Bis 2009 werden laut IDC rund 878 Millionen Menschen weltweit und 99 Millionen in Europa von unterwegs auf Firmendaten zugreifen. Höhere Produktivität und einfache Erreichbarkeit stehen dabei im Fokus. Doch für die IT-Verantwortlichen bedeutet der Fernzugriff Alarmstufe Rot, denn schließlich sollen die Mitarbeiter einfach und über möglichst alle Kanäle an die Unternehmens-IT andocken können, ohne Sicherheitslöcher aufzureißen.
Vor allem Mitarbeiter, die sich mit mobilen Endgeräten und per Fernzugriff mit dem Firmennetz verbinden, setzen dieses potenziellen Sicherheitsrisiken aus - davon gehen mehr als 30 Prozent der im September 2007 vom Security-Spezialisten Sophos befragten Unternehmen. Schwerpunkt der Untersuchung war die Frage, welche Anwender aus Unternehmenssicht die größte Gefahr für die IT-Sicherheit darstellen. Bei Lieferanten, Mitarbeitern von Fremdfirmen und anderen Gästen, die von außerhalb auf das Unternehmensnetz zugreifen, haben insgesamt 25 Prozent der Unternehmen die größten Sicherheitsbedenken.
Sicherheitsrichtlinien schwer übertragbar
Sophos zufolge ist es für viele Unternehmen nach wie vor schwierig, zu gewährleisten, dass sich ihre mobilen Mitarbeiter an dieselben Sicherheitsrichtlinien halten wie ihre Kollegen im Büro. Dies liegt insbesondere daran, dass sie nicht erkennen können, ob die Remote-Geräte mit der erforderlichen Software, den aktuellen Betriebssystem-Patches und Sicherheitsanwendungen ausgestattet sind. Die Gefahr, das Netz für Malware-Angriffe zu öffnen, steigt damit immens.
Foto: Stockxgnch
Sascha Pfeiffer, NAC Business Development Manager bei Sophos, bringt es auf dem Punkt: "Remote-Mitarbeiter und Gäste können IT-Administratoren beim Versuch, Unternehmensnetze zuverlässig zu schützen, echte Kopfschmerzen bereiten. Insbesondere dann, wenn die Mitarbeiter verschiedene Endgeräte benutzen, unterschiedliche Sicherheitsprogramme einsetzen und mit jeweils anderen Betriebssystemen oder System-Patches arbeiten."
Schutz der Authentifizierungsdaten
Ein Horrorszenario für Firmen ist es, wenn es einem Hacker gelingt, die Authentifizierung zu knacken: Ein Datendieb könnte sich als Mitarbeiter ausgeben und so bequem von unterwegs aus in das Unternehmensnetz einbrechen. Wer also eine Lösung für die Anbindung von Außendienstmitarbeitern sucht, muss als Erstes über eine sichere Nutzer-Authentifizierung nachdenken. Dazu gehört eine komplette Verschlüsselung aller Login-Daten auf dem gesamten Weg vom mobilen Endgerät bis zum Unternehmensnetz. Besonders sicher sind dabei Einmalpasswörter, die aus den Login-Daten und Zufallszahlen erzeugt werden, denn sie gelten nur für einen Anmeldevorgang. Selbst wenn also die Verbindung abgehört wird, sind die belauschten Daten wertlos. Wichtig ist auch, dass nach erfolgreicher Authentifizierung die komplette Kommunikation verschlüsselt abläuft. Sämtliche verschlüsselten Transaktionen müssen durch gültige digitaler Zertifikate gesteuert werden. Der Verbindungsaufbau darf erst erfolgen, nachdem der Server, von dem die Verbindungsanforderung ausgeht, eine gültige digitale Signatur sendet und der autorisierende Server entsprechend mit einer digitalen Signatur antwortet. Auf diese Weise ist sichergestellt, dass kein manipuliertes Server-System eingeschleust wurde.
Zwar ist der Außendienstler das schwächste Glied in der Kette, aber auch die Server müssen sicher vor Manipulation sein. Dazu gehört ein mehrstufiges Sicherheitssystem, bestehend etwa aus redundanten Transaktions-Servern, Hardware-basierenden Firewalls, gegen Ausfall gesicherten Stromversorgungen, Klimakontrolle sowie Abwehrvorrichtungen gegen Vandalismus und Diebstahl.
Schutz der mobilen Endgeräte
Trotz anhaltender Meldungen über immer cleverere Angriffstaktiken wissen in den meisten Firmen selbst IT-Experten nicht, wer zu einer bestimmten Zeit auf das Unternehmensnetz zugreift. Das Hauptproblem: Wie stellt man zweifelsfrei fest, ob ein Gerät vertrauenswürdig ist oder nicht? Ein Garant dafür ist eine Authentifizierung, die mehrere Kriterien zugrunde legt. Isolierte Einzellösungen wie beispielsweise Tokens erhöhen dagegen lediglich die Sicherheit der Netzzugangsdaten und decken damit nur einen Teilaspekt dieses komplexen Themas ab. Elektronisches Device-Fingerprinting, wie es etwa bei iPass im Rahmen des "Mobile Office Service" zum Einsatz kommt, bietet diese Mehrfaktor-Authentifizierung sowie eine VPN-Durchsetzung. So wird sichergestellt, dass nur vom Unternehmen autorisierte Endgeräte auf das hauseigene Netz via VPN zugreifen. Dazu prüft die dynamische Endgeräteabfrage die verbaute Hardware und kreiert sozusagen einen digitalen Fingerabdruck des Endgeräts, der daraufhin an einen Server geschickt wird. Stimmt der gesendete Fingerabdruck nicht mit den hinterlegten Daten überein, wird der Zugang verweigert - Manipulationen am Gerät selbst verhindern also die Authentifizierung.
Neben der Hardware muss sich zusätzlich der Benutzer authentifizieren, am einfachsten über Benutzername und Passwort. Wird einem Nutzer das Notebook geklaut, fehlen immer noch die Zugangsdaten, um das Firmen-LAN zu erreichen. Umgekehrt sind die Benutzerdaten ohne die passende Hardware ebenfalls nutzlos. IT-Verantwortliche können nach Bedarf weitere Richtlinien für den Zugang definieren. So lassen sich etwa Clients ohne aktuellen Virenscanner oder mit deaktivierter Firewall blocken.
Wichtig ist auch der Schutz mobiler Endgeräte, die außerhalb der Firmen-Firewall eingesetzt werden. So sollten Personal Firewall und Antivirensoftware eingesetzt werden. Ein mobiler Client könnte vor dem Start überprüfen, ob diese Sicherheitsanwendungen ausgeführt werden, und sie gegebenenfalls automatisch starten. Ferner ist zu berücksichtigen, dass Remote- und mobile Geräte, deren Systeme nicht auf dem aktuellsten Stand sind, ebenfalls ein erhebliches Sicherheitsrisiko darstellen. Wird die Aktualität der Antivirensoftware und des Betriebssystems im Rahmen des Verbindungsvorgangs ermittelt, bevor das Gerät mit dem Internet und dem Unternehmensnetz verbunden wird, trägt dies weiter zum Schutz des mobilen Endgeräts bei. (mb)