Sicherer Zugriff aufs Unternehmensnetz

23.08.2005
Von Florian Schiebl
UMTS, DSL, WLAN - das Access-Angebot wächst ständig. Aggregatoren schnüren als Dienstleister die passenden Zugangspakete und übernehmen Administration und Abrechnung.
Aggregatoren übernehmen für Unternehmen die Authentifizierung der mobilen Benutzer, so dass kein Unbefugter Zugang zum Firmennetz erhält.
Aggregatoren übernehmen für Unternehmen die Authentifizierung der mobilen Benutzer, so dass kein Unbefugter Zugang zum Firmennetz erhält.

Eine Grundvoraussetzung für die Möglichkeit, sich von zu Hause oder unterwegs in das Unternehmensnetz einzuwählen, ist eine intensive und konsequente Anwendung der neuen Formen der Telekommunikations- und Informationstechnik. Vorrangig ist die optimale Vernetzung aller Beteiligten durch Voice-Mail, E-Mail, Videokommunikation, Virtual-Reality-Anwendungen, Workflow-Applikationen und/ oder Internet- beziehungsweise Intranet-Kommunikation. Je weiter sich ein Unternehmensnetzwerk spannt und je höher die Anforderungen einzelner Anwendungen an die Übertragungsqualität sind, desto wichtiger wird eine Lösung, die genau auf diese spezifischen Bedürfnisse zugeschnitten ist und Kapazitätsengpässe im Netz vermeidet.

Mehr Sicherheit mit iSeel

Die iSeel-Technologie setzt auf dem Endgerät an. So verwendet beispielsweise "iPass Connect" einen Public Key und eine 131-Bit-ECC (Elliptical Curve Cryptography) zum Erstellen eines verschlüsselten, nur einmal verwendbaren Ascii-Kennworts. Dieses basiert auf einer Kombination des Benutzernamens, einer eindeutigen Service-Interface-ID und einem Sessionzähler. Das Verfahren verhindert den Diebstahl von Zugangsdaten über Dial-up-Verbindungen, WLAN sowie Breitbandverbindungen hinweg. Selbst wenn das nur einmal verwendbare Kennwort abgefangen wird, ist es für einen potenziellen Angreifer wertlos, weil es ohne den privaten, im iPass-Transaktionszentrum gespeicherten Schlüssel nicht entschlüsselt werden kann. Alle Angriffe, die auf der erneuten Verwendung des verschlüsselten Kennworts basieren, werden abgewehrt, weil sich das Passwort bei jeder Sitzung ändert. Sobald sich die Authentifizierungsdaten innerhalb des iPass-Netzes befinden, verschlüsselt iPass diese Daten zusätzlich in 128-Bit-SSL-Tunneln, bis sie in der Authentifizierungsdatenbank angekommen sind. Sämtliche SSL-Tunnel sind unidirektional und basieren auf einer gültigen digitalen Signatur des Absenders. So wird sichergestellt, dass iPass-Systeme nur mit ebenfalls autorisierten iPass-Rechnern kommunizieren. Da die Daten für die Nutzerauthentifizierung erst entschlüsselt werden, wenn sie sich innerhalb des Transaktionszentrums befinden, können Zugangsanbieter niemals Zugriff auf Klartext-Kennwörter erlangen oder auf die IP-Adressen, die Port-Adressen oder die vertraulichen Authentifizierungsschlüssel der Unternehmen zugreifen. Damit wird ein zusätzliches Maß an Schutz für den Fall geschaffen, dass bei einem Zugangsanbieter Sicherheitslücken auftreten oder ein Mitarbeiter kriminelle Absichten verfolgt.

Kostenbeispiel

Unternehmen schließen in der Regel mit den Aggregatoren Verträge mit Laufzeiten von einem bis drei Jahren. Zurzeit berechnet beispielsweise iPass eine Monatsgebühr von zwei bis drei Dollar sowie 0,05 Dollar pro Verbindungsminute. Eine kostenlose Einwahl gibt es derzeit in 28 Ländern. In 64 Ländern ist eine landesweit einheitliche Einwahl möglich. Gebühren werden fällig, wenn der Zugang über einen fremden Provider erfolgt: Hier kommen zwischen 0,05 und 0,25 Dollar je Minute hinzu. Weltweit verfügt das Unternehmen über 1000 Einwahlknoten, 525 davon in den USA und Kanada. Für die Abrechnung, die Authentifizierung und das Service-Quality-Management sind gerade einmal zehn Mitarbeiter zuständig. Sie arbeiten in den zwei unternehmenseigenen, redundanten Rechenzentren in den USA. Auf diese Weise sei sichergestellt, dass die Chance eines Verbindungsaufbaus beim ersten Mal bereits 85 Prozent beträgt.

