Viele Security-Verantwortliche bestätigen, dass die mobilen Endgeräte bisher nicht in die IT-Sicherheitskonzepte einbezogen wurden. Weil sich im Umgang mit den Devices zudem täglich etwas ändert, was Plattformen, Features und Anwendungen angeht, steigt das Risiko für Datenverluste in hohem Maße. Durch den Bring-your-own-Device-Trend (ByoD) und damit mehr und mehr Fremdgeräten in den Unternehmensnetzwerken ist die Notwendigkeit für ein ganzheitliches Sicherheitskonzept sogar noch gestiegen.
Grenzen der MDM-Systeme
Die üblichen Lösungen für das Mobile Device Management (MDM) zielen ähnlich wie das Management der stationären Clients vornehmlich darauf ab, beispielsweise ein Rollout der mobilen Endgeräte effizient durchzuführen, die notwendigen Konfigurationen von Anwendungen, Diensten und Funktionen sicherzustellen oder eine automatische Softwareverteilung vorzunehmen. Selbstverständlich bilden die MDM-Lösungen auch verschiedene Sicherheitsfunktionen ab, wie etwa das Aufspüren verloren gegangener Devices oder die Steuerung benutzerspezifische Sicherheitsregeln.
Solche MDM-Konzepte bieten im Regelfall jedoch keine Antwort darauf, wie mit Smartphones, Tablets und anderen mobilen Endgeräten von internen oder externen Mitarbeitern umzugehen ist, auf denen keine Firmensoftware installiert werden darf oder kann, die für das Management jedoch zwingend notwendig ist.
Netzzugang mit eigenem Kanal
Einen Security-Baustein für ByoD-Strategien, zumal vergleichsweise einfach zu realisieren, stellt hingegen eine Kombination aus einer Network-Access-Control-Lösung (NAC) und einem Intrusion Prevention System (IPS) dar. In ihrem Zusammenspiel lässt sich gewährleisten, dass Fremdgeräte über einen separaten, gesicherten Kanal kontrolliert in das Unternehmensnetz gelangen.
Das Ziel von NAC-Lösungen besteht grundsätzlich darin, das Netzwerk vor unautorisierten, nicht sicheren Geräten und internen Angriffen unabhängig der Gerätemodelle zu schützen. Dabei bilden sie zwei elementare Sicherheitsfunktionen ab:
-
Authentisierung: Alle Geräte, die einen Zugang zum Netzwerk suchen, müssen sich vorab authentisieren. Dieser Authentisierungsvorgang beinhaltet auch eine Klassifizierung der Endgeräte, um weitergehende Security-Entscheidungen auf Basis des Gerätetyps vornehmen zu können.
-
Autorisierung: Das NAC kann die Zugriffsrechte des Gerätes im Netzwerk entsprechend seiner Klassifizierung steuern. So werden beispielsweise IP-Telefone speziellen virtuellen LANs (VLAN) zugeordnet, wo sie Zugang zur benötigten Infrastruktur haben und aus Sicherheitsgründen vom Datennetz separiert sind. Auch mobile Geräte können Netzwerksegmenten mit geringeren Zugriffsmöglichkeiten zugeordnet werden, da sie grundsätzlich als gefährdeter als stationäre PCs eingeschätzt werden.
Wird in diesen Prüfprozessen ein Gerät als unbekannt identifiziert, löst das NAC einen Alarm aus und leitet bei entsprechender Konfiguration automatisch Gegenmaßnahmen ein, die von der E-Mail an den Administrator bis zur Sperrung des benutzten Switch-Ports reichen können.
