Unterwegs sicher arbeiten

01.03.2005
Von Thomas Hertel
Je stärker mobile Endgeräte für den Zugang zu kritischen Unternehmensanwendungen genutzt werden, desto dringender wird auch das Bedürfnis, diese Geräte in das umfassende Sicherheitskonzept einzubinden.

Noch überwiegen Anwendungen im Bereich des persönlichen Informations-Managements, doch immer häufiger dienen Notebooks, PDAs und zunehmend auch Smartphones mobilen Mitarbeitern als Tor zu unternehmenskritischen Applikationen. Die Einbindung dieser mobilen Endgeräte in die IT-Infrastruktur stellt die Verantwortlichen vor erhebliche Herausforderungen. Denn mit der Anwendungsintegration ist es längst nicht getan: Wo plötzlich sensible Geschäftsdaten unterwegs verarbeitet werden, müssen sowohl die Endgeräte als auch die Kommunikation mit dem Unternehmensnetz genauso abgesichert werden wie Systeme und Zugänge im lokalen Netz.

Problematisch ist in diesem Zusammenhang zunächst die Vielfalt der Geräte und der Kommunikationswege. Notebooks oder Tablet-PCs, die sich per WLAN über öffentliche Hotspots mit dem Unternehmensnetz verbinden, müssen ebenso unterstützt werden wie PDAs und Smartphones, die mit unterschiedlichen Betriebssystemen laufen und mobile Datendienste wie GPRS oder UTMS nutzen. Hinzu kommt, dass die Endgeräte dem direkten Zugriff der Sicherheitsverantwortlichen in der Regel entzogen sind - nicht selten handelt es sich sogar um private Systeme der jeweiligen Anwender.

So vielfältig die Plattformen, so zahlreich sind auch die potenziellen Angriffswege. Längst haben Virenschreiber die zunehmende Zahl von PDAs und Smartphones ins Visier genommen; die Anzahl ungesicherter WLANs ist immens. Zuweilen sind die Endgeräte wegen ihres geringen Ausmaßes und Gewichts auch noch mobiler, als sie es eigentlich sein sollen: Diebstahl und Verlust müssen einkalkuliert werden.

Mobility Policies

Um diesen Gefahren zu begegnen, sind umfassende Schutz- und Sicherheitsmaßnahmen unumgänglich. Dabei geht es nicht nur um die Gerätesicherheit und die Absicherung des Zugangs zum Unternehmensnetz, sondern vor allem auch um organisatorische Maßnahmen. Die Meta Group empfiehlt beispielsweise, vor dem Rollout frühzeitig "Mobility Policies" für die Nutzung von Notebooks, WLANs, PDAs und mobilen Telefonen einzuführen und intern dafür zu werben. Zudem rät Meta den Unternehmen, ein Center of Excellence unter Einbeziehung der Sicherheitsverantwortlichen einzurichten, das die Integration mobiler Geräte und Anwender federführend betreibt.

Eine der wesentlichen Policies wird sich immer mit der Frage befassen, welche mobilen Geräte und Übertragungswege überhaupt für den Zugang zum Unternehmensnetz genutzt werden dürfen. Je weniger mobile Plattformen und Technologien unterstützt werden müssen, desto effizienter lassen sie sich gegen unbefugte Zugriffe absichern. Unkontrollierter Wildwuchs sollte deshalb unbedingt vermieden werden. Grundsätzlich haben private Systeme nichts im Corporate Network verloren, wenn auch kritische Daten abgerufen und verarbeitet werden sollen.

Konfiguration der Geräte

Im günstigsten Fall ist es möglich, für jede zugelassene Gerätekategorie ein Standardmodell mit genau einem freigegebenen Release der System- und Anwendungssoftware zu definieren. So ist sichergestellt, dass auch die Sicherheitskomponenten - Hardware wie Software - einheitlich sein können, was das Security-Management und natürlich auch den Support durch den Helpdesk deutlich vereinfacht.

