Es ist der Alptraum eines jeden Security-Verantwortlichen: Ein Endanwender, der sein privat erworbenes Smartphone auch beruflich nutzt und Geschäftsrelevantes lokal gespeichert hat, vergisst sein Gadget im Zug oder in einem Café. Einen Zugriffsschutz per PIN hat er natürlich nicht eingerichtet, ebensowenig ein Tool, um die Daten auf dem verloren gegangenen Gerät aus der Ferne löschen zu können. Der Anwender wie auch sein Arbeitgeber können nun lediglich auf einen ehrlichen Finder hoffen.

Beim Verlust eines ungesicherten Smartphones oder Tablets hat das Unternehmen keinerlei mehr Einfluss darauf, ob die Unternehmensdaten in die falschen Hände geraten. Dann drohen wirtschaftlicher Schaden, Imageverlust und eine Klage wegen Verstoßes gegen Gesetze zum sicheren Umgang mit Kundendaten. „Im Fall einer Novellierung des EU-Datenschutzgesetzes sind Unternehmen verpflichtet, bei Datenverlust bis zu fünf Prozent ihres Weltumsatzes als Bußgeld zu zahlen. Solche Summen könnten sie ernsthaft ins Schleudern bringen“, kommentiert Stephen Midgley, Vice President Global Marketing bei Absolute Software. Abwegig ist dieses Szenario keinesfalls. So ergab erst kürzlich eine Studie im Auftrag von Telefónica, dass bereits in jedem zweiten deutschen Unternehmen Sicherheitsvorfälle aufgrund des Einsatzes privater Smartphones und Tablets aufgetreten seien; jedes fünfte Unternehmen habe Firmeninterna auf diese Weise verloren. Aufgrund solcher Schreckensmeldungen betrachten IT- und Security-Verantwortliche den verbreiteten Trend der „Consumerization“ (Vermischung privater und beruflicher IT-Nutzung) mit großem Argwohn und suchen häufig nach Mitteln und Wegen, um dieser Mischnutzung Einhalt zu gebieten. Dies gleicht einem Kampf gegen Windmühlen: Immer mächtiger werden die Consumer-Gadgets, immer vielfältiger die Apps und Services, mit denen sich die Unternehmens-IT umgehen lässt, immer erfinderischer der IT-affine Endanwender beim Überwinden von Corporate-IT-Hürden – und immer anspruchsvoller wird oft die hauseigene Führungsriege, wenn es darum geht, das schicke neue Ipad oder sonstige Gadget in der Firma zu nutzen.

 