Gästenetz für Fremdgeräte
Foto: macmon secure
Mittels NAC wird die Möglichkeit geschaffen, die öffentlichen und nicht öffentlichen Bereiche der Netzwerke strikt voneinander zu trennen: Die erste "Line of Defence" verhindert den Zugang unbekannter Geräte. Die für eine Teilnahme am Netzwerkverkehr autorisierten Devices müssen sich über ihre MAC-Adresse, ein Geräteprofil ("Fingerprint") oder ein Zertifikat ausweisen. Veränderungen am Endgerät oder Angriffe erkennt das NAC-System und isoliert dann automatisch das mobile Endgerät. Die zweite "Line of Defence" schützt vor Angriffen auf Netzwerkkomponenten und vor Adressmanipulationen und verhindert so Lauschangriffe auf den Datenverkehr oder die internen Ressourcen.
Während diese Wirkungsweise den maßgeblichen Schutz der Netzwerke vor Missbrauch darstellt, dienen ergänzende Funktionen dazu, fremde oder unautorisierte Geräte dynamisch einem separaten Gästenetz zuzuordnen. Es verfügt beispielsweise nur über einen Zugang zum Internet oder einen Konferenzserver. Das Gästeportal in Verbindung mit dem V-LAN-Manager reduziert den Administrationsaufwand erheblich. Gleichzeitig werden sowohl die Gültigkeitsdauer eines Gäste-Tickets als auch die Dauer des Aufenthaltes, genutzte Anschlüsse, verwendete V-LANs und mehr vollständig protokolliert. Die optionale Selbstregistrierung bietet für ByoD-Nutzer zudem einfache und trotzdem zentral nachvollziehbare Zugangsmöglichkeiten.
- Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen: - Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss? - Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland? - Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen? - Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?
Auf diesem Wege wird bereits ein Großteil der ByoD-Anforderungen abgebildet, der für die meisten bisher nicht direkt fassbar war. Doch was ist mit der Gefahr, die von zugelassenen, aber nicht sicher betriebenen Geräten ausgeht?
Virtuelle LANs helfen
Mit dieser Fragestellung sind beispielsweise die Universitäten bereits seit vielen Jahren konfrontiert, weil die Studenten eigene Devices mitbringen und einen Zugang zum Campus-Netzwerk benötigen. Dort wurden dementsprechend die Server bestmöglich gesichert. Da dies aber im Unternehmensnetzwerk und vor allem nachträglich nicht so ohne weiteres umsetzbar ist, muss eine alternative Möglichkeit gefunden werden.
Hierbei kommt die Möglichkeit der Segmentierung des Netzwerks unabhängig seiner physikalischen Struktur mittels V-LANs zu Hilfe. Diese Netzwerkunterteilung zielt beispielsweise auf eine Verringerung der Broadcast-Last in den einzelnen Segmenten ab. Sie bewirkt aber auch, dass sensible Ressourcen besonders geschützt werden können. Insofern werden über V-LANs Sicherheitskonzepte aktiv unterstützt.
Zu den positiven Effekten einer logischen Trennung des Unternehmensnetzes mit Unterteilung in verschieden Zonen gehört, das fest vorgegebene Datenrouten erzeugt werden. Über diese leicht definierbaren Verbindungen ist auf einfache Weise die Kombination mit einem verhältnismäßig kleinen Intrusion Prevention System (IPS) möglich. Darüber können alle von unsicheren Systemen genutzten Kommunikationswege abgesichert werden. IPS-Systeme überwachen die ein- und ausgehenden Daten, indem sie abweichende Bitmuster erkennen und verschiedene Heuristiken einsetzen, um Unregelmäßigkeiten aufzuspüren. In der Regel sind IPS-Systeme sogar in der Lage, Informationen über Angriffe gezielt weiterzugeben. Durch eine Kopplung von NAC- und IPS-Systemen lassen sich auf diese Weise angreifende oder schädliche Systeme automatisiert und unmittelbar wieder vom Netzwerk trennen.
In der Gesamtbetrachtung spricht somit die schnelle und einfache Realisierung bei gleichzeitig geringem Betriebsaufwand für NAC-Lösungen, wenn es an die Umsetzung eines ByoD-Sicherheitskonzepts geht. (sh)