Die Konfiguration dieser Systeme muss durch die IT erfolgen, da der Anwender erfahrungsgemäß die größte Lücke eines jeden Sicherheitskonzepts darstellt. Hierbei ist das Prinzip der geringstmöglichen Zugriffsrechte zu befolgen, um die Folgen eines eventuellen Missbrauchs klein zu halten. Dies sollte auch und vor allem für leitende Mitarbeiter gelten, wenngleich hier im Einzelfall auch einmal persönliche Befindlichkeiten zu überwinden sind. Aber ein Bereichsleiter braucht keine Administratorrechte.

Sollte einmal ein mobiles Endgerät in falsche Hände gelangen, sind die lokal gespeicherten Daten sowie der Netzwerkzugang in Gefahr. Um zumindest den Zugriff auf das Netz schnell und sicher unterbinden zu können, wird eine Policy benötigt, die genau festlegt, wer bei Verlust oder Diebstahl umgehend zu informieren ist. Damit wird die Möglichkeit geschaffen, das betroffene System gezielt vom Zugang auszuschließen. Bei Smartphones oder sprachfähigen PDAs lässt sich zudem die SIM-Karte unverzüglich sperren.

Lokale Daten schützen

Bleiben die lokalen Daten. Natürlich gilt auch hier der Grundsatz, dass kritische Daten prinzipiell nicht auf dem Endgerät abgelegt werden sollten, sondern auf den zentralen Servern. So die Theorie - in der Praxis ist häufig zumindest eine lokale Zwischenspeicherung erforderlich. Um die Vertraulichkeit der Daten auch beim Verlust des Gerätes zu gewährleisten, ist eine starke Verschlüsselung auf dem Speichermedium - ob nun Festplatte oder Flash Card - erforderlich. Der Verschlüsselungsalgorithmus sollte dabei ausreichend stark sein (beispielsweise AES 256); schließlich hat der "neue Besitzer" das Gerät komplett unter Kontrolle und daher alle Zeit der Welt zum Entschlüsseln. Um ihm schon den Zugang zum Gerät zu erschweren oder unmöglich zu machen, ist eine Passwort-Policy erforderlich, die starke und regelmäßig wechselnde Passwörter erzwingt. Je nach Gerät und Einsatzbereich können Benutzer zudem über biometrische Verfahren wie Fingerabdruckleser oder durch einen USB-Stick überprüft werden.

Starke Authentifizierung

Sollte eine nicht autorisierte Person dennoch Zugang zum Endgerät erlangt haben, steht ihr ohne eine starke Benutzer-Authentifizierung auch der Zugang zum Unternehmensnetz völlig offen. Für diese Authentifizierung eignen sich unterschiedliche Techniken. Die Bandbreite reicht von Benutzernamen und Passwort über biometrische Merkmale bis zu PKI-Lösungen. In der Praxis werden hierfür verstärkt Security Tokens wie beispielsweise Smartcards eingesetzt, die außer ihren Sicherheitsfaktoren auch zur Zeiterfassung, als Geldbörsen oder physikalischer Ausweis dienen können. Durch Smartcards lässt sich nicht nur der Netzwerkzugang, sondern auch der Zugriff auf Firmenressourcen (Anwendungen, Informationen) mit mobilen Endgeräten absichern.

Sichere Zugänge

Deutlich komplexer als die Sicherung der Geräte selbst ist oft die Absicherung der Zugangsnetze. Ob WLAN, GPRS oder UMTS - meist nutzen diese Dienste das öffentliche Internet als Kommunikationsplattform. "Ohne VPN geht hier gar nichts", erläutert Roger Klahold, Chief Technology Officer der Service Factory bei Siemens Business Services. Klahold hat über 1000 Mitarbeiter im Außendienst mit einer mobilen Lösung auf Basis von GPRS-Smartphones ausgestattet, die SBS gemeinsam mit Siemens Communications entwickelt hat. Dabei unterscheidet Klahold zwischen Zugriffen auf die Kernanwendungen im Netz und optionalen Applikationen, die lediglich einen Zugang zum Internet benötigen.

