternehmen die Möglichkeit, Sicherheitsrichtlinien über alle mit dem Netz verbundenen Geräte hinweg durchzusetzen. Dabei können sie gewährleisten, dass jedes Gerät, das den Vorgaben nicht entspricht, für den Zugriff gesperrt wird. Eine solche Lösung ist etwa das als lokale Software oder Managed Service angebotene Produkt "iPass Device Management". Dabei ist es egal, ob die Mitarbeiter per Notebook, Smartphone oder Pocket PC auf das Unternehmensnetz zugreifen. Es genügt, wenn auf den Endgeräten ein Software-Agent installiert ist, der ständig als Hintergrunddienst läuft.

Die Lösung ermöglicht es Administratoren, vollautomatisch Patches, Sicherheits-Updates und Anwendungen einzuspielen, sobald die Remote-Geräte ins Internet gehen. Dabei sind weder VPN-Verbindung noch ein Proxy-Server nötig, und es ist auch egal, ob der Mitarbeiter beim Kunden sitzt, einen Hotspot nutzt oder per UMTS-Verbindung auf das Firmennetz zugreifen will. Das Besondere dabei: Je nachdem, wie kritisch das Update ist, kann das mobile Endgerät aus dem Netz ausgeschlossen werden, bis das Update beendet ist, oder die Nutzer können auch während der Aktualisierung ihres Systems weiterarbeiten. Die eingebaute Bandbreitenregulierung achtet darauf, dass die Updates nicht die komplette Online-Verbindung an sich reißen. Natürlich dauert so ein Update über eine schmalbandige Verbindung länger. Damit man im Falle eines Abbruchs aber nicht immer wieder von vorne anfangen muss, gibt es Checkpoints, von denen aus die Installation in Etappen weitergeführt wird. Ganz nebenbei bekommen Nutzer von iPass Device Management auch gleich noch eine Geräteidentifikation und Inventarisierung.

Weitere praktische Funktionen erleichtern den Administratoren das Leben. So können sie dynamische Gruppen zur Softwareverteilung anlegen, etwa um in einem Rutsch die Pocket-PCs der Marketing-Mitarbeiter auf den aktuellen Stand zu bringen oder um alle Smartphones mit einer bestimmten Betriebssystem-Version zu patchen. Die umfassende Berichtserstellung gibt genau Auskunft, wie lange die Updates gedauert haben oder ob Fehler auftraten. Zusätzlich können Administratoren Bedingungen für Updates definieren, also etwa, dass Software xy mindestens in Version 2.0 vorliegen muss. Die iPass-Lösung erstellt dann automatisch eine dynamische Liste der Endgeräte, die aktualisiert werden müssen und der Administrator kann festlegen, ob die Aktualisierung sofort oder zu einem definierbaren späteren Zeitpunkt vorgenommen werden soll. Geräten, denen wichtige Patches fehlen, kann der Zugriff auf das Firmennetz komplett verwehrt werden.

Vertrauenswürdige Geräte

In den meisten Firmen ist es selbst IT-Experten nicht klar, wer zu einer bestimmten Zeit auf das Unternehmensnetz zugreift. Das Hauptproblem: Wie stellt man zweifelsfrei fest, ob ein Gerät vertrauenswürdig ist? Eine Authentifizierung, die mehrere Kriterien zugrunde legt, ist der beste Garant dafür, dass nur autorisierte Personen auf das Unternehmensnetz zugreifen können. Isolierte Einzellösungen wie beispielsweise Token erhöhen dagegen lediglich die Sicherheit der Netzzugangsdaten und decken damit nur einen kleinen Teilaspekt dieses komplexen Themas ab. "DeviceID" von iPass erfüllt beide Anforderungen. So dürfen nur vom Unternehmen autorisierte Endgeräte auf das hauseigene Netz via VPN zugreifen. Dazu prüft die dynamische Endgeräteabfrage die verbaute Hardware mittels eines "digitalen Fingerabdrucks", der an einen Server geschickt wird. Stimmt dieser nicht mit den hinterlegten Daten überein, wird der Zugang verweigert – Manipulationen am Gerät selbst verhindern also die Authentifizierung. Neben der Hardware muss sich zusätzlich der Benutzer authentifizieren, am einfachsten über Benutzername und Passwort. Wird einem Nutzer das Notebook gestohlen, fehlen immer noch die Zugangsdaten, um das Firmen-LAN zu erreichen. Umgekehrt sind die Benutzerdaten ohne die passende Hardware auch nutzlos. Zudem können IT-Verantwortliche nach Bedarf weitere Richtlinien für den Zugang definieren. So können etwa Clients ohne aktuellen Virenscanner oder mit deaktivierter Firewall geblockt werden. (mb)