Schutz für mobile E-Mail-Zugriffe

Mobilgeräte haben in den letzten Jahren fest in Unternehmensumgebungen Fuß gefasst. Sie ermöglichen flexibles Arbeiten und höhere Produktivität, vereinfachen den Zugriff auf die Ressourcen einer Organisation und erhöhen idealerweise die Zufriedenheit der Mitarbeiter. Leider bestehen zugleich viele Unwägbarkeiten und Risiken wie Datenverlust, Management-Probleme und der Verstoß gegen Compliance-Vorschriften.

E-Mail ist nach wie vor die von mobilen Anwendern meistgenutzte Applikation. Deswegen sollten alle Mitarbeiter die Möglichkeit haben, ihre E-Mails stets und von allen Standorten aus einzusehen. Gerade hier bleibt die Sicherheit aber häufig außen vor. Lösungen zum Verschlüsseln des E-Mail-Verkehrs sind in der Regel kompliziert, aufwendig zu bedienen und wenig benutzerfreundlich. Deshalb laufen fast alle Mail-Übertragungen im Klartext über das Netz. Damit nicht genug, arbeiten auch viele Mail-Server nach wie vor nicht mit verschlüsselten Login-Passwörtern. Damit riskieren Unternehmen, dass Unbefugte bei Datenübertragungen in öffentlichen Netzen die per Mobilgerät abgerufenen E-Mails mitlesen und sich Zugriff auf E-Mail-Konten erschleichen. Unternehmen benötigen daher eine Lösung, um auch von nichtautorisierten mobilen Geräten aus den sicheren Zugriff auf Unternehmens-E-Mails zu gewährleisten. Eine solche Lösung muss nicht nur sicher sein, sondern sich auch einfach verwalten lassen. Zudem darf sie für Endanwender keinerlei Hürden aufbauen.
Die heute weit verbreiteten Containerlösungen, bei denen alle abzusichernden Informationen und Anwendungen in verschlüsselten Speicherbereichen auf den Geräten abgelegt werden, sind unpraktisch in der Handhabung. Mitarbeiter, die auf Geschäftsdaten oder -Apps zugreifen wollen, müssen sich dabei jedes Mal beim jeweiligen Container einloggen. Meist dauert es daher nicht lange, bis die Benutzer diese Sicherheitslösung umgehen. Sorgt eine Sicherheitslösung aber dafür, dass die Anwender auf ihren eigenen Geräten mit ihren nativen E-Mail-Programmen arbeiten können, ohne dass sie ihren Arbeitsablauf ändern müssen, so ist die Akzeptanz sichergestellt.
Genauso reibungslos und sicher sollte auch die Arbeit der IT-Abteilung sein, die hohe Anforderungen an die Sicherheit von E-Mails, Anhängen und Passwörtern stellt. Um größtmögliche Sicherheit zu gewährleisten, verhindert eine innovative Sicherheitslösung die Speicherung unternehmenseigener Daten und Kennwörter auf Mobilgeräten und belässt die Daten auf dem Unternehmens-Server.
Leistungsfähige Lösungen schützen nicht nur E-Mails und Anhänge, sondern auch Kontakte und Kalendereinträge. So können Mitarbeiter ihre eigenen Smartphones oder Tablets einsetzen und weiterhin ihre nativen Apps für E-Mails, Kontakte und Kalender verwenden. Die Lösung muss dabei auch dann für Datensicherheit sorgen, wenn ein mobiles Gerät gestohlen oder der Datenverkehr in einem öffentlichen Netz kompromittiert wurde. Bei gestohlenen Devices muss die Schutzfunktion auch dann greifen, wenn die SIM-Karte entfernt wurde oder das Gerät ausgeschaltet ist. Dabei sollte die Sicherheits-App alle relevanten Mobile-Betriebssysteme wie Android und IOS unterstützen.
Will ein Unternehmen eine Sicherheitslösung in Betrieb nehmen, die alle oben genannten Anforderungen erfüllt, so sollte es vor der Implementierung einige wichtige Punkte beachten. Eine leistungsfähige Lösung schaltet ein skalierbares Gateway zwischen die mobilen Geräte und den Unternehmens-Server, zum Beispiel einen Exchange-Server. In dieser Position kann sie die Unternehmensdaten am besten schützen. Außerdem vereinfacht diese Topologie die Implementierung und Verwaltung der Applikation, erübrigt sie doch Änderungen am Unternehmensnetz, den verwendeten Protokollen und den Endgeräten, beispielsweise durch die Installation von Agenten.
Beim Zugriff auf Mail-Server und andere Collaboration-Dienste spielt der Schutz der verwendeten Login-Passwörter eine Schlüsselrolle. Kommt für die Datenübertragung das bei vielen Mail-Diensten eingesetzte Activesync-Protokoll zum Einsatz, so setzt dies voraus, dass die Unternehmens-Zugangsdaten auf dem mobilen Client hinterlegt sind. Dies öffnet Tür und Tor für Hacker, die ein gestohlenes oder gefundenes Mobilgerät im Offline-Modus nach Passwörtern durchsuchen und vorhandene Verschlüsselungen knacken könnten. Möglich wäre auch Passwortdiebstahl beim Login über offene Netze.
Deswegen setzen ausgereifte Sicherheitslösungen auf eine mehrstufige Authentifizierung. So ist es zum Beispiel möglich, einen Teil des Passworts auf dem Server zu speichern, der andere Teil befindet sich auf dem mobilen Endgerät. Das Gerät baut dann eine Verbindung zum Collaboration-Server auf, dieser setzt anschließen lokal das komplette Passwort zusammen und führt den Login bei der Collaboration-Lösung durch. Fällt zum Beispiel ein Tablet in falsche Hände, haben Hacker keine Chance, da das vollständige Passwort nicht auf dem Gerät vorhanden ist und auch nicht über das öffentliche Netz übertragen wird.
Die Integrität der Unternehmensdaten lässt sich nur dann sicherstellen, wenn keinerlei kritische Informationen - auch jenseits der Passwörter - auf den Endgeräten gespeichert sind. Deswegen schaltet sich ein Mobile Security Gateway in die Datenübertragungen zwischen Unternehmens-Server und mobilem Endgerät ein und schickt sämtliche Daten nur über eine SSL-verschlüsselte Verbindung nach außen. Nach einmaligem Login erscheint auf dem Bildschirm der Inhalt der Mails nur über einen Link - ähnlich wie bei einem Web-Browser. Die Benutzer sind so zwar in der Lage, ihre Informationen mit ihrem nativen E-Mail-Client abzurufen, nach Schließen des Programms bleiben aber keine kritischen Informationen auf dem Smartphone oder Tablet zurück. Die E-Mails und Anhänge verbleiben stets auf dem Server, Funktionen wie Copy and Paste sind in einer solchen Konfiguration aus Sicherheitsgründen nicht aktiv.
 