Zugänge zum internen Netz von SBS werden über einen eigenen APN (Access Point Name) beim Provider realisiert. Dieser fungiert gleichzeitig als Endpunkt eines virtuellen privaten Netzes (VPN) auf Basis von IPSec, der seinen Counterpart in der äußeren Firewall des SBS-Netzes hat. Dahinter verbirgt sich eine dedizierte demilitarisierte Zone (DMZ) mit Kommunikations- und Proxy-Server, die exklusiv dem Zugang der mobilen Mitarbeiter dienen.

Einmal-Passwörter verwenden

Die Intranet-Anmeldung erfolgt dabei ausschließlich über Einmal-Passwörter (Tokens), und auch die Endgeräte selbst werden hierbei authentifiziert. Für Zugriffe auf das Internet dagegen wird über einen zweiten APN ein VPN zwischen dem Endgerät und einem separaten VPN-Gateway an der Peripherie des SBS-Netzes aufgebaut. Die Authentifizierung erfolgt hier über einen Radius-Server. "Auf diese Weise ist garantiert, dass auch alle Zugriffe mobiler Mitarbeiter auf das Internet von unseren zentralen Sicherheitsmaßnahmen erfasst werden", erklärt Klahold.

Auch wenn mobile Mitarbeiter, sich per WLAN über öffentliche Hotspots mit dem Unternehmensnetz verbinden oder das Internet nutzen, empfiehlt sich eine solche Absicherung über ein VPN mit einem von der IT kontrollierten Endpunkt, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zwar bemühen sich die Hotspot-Betreiber, den Zugang zum Internet möglichst einfach zu machen, doch für die Sicherheit sind nach wie vor der Anwender beziehungsweise das Unternehmen selbst verantwortlich.

Updates und Patches

Anwender wollen und sollen produktiv sein, und das gilt in besonderem Maße für mobile Mitarbeiter, die oft wenig Zeit für die Kommunikation haben. Es ist ihnen daher nicht zuzumuten - und unter Sicherheitsgesichtspunkten auch kontraproduktiv -, sie mit der Verwaltung und Installation von Updates der System-, Kommunikations- oder Antivirensoftware zu belasten. Hier werden zentral gesteuerte Update-Mechanismen benötigt, über die freigegebene Releases entweder automatisch eingespielt (neue Virenpattern; sicherheitskritische Patches) oder zum Download bei nächster Gelegenheit angeboten werden (neue Funktionen; Komfortmerkmale).

VoIP einbinden

Die Absicherung der mobilen Datenkommunikation ist nur eine Seite der Medaille. Im Rahmen von Konvergenzlösungen nutzen auch mobile Mitarbeiter zunehmend Voice over IP, und das mangels Alternative meist über WLAN und öffentlich zugängliche Hotspots. Da es sich hierbei letztlich auch um Datenkommunikation handelt, lässt VoIP sich ebenso wie diese über ein IPsec-basierendes VPN abwickeln. Mit dem Secure Real Time Protocol (SRTP) nach dem Standard RFC 3711 steht jetzt jedoch eine einfachere Alternative zur Verfügung, bei der sowohl die Signalisierungsdaten als auch die Nutzdaten mit AES verschlüsselt werden, ohne die Qualität der Sprachübertragung zu beeinträchtigen. Als End-to-End-Protokoll ist SRTP zudem unabhängig von der zugrunde liegenden Infrastruktur, was den Einsatz in öffentlichen Umgebungen erst möglich macht. Aber auf dem Firmencampus lässt sich SRTP nutzen, um interne Telefonate abzusichern, die über WLANs geführt werden. Da SRTP ein sehr junges Protokoll ist, wird es von den Herstellern noch nicht auf breiter Front unterstützt; allerdings zeigt Siemens beispielsweise auf der CeBIT eine komplette Lösung auf Basis seiner Hipath-Plattform, die auch das Roaming zwischen mehreren Hotspots unterstützt. (hi)