BYOD und Informationssicherheit

Unter der Überschrift BYOD (Bring Your Own Device) steht der Client-Hardware-Aspekt der Consumerization derzeit überall im Fokus. „Unternehmen erleben heute ein Spannungsverhältnis zwischen den Security-Verantwortlichen einerseits und den Anwendern, die ihre Endgeräte beruflich wie auch privat nutzen wollen, andererseits“, so Jörg Hirschmann, CTO bei NCP Engineering. „BYOD wird dabei oft diskutiert, aber mangels praktikabler Realsierungsmöglichkeiten noch nicht umgesetzt. Viele Unternehmen wählen lieber den Weg, den man auf Neudeutsch ‚Choose Your Own Device‘ nennen müsste: Sie rüsten Mitarbeiter mit begehrten Endgeräten wie Ipad oder Iphone aus, sodass die Angestellten mögichst gar nicht erst auf die Idee kommen, ihre Privatgeräte auch beruflich zu nutzen.“ Das Kernproblem aber ist die Informationssicherheit und der kontrollierte Zugang zu Ressourcen – und dieses Problem reicht viel weiter. Selbst aus den hochsicheren IT-Umgebungen Schweizer Banken sollen, wie man hört, immer mal wieder CDs mit Datensätzen ins benachbarte deutschsprachige Ausland verschwinden. Hier lauten die Herausforderungen also Vermeidung des Abflusses unternehmensinterner Daten (Data Leakage Prevention, DLP) sowie Kontrolle der Verhaltens von Benutzern mit hohen Zugriffsprivilegien (Privileged User Management, PUM). Zu derlei Herausforderungen im Data Center gesellen sich vermehrt jene, die mit den zunehmend mobilen Anwendern zusammenhängen. In puncto Mobility beschäftigt sich die Anbieterschaft dieser Tage vor allem mit Fragen der Absicherung des Endgeräts (Endpoint Security) wie auch des sicheren Fernzugriffs für Endanwender via VPN-Clients. So findet man im Apple Itunes Store und auf Google Play fast schon täglich mehr Angebote aus diesem Umfeld. Sie reichen von Cisco Anyconnect und der Check Point Mobile App über Clients wie Hoblink Mobile, Lancom Myvpn, NCP Secure VPN Client for Android oder Sonicwall Mobile Connect bis hin zum verbreiteten Virtual-Desktop-Client Citrix Receiver. Für den mobilen Administrator wiederum gibt es eine wachsende Vielfalt an Remote-Control-Apps für Smartphones und Tablets. VMware-Umgebungen zum Beispiel lassen sich mit dem Vsphere-Client per Ipad verwalten (Stichwort: Vmotion per Swipe), und Firewall-Hersteller wie Fortinet und Genua, um nur zwei Beispiele aus dem Security-Umfeld zu nennen, haben ihre Appliances für die Bedienung per Tablet aufgerüstet. Im LAN greift der stationäre Mitarbeiter klassischerweise mit dem immer gleichen Endgerät über den gleichen Port auf das Netz zu. Zu den technischen Sicherheitsmaßnahmen wie Endpoint Security und Antivirus (siehe Marktübersicht) gesellt sich hier die „soziale Abwehr“ unerlaubter Zugriffe: Die Kollegen sehen, dass der Mensch am PC Mitarbeiter X ist und nicht Hacker Y. Bei Fernzugriffen per Notebook, Tablet oder Smartphone ist diese Situation komplexer: In wechselnden Umgebungen und über wechselnde Netze, heute auch oft mittels wechselnder Endgeräte greift der Mitarbeiter auf das Unternehmennetz zu – und hier gilt es zunächst einmal festzustellen, dass es sich wirklich um diesen Mitarbeiter handelt. Nicht umsonst sind hier Zwei-Faktor-Authentifizierungslösungen gefragt, sei es mittels Token (etwa bei RSA), SMS-Code (zum Beispiel bei Clavister) oder USB-Stick (bei Computent). Zur zentralen Verwaltung, dem Schutz vor Missbrauch der mobilen Helferlein und die Datenlöschung aus der Ferne (Remote Wipe) bei Verlust oder Diebstahl setzen Unternehmen vermehrt auf Mobile-Device-, Mobile-Application- oder Mobile-Security-Management (MDM, MAM, MSM) – siehe dazu die MDM-Testserie der LANline, die mit Tests von Mobileiron (lanl.in/MosnPg) und Good Technology (lanl.in/PPMivp) begann und in Kürze fortgesetzt wird.

 

