Neue Anforderungen durch Mobilität und BYOD

IAM im Wandel

4. Juli 2012, 6:00 Uhr | Markus Nispel/wg, Chief Technology Strategist bei Enterasys.

Consumerization - der Einzug von Technik aus dem privaten Umfeld in die Unternehmen - ist ein nachhaltiger Trend: Kein Tag vergeht, an dem Endanwender ihre IT-Abteilungen nicht auf neue Anwendungen und Geräte aus dem privaten Bereich aufmerksam machen - die man nun gefälligst im Unternehmen nutzen will. Die Unternehmens-IT ist mit immer anspruchsvolleren Benutzern und immer mehr Endgeräten konfrontiert. Entsprechend erweiterte IAM-Lösungen (Identity- und Access-Management) müssen zum Einsatz kommen, um Wildwuchs zu vermeiden.Richtig genutzt kann Consumerization die Effizienz und die Produktivität der Mitarbeiter steigern - bei sinkenden IT-Kosten. Der IT-Leiter wird jedoch zum Getriebenen: Wenn er sich zu lange diesem Trend verschließt, kann er nicht mehr agieren, sondern nur noch reagieren. Dies führt zu Frustration bei den Mitarbeitern, in der Folge aber auch zur höheren Kosten im Betrieb der gesamten IT-Infrastruktur, zum Beispiel wenn die IT kurzfristig auf Insellösungen für BYOD (Bring Your Own Device) setzt, statt eine Gesamtarchitektur zur Unterstützung von Mobilität im Unternehmen zu etablieren.

Das Igonieren dieses Trends durch die IT erhöht zudem das Risiko für das Unternehmen, da Geräte und Applikationen unkontrolliert Einzug ins Netz halten. Laut "SANS Annual Mobile Security Survey" vom April 2012 verfügen weniger als zehn Prozent der Unternehmen heute über eine vollständige Sicht und das Wissen, welche Personen und Geräte sich in ihrer Netzwerkinfrastruktur tummeln. Doch die Fragen, wo sich die Geräte befinden, um welche Gerätetypen es sich handelt und wer die Devices benutzt, werden essenziell, um das Netz eines mobilen Unternehmens in Zukunft kosteneffizient, sicher und flexibel managen zu können. Das Netzwerk wird damit strategischer denn je: Die Einbindung der Netzinfrastruktur in IAM-Lösungen ist eine Voraussetzung, um automatisiert zu steuern, welche Person mit welchem Gerät an welchem Ort Zugriff auf welche Applikationen innerhalb und außerhalb des Unternehmens erhalten soll.

Traditionelles IAM reicht nicht

Einerseits reichen bisherige IAM-Lösungen, die nur die Applikationswelt des eigenen Unternehmens abdecken, nicht mehr aus: Neben der Erweiterung in Richtung Netzwerkinfrastruktur ist auch die Einbindung in die wichtigsten Cloud-basierten Dienste notwendig, um Sicherheit und Effizienz zu gewährleisten. Andererseits ist aber auch der Fokus auf die Unterstützung von BYOD allein problematisch, denn zudem muss sich die Applikationsinfrastruktur verändern. Die Nutzung Cloud-basierter Dienste bewirkt häufig, dass der Web-Browser und damit HTML das primäre Interface bildet; HTML5 bietet hier nochmals eine ganze Reihe neuer Möglichkeiten. Dies führt zum einem einfacheren Support-Modell für BYOD: Die komplexe Installation und Wartung von Software auf einer Vielzahl von Geräten und Betriebssystemen entfällt.

Doch Lösungen, die nur auf BYOD fokussieren, reichen hier nicht aus: Sie vernachlässigen die restliche Infrastruktur und führen nicht zum gewünschten Ergebnis, weder im Hinblick auf Flexibilität, noch auf die Gesamtkosten. Denn BYOD lässt sich vom Gäste-Management ebensowenig trennen wie von der Steuerung des Zugriffs auf die eigene Office-IT und weitere Systeme wie Produktionssteuerung, Medizingeräte, Gebäudesteuerung etc. Zum einen würde diese Trennung durch die Beschaffung, Installation und den Betrieb unterschiedlicher Lösungen zu erhöhten Kosten führen, zum anderen wäre sie technisch kaum möglich oder würde neue Sicherheitslücken aufreißen.