Hier lesen Sie …

• was Aggregatoren als Serviceanbieter leisten;

• wie Unternehmen von diesen Angeboten profitieren;

• welche Access-Medien unterstützt werden;

• wie ein sicherer Zugang für Außendienstmitarbeiter aussehen kann.

Mehr zum Thema

www.computerwoche.de/go/

*78485: IPsec gibt Lauschern keine Chance;

*76875: Mobile Plattformen im Vergleich;

*75143: Einfach ins WLAN;

155247: Unterwegs arbeiten - aber wie?

Mindestens ebenso relevant und zunehmend mehr im Blickfeld der Unternehmen sind Sicherheitsaspekte. Gerade die "Satelliten" eines Unternehmens - seien es einzelne Mitarbeiter oder kleinere Filialen - stellen oftmals ein Sicherheitsrisiko für das Unternehmensnetz dar. Globale Aggregatoren auf dem Business-to-Business-Markt, so beispielsweise das US-amerikanische Unternehmen iPass, bieten heute einen einfachen und sicheren Breitband-Remote-Zugang ins Internet über Funk- und Festnetzverbindungen an Orten, an denen sich Reisende häufig aufhalten - also etwa an Flughäfen oder in Hotels und Kongresszentren.

Access-Netz-Anbieter

Das Geschäftsmodell dieser Aggregatoren besteht darin, Netze ausgewählter und entsprechend getesteter regionaler Internet-Zugangs-Anbieter in das eigene virtuelle Netz zu integrieren und den Kunden so einen einheitlichen Service flächendeckend rund um den Globus zu offerieren. Die Benutzer profitieren dabei von einem höheren Maß an Komfort und Benutzerfreundlichkeit sowie kostengünstigeren Verbindungen gepaart mit hoher Sicherheit. So erleichtert eine einheitliche Benutzeroberfläche das Herstellen einer Breitband-, Einwahl- oder ISDN-Verbindung.

Unter Komfortaspekten dürften die Controlling-Abteilungen die Angebote der Aggregatoren schätzen: Sie erhalten eine einzige Rechnung, auf der die Gebühren für WLAN-Hotspots, Breitband-, Analog- und ISDN-Remote-Zugangsdienste zusammengefasst sind.

Immer wichtiger werden Wireless Hotspots, wie sie heute zum Beispiel in den Lounges der Deutschen Bahn und der Lufthansa sowie in vielen Hotels bereits vorhanden sind.

Telefondose hat ausgedient

Der Nutzer hat dabei über seinen WLAN-fähigen Laptop kabellosen Zugang zum Internet und seinen E-Mails. Zwar gibt es bereits seit einigen Jahren die Technik für die direkte Einwahl in ein Unternehmensnetz von zu Hause oder einem Hotelzimmer aus, sie gelangt aber erst seit der Einführung von Breitbandzugängen zu nennenswerter Bedeutung.

Auf der Endgeräteseite entwickelte sich die Kommunikationsfähigkeit der Produkte weiter. Als Intel im März 2003 den Centrino-Chip auf den Markt brachte, um nur ein Beispiel zu nennen, war das auch für den mobilen Datenzugriff ein großer Schritt. Der neue Chip für drahtlose, kleinere und leichtere Notebooks brauchte wesentlich weniger Strom und machte dadurch das Arbeiten unterwegs erst sinnvoll: Die Nutzer der neuen Laptop-Generation können auf eine Steckdose und eine verkabelte Verbindung zum Netz verzichten. Stattdessen greifen sie bequem von der Hotelbar aus per WLAN-Hotspot auf alle ihre Daten zu.