Zentrale Verwaltung
Üblicherweise läuft die Verwaltung einer solchen Gateway-Lösung über ein Web-Interface ab. Damit lassen sich von einer zentralen Stelle aus die Datenübertragungen zu allen mobilen Geräten absichern, was den Administratoren die Arbeit stark vereinfacht und bei Lösungen auf Container-Basis üblicherweise nicht möglich ist.
Eine derartige Verwaltungskonsole sollte eine Vielzahl an Funktionen bereitstellen. Dazu gehört zunächst einmal eine Übersicht über die im Netz vorhandenen Geräte und Benutzer. Von besonderer Bedeutung ist die Definition der Policies: Umfassende, granulare Richtlinien helfen Administratoren, den Zugriff auf Unternehmensdaten zu steuern, das Netzwerk in Echtzeit vor Datenverlust zu schützen (Data Leakage Prevention, DLP) und Compliance-Vorgaben einzuhalten. Alle Daten, die das Gateway passieren, werden gemäß vordefinierten Regeln kontrolliert und gefiltert oder blockiert. So ist es beispielsweise möglich, Informationen wie etwa Kreditkartendaten oder Adressen vor der Übertragung aus Kontaktdatensätzen auszufiltern und nur die erforderlichen Datensätze an die mobilen Benutzer zu schicken.
Die DLP-Richtlinien lassen sich auf Basis der Inhalte wie auch der IP-basierten Geokoordinaten, die den Aufenthaltsort des jeweiligen Nutzers sichtbar machen, konfigurieren. Damit unterstützen diese Richtlinien die Absicherung der Datenübertragungen ebenso wie die Einhaltung von Compliance-Regeln und die Vermeidung von Haftungsrisiken.

Lesen Sie mehr zum Thema