Wissen ist Macht

Ohne das Wissen über Benutzer und Geräte ist es der IT typischerweise nicht möglich, das mobile Unternehmen effizient und zu niedrigen Kosten optimal zu unterstützen. Gefragt sind deshalb Lösungen, die das Identity- und Access-Management auch im mobilen Umfeld ganzheitlich abdecken (Mobile IAM). Mit solchen Lösungen führt die IT zunächst ein Auto-Discovery und Device Profiling durch, um eine umfassende Sicht auf die Netzwerkinfrastruktur und die angeschlossenen Systeme zu erlangen: Welche Benutzer befinden sich mit welchen Gerätetypen wo in meinem Netz? Hierzu verwerten moderne IAM-Lösungen zahlreiche Attribute zu Geräten und Benutzern: von der MAC-Adresse über die IP-Adresse, Gerätetyp und Betriebssystem, Switch und Port, Access Point und SSID, Zugriffsart (intern oder extern via VPN), Benutzername, Ort und Uhrzeit - es entsteht sozusagen ein digitaler Fingerabdruck. Diese IAM-Lösungen liefern Informationen auf der Basis aktueller wie auch historischer Daten.

Danach ermöglicht es eine kontextbasiert arbeitende Policy Engine, den Zugriff auf Applikationen anhand dieser Informationen zu steuern. Typischerweise zieht sie dafür Authentifizierungsverfahren, Gerätetyp und -identität, Benutzer(gruppe), Lokation und Uhrzeit heran. Ein Anwender kann dadurch mit einem von der IT verwalteten Gerät andere Zugriffsrechte erhalten als beim Einsatz eines BYOD-Geräts - und bei diesem lässt sich nochmals unterscheiden, ob er zum Beispiel ein Ipad oder ein Notebook nutzt. Bei einem Umzug im Unternehmen muss die Zugriffssteuerung automatisch mitwandern und dokumentiert werden, damit die IT entsprechend schnell und effizient Support leisten kann. Denn mobile Anwender verursachen laut einer aktuellen Umfrage von Enterasys 75 Prozent der Trouble Tickets.

Die Herausforderungen beim Einsatz mobiler Endgeräte und in BYOD-Szenarien sind nicht identisch, vielmehr unterscheiden sie sich deutlich. Mobile Endgeräte wie Smartphones und Tablets sind aufgrund der Hardware- und Betriebssystemvielfalt wesentlich schwieriger zu beherrschen als die traditionell zentral verwalteten, meist Windows-basierten Desktops und Laptops. Bei den mobilen Geräten sind Blackberry OS, Apple IOS, Android, Windows Mobile/Phone und andere zu unterstützen. Oft fehlt es auch an der Instrumentierung von Management-Möglichkeiten, wobei Apple mit IOS 5 einiges nachgeholt hat, Microsofts Windows Phone aber erst noch gleichziehen muss. MDM-Lösungen (Mobile Device Management) und -Startups schießen deshalb wie Pilze aus dem Boden. Diese Anbieter konzentrieren sich aber mehr auf die Konfiguration der Geräte, das Management von Applikationen und Daten auf diesen sowie auf das Verlustrisiko (durch zentrales Löschen der Daten mittels Remote Wipe im Verlustfall).

BYOD verschärft diese Problematik durch das private Eigentumsverhältnis und die Vermischung privater und geschäftlicher Daten auf einem Gerät - und BYOD ist nicht auf mobile Geräte wie Tablets und Smartphones beschränkt. Generell stellt sich die Frage, ob die IT-Abteilung BYOD-Geräte verwalten sollte: Schließlich wollte man doch gerade die Kosten senken und die Flexibilität der Anwender erhöhen. MDM-Lösungen und Vorgaben zur Nutzung von Apps schränken diese Flexibilität aber gerade wieder ein.

Je nach Anforderung ergibt sich heute ein eher uneinheitliches Nutzungsbild entsprechender Lösungen, manch ein Unternehmen verfolgt sogar verschiedene Ansätze gleichzeitig: MDM für von der Unternehmens-IT bereitgestellten Geräte, VDI (Virtual Desktop Infrastructure) für hochsensible Applikationen und einen eher offenen Ansatz für BYOD. Hohe Sicherheit erkauft man sich hier aber durch eine oft begrenzte Benutzbarkeit - man versuche nur einmal, einen Virtual Desktop unter Windows 7 über ein Smartphone zu steuern - sowie durch mangelnde Unterstützung nativer Apps.