Zugang per WLAN

Ein weiterer Meilenstein für die Entwicklung des mobilen Arbeitens waren die verschiedenen 802.11-Standards und die Verbreitung der WLANs. Mit jedem neuen Mitglied dieser Standardfamilie wird die Übertragung von Daten schneller und bequemer. Ein Fortschritt, der zur Beliebtheit drahtloser Einwahlpunkte beiträgt. Mit rund 5000 öffentlichen Hotspots liegt Deutschland zusammen mit den USA weltweit auf Platz eins. Nach einer Studie des Marktforschungsunternehmens IDC rangiert das "alte Europa" im Rennen um die drahtlose Vernetzung ganz vorne. Bisher sind mehr als 25 000 Hotspots in Restaurants, Hotels, Bahnhöfen und anderen Lokationen in Europa in Betrieb. Unterstützt durch mehr als 50 Service-Provider, soll sich ihre Zahl in den kommenden drei Jahren auf rund 110000 Standorte erhöhen.

Um ihren Mitarbeitern einen einfachen mobilen Zugriff auf Unternehmensressourcen zu ermöglichen, nutzen viele IT-Administratoren eine geeignete Zugangssoftware sowie einen oder mehrere Zugangs-Provider. Durch die extrem fragmentierte Provider-Landschaft gewinnen Access-Provider, Aggregatoren oder Konzentratoren wie iPass zunehmend an Bedeutung. Diese Dienstleister repräsentieren einen neuen Typus von Technologiefirmen. Obwohl die Unternehmen nur relativ wenige Mitarbeiter beschäftigen, unterhalten sie eine weltumspannende Infrastruktur.

Einheitliche Zugangssoftware

Die Aggregatoren ermöglichen Geschäftsreisenden einen sicheren Zugang zum Internet beziehungsweise zum Firmennetz der Kunden. Hierzu offerieren sie eine einheitliche Zugangssoftware für sämtliche verfügbaren Zugangspunkte weltweit. Der Nutzer bekommt dazu auf seinem Laptop einen Software-Client installiert. Dieser zeigt direkt beim Einschalten an, welche Zugangsmöglichkeiten aktuell zur Verfügung stehen. Ist kein WLAN oder UMTS erreichbar, fehlt diese Option in der Übersicht. Ansonsten übernimmt das Client-Programm die Anmeldung und den Aufbau einer sicheren Verbindung zum Firmennetz.

Bevor der Nutzer einen direkten Zugang erhält, meldet sich der Client im Fall von iPass bei einem der 13 Rechenzentren an. Dabei handelt es sich in der Regel um bei Carriern angemietete Infrastrukturen und Co-Lokationen, zum Beispiel von British Telecom (BT) oder der Deutschen Telekom. Hier treffen die verschiedenen Netze gleichsam aufeinander und erlauben somit das Roaming beispielsweise zwischen einem T-Mobile-Netz und Orange. Die physische Nähe zu solchen Verbindungsdrehscheiben ermöglicht iPass den jeweils schnellsten Zugang, weil hier die Wege am kürzesten sind. Das Management der Rechenzentren übernehmen die Carrier.

Neben der standardmäßigen SSL-Verschlüsselung während der Authentifizierung kann zusätzlich noch eine vom Notebook ausgehende Verschlüsselung mit einmaligem Session-Kennwort zum jeweiligen Einwahlpunkt aktiviert werden. Durch dieses Kennwort werden Replay-Attacken von eventuell abgehörten Authentifizierungs-Versuchen unmöglich. Sämtliche Verbindungen sind ferner durch spezielle Sicherheitsfunktionen wie etwa die Verschlüsselungstechnologie iSeel (Secure End-to-End Encrypted Login) (siehe Kasten "Mehr Sicherheit mit iSeel") geschützt.