Schutzbedarfsanalyse

Vor einer Einführung von BYOD sollte unbedingt eine genaue Schutzbedarfsanalyse erfolgen, um die optimale Lösung für mobile Geräte und BYOD in der eigenen IT zu finden. In einem ersten Schritt sollte der Projektleiter in Abstimmung mit den IT-Verantwortlichen des Unternehmens auf Basis der bestehenden Dokumentation zur Orientierung ein Lagebild erstellen, um im Anschluss daran in einem Workshop die Schutzbedarfsanalyse zu erarbeiten. Diese enthält eine Aufstellung aller schützenswerten Assets (Systeme und Datenbestände) des Unternehmens. Auf dieser Basis lässt sich in gemeinsamer Diskussion für jedes Asset der nötige Schutzbedarf anhand der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität ermitteln.

Wie kann die IT nun auch die Verwaltung neu ans Netz angeschlossener Geräte, wie sie in BYOD-Umgebungen der Regelfall sind, dauerhaft automatisieren? Vorteilhaft ist hier ein Zusammenspiel von Mobile-IAM- mit IDM-Systemen (Identity-Management). Das IDM-System verwaltet die Anwender des Netzwerks und aller darauf laufenden Applikationen an zentraler Stelle. Auf dieser Basis kann ein automatischer Informationsaustausch und -abgleich zwischen IDM-System und anderen Anwendungen erfolgen. Ein Beispiel: Verlässt ein Mitarbeiter das Unternehmen, übernimmt das IDM-System diese Information automatisch aus dem Personalsystem. Der Anwender wird aus dem IDM-System gelöscht, was sicherstellt, dass er sich nicht mehr Zugang zu Unternehmensinterna verschaffen kann.

Die IDM-Lösung liefert im Idealfall automatisch Informationen über die veränderte Rolle und die daraus resultierenden veränderten Rechte an das Mobile-IAM-System - ohne den Umweg über den Helpdesk. Ein weiterer Vorteil dieser Kombination: Der Zugang mobiler Anwender zu spezifischen Ressourcen lässt sich einfach rollen- oder rechtebasiert steuern. Außerdem können Benutzer über Self-Service-Funktionen zusätzliche Rechte anfordern, der Genehmigungsprozess läuft ebenfalls automatisch.

Eine Mobile-IAM-Lösung kann in BYOD-Szenarien zudem das Onboarding (die Ausstattung eines neuen Mitarbeiters mit Software und Zugriffsrechten) erleichtern. Eine Möglichkeit wäre hier, dass ein Mitarbeiter jedes beliebige Endgerät an die Netzwerkinfrastruktur anschließen kann, sofern er einen Account im zentralen Active Directory besitzt. Jeder Zugangspunkt zur Netzwerkinfrastruktur ist dabei per Authentifizierung gesichert; dies gilt für drahtgebundene, drahtlose und VPN-basierte Zugänge. Unbekannte, also nicht durch AD-Accounts authentifizierte Geräte überführt das IAM-System automatisiert in den Gästeregistrierungsprozess. Auch hier entsteht für die Unternehmens-IT also kein weiterer Aufwand, und falls Support zu leisten ist, lassen sich Benutzer und Gerät schnell im Netz lokalisieren. Kontextbasiertes Policy-Management erlaubt dabei die Unterscheidung zwischen unregistrierten Devices, Endgeräten von Gästen, BYOD-Hardware von Mitarbeitern und komplett verwalteten Geräten.

Von einem CIO stammt das Bonmot: "Ich messe meinen Erfolg an meiner Fähigkeit, wie schnell ich Kontrolle aufgeben kann." Aber man muss die Kontrolle nicht vollständig aufgeben, sondern eine neue Balance finden. Ein erweitertes Identity- und Access-Management gehört als Kernbaustein dazu.

Eine Mobile-IAM-Lösung erstellt den "digitalen Fingerabdruck" eines Endgeräts - unabhängig davon, ob es sich um ein von der Unternehmens-IT verwaltetes oder ein privat beschafftes Device handelt. Bild: Enterasys

IAM-Lösungen müssen in BYOD-Szenarien nicht nur mit PCs in Home Offices, sondern auch mit Endgeräten umgehen können, die die Mitarbeiter oder Gäste mitbringen. Bild: Enterasys
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Renovatio

Weitere Artikel zu Extreme Networks

Matchmaker+