Um sicherzustellen, dass Hardware und Software des Nutzers beziehungsweise seine Daten noch den aktuellen Firmenvorschriften entsprechen, sollten der Client, die involvierten Server des Zugangs-Providers und die Firmenrechner miteinander kommunizieren. Auf diese Weise kann ein Rechner, der gegen diese Richtlinien verstößt, in Quarantäne gestellt werden. Dabei wird der Provider genutzt, den der Nutzer angewählt hat. Fände eine Überprüfung etwa über die iPass-Server nicht statt, könnte beispielsweise ein Trojaner noch während des Aufbaus eines Virtual Private Network (VPN), einer abgeschirmten Intranet-Verbindung, über diesen Kanal ins Firmennetz gelangen. Erkennt dagegen die Einwahl-Software des Clients eine Störung der sicheren Verbindung, so trennt sie das Gerät vom Internet. Die gesamte Klärung nimmt lediglich zehn Sekunden in Anspruch. Währenddessen sieht der Nutzer zwar, dass ein Verwaltungskanal aufgebaut ist, hat aber keine Kommunikationsverbindung.

Neben einer sicheren Authentifizierungsplattform machen den Kern des Aggregatorengeschäfts vor allem Partnerschaften mit Netzbetreibern und Technologielieferanten aus, denn das eigentliche Netz besteht ja nur virtuell. So leiht sich beispielsweise iPass den Internet-Zugang von 300 bis 400 Carriern und Providern, wobei jede kommerziell verfügbare Zugangstechnik genutzt wird. Neben herkömmlichen Kabelanschlüssen kommen auch ISDN, DSL, UMTS, GSM und WLAN zum Einsatz.

Für den Benutzer wird der Online-Zugang dadurch nicht nur deutlich komfortabler, sondern auch weniger fehleranfällig, da er sich nicht mit Einstellungsparametern plagen muss. Ferner braucht er sich weder um Sicherheitsbelange noch um Zugangsmöglichkeiten zu kümmern. Für den Arbeitgeber bedeutet eine solche Lösung zusätzliche Sicherheit, aber auch mehr Komfort sowie Kostenersparnis, denn die Außendienstmitarbeiter gelangen weltweit zum Ortstarif ins Netz.

Sicher vor Manipulationen

Ein automatisch aktualisiertes Telefonbuch mit allen Zugangsnummern erlaubt den Anwendern, jeden Einwahlknoten ihres Aggregators zu nutzen. Somit benötigen sie nur einen gültigen Account, etwa die normalen Firmenzugangsdaten, mit dem sie unabhängig vom Aufenthaltsort zum Ortstarif ins Netz kommen. Zudem können die Benutzer sowohl ihren gewohnten Browser als auch den E-Mail-Client behalten. Der Client lässt sich weder unabsichtlich verstellen noch in der Absicht, sich der Kontrolle durch den Arbeitgeber zu entziehen, manipulieren. VPN, Personal Firewall und Antivirensysteme bleiben so auch unterwegs konfiguriert, wie es die Firmenpolitik erfordert.

Der Anbieter iPass realisiert dies beispielsweise mit der Zugangssoftware "iPass Connect". Sie vereinfacht nicht nur die Bedienung für den Anwender, sondern ermöglicht dem Unternehmen auch ein detailliertes zentrales Management und Kontrolle. Dadurch erhöht sich der Schutz vor Missbrauch. Dienste eines Internet-Remote-Zugangsanbieters bieten eine Reihe von Vorteilen. Der Zugriff für Mitarbeiter auf Unternehmensdaten wird vereinheitlicht, egal welches technische Verfahren sie gerade nutzen, ob über Kabel, drahtlos oder Ethernet. Darüber hinaus erhalten alle Nutzer weltweit Zugang zu einem immer dichter werdenden Netz zertifizierter Hotspots.

Diese Zertifizierung setzt die Erfüllung strenger Kriterien in den Bereichen Sicherheit, Zuverlässigkeit und Verbindungsqualität voraus.

Bevor Zugangsanbieter als aktiver Bestandteil in das Netz aufgenommen werden, müssen sie ihre Zuverlässigkeit checken lassen und Interoperabilitätstests bestehen. Zu den ungefähr 20 technischen Anforderungen, die etwa Boeing mit Connexion, seinem drahtlosen Internet-Zugang in Flugzeugen, erfüllen musste, gehörte, dass die Kommunikation zwischen Laptop und Access Point komplett verschlüsselt abläuft und ein bestimmter Datendurchsatz garantiert wird - über den Wolken ist das nicht ganz selbstverständlich. Damit das im Alltag funktionieren kann, ist iPass beispielsweise Partnerschaften mit etwa 40 Technologieanbietern eingegangen. (hi)