Problemfall mobiler Fernzugriff

Ein Remote Wipe ist allerdings nicht möglich, wenn gezielter Datendiebstahl vorliegt und der Angreifer das Endgerät vom Netz nimmt, um es lokal auszuspähen. „Client-seitige Sicherheitsmechanismen sind nicht wirkungsvoll, denn wenn ein Angreifer im Besitz der Hardware ist, wird er diese Schutzvorkehrungen umgehen können“, warnt Klaus Brandstätter, Geschäftsführer von HOB. „Die Sicherheitsvorkehrungen sollten deshalb auf der Server-Seite implementiert sein. Über Local Drive Mapping lassen sich selbst Virenprüfungen zentralisieren.“ Ziel einer solchen zentralistischen IT-Architektur ist es, möglichst alles Unternehmensrelevante im RZ behalten, während eine zentrale Kontrollinstanz mittels Policies (Richtlinien) für die Kontrolle über die Fernzugriffe sorgt. Mittels derlei Policies lässt sich die Ressourcennutzung granular steuern: nicht nur abhängig vom User und seiner Rolle, sondern auch von der Zugriffsart (LAN, WLAN, VPN, Mobilfunk), Endgerät (unternehmenseigenes oder fremdes, Notebook oder Ipad), pro Applikation (SAP ist nur im Unternehmensnetz verfügbar, E-Mail überall) oder Funktion (Drucken geht nur im LAN, Leserechte überall). „Unter den Remote-Access-Infrastrukturen sind Terminal-Services oder virtuelle Desktops der sicherste Weg. Eine Alternative bieten volle Netzwerktunnel wie bei IPSec üblich“, erläutert HOB-Chef Brandstätter. Das Problem sei hier die Skalierung beim gleichzeitigen Zugriff zahlreicher Clients. Das Gateway sollte deshalb wie ein Transaktionsprogrammmonitor aufgebaut sein, so Brandstätter: „Die Server-Seite arbeitet vollduplex, merkt sich den Zustand der Sessions und kann vorhandene Rechenleistung entsprechend aufteilen.“ Diese Architektur vermeide Ausfälle, selbst wenn die Hardware an der Grenze ihrer Leistungsfähigkeit arbeitet, und biete damit zugleich Schutz vor Denial-of-Service-Angriffen.

 

Zugriff auf interne und externe Ressourcen

Bei der Ressourcennutzung geht es heute nicht nur um den Zugriff auf das Unternehmensnetz mit seinen physischen und immer öfter virtualisierten Umgebungen bis hin zur Private Cloud, sondern auch um die Verknüpfung mit externen Ressourcen, zum Beispiel Cloud-Services oder extern gehosteten File-Shares. Gefragt ist damit letztlich eine Vermittlungsplattform (Enterprise Ressource Store genannt), die mittels Policies eine genaue Steuerung erlaubt, welche Ressourcen wem wann unter welchen Umständen zugänglich sind. Im Idealfall sind alle Zugriffsmöglichkeiten über eine solche zentrale Vermittungsstelle stringent geregelt, sodass das Endgerät beliebig sein kann. Damit wäre dann selbst BYOD zumindest technisch möglich, wenngleich es immer noch juristische, Clompliance- und Datenschutzprobleme birgt (siehe Beitrag Seite 69). Solche Enterprise Ressource Stores bieten zum Beispiel Citrix mit Cloudgateway 2.0, Cortado mit Corporate Server und VMware mit Horizon Mobile – mehr Details dazu bringt die LANline im Schwerpunkt „Virtual Desktops“ in der kommenden Ausgabe 11. Auch im Hinblick auf BYOD funktional erweiterte IAM-Lösungen (Identity- und Access-Management) wie zum Beispiel Enterasys Mobile IAM oder die Enterprise-App-Store-Konzepte der MDM-Anbieter wie Mobileiron und Good gehen in diese Richtung. Das Problem an solcher Policy-basierter zentraler Kontrolle: Es gilt schnell, eine enorme Vielzahl von Richtlinien zu verwalten und zu überwachen. „Sicherheit bei mobilen Endgeräten erhöht die Komplexität der Security Policies – eine Kontextdimension kommt hinzu. Nicht nur wer von wo auf welche Applikationen und Daten zugreifen darf, muss gesteuert werden, sondern auch welches Gerät – Managed, Unmanaged, der Gerätetyp – zum Einsatz kommt“, so Markus Nispel, Vice President Solutions Architecture bei Enterasys. Moderne IAM-Lösungen seien in der Lage, dies umzusetzen, so Nispel, „sie entbinden den Nutzer aber nicht davon, zuvor eine klare Anforderung zu definieren, wie diese kontextbasierte Policy-Matrix auszusehen hat.“ Wieder einmal drohe hier, dass eine technische Lösung durch organisatorische Probleme – genauer: Ausnahmeregelungen – kaum zu managen ist. Nispels Befürchtung: Es könnte diesen Fernzugriffsrichtlinien so ergehen wie den Firewall-Regeln, die „über die Zeit zu Schweizer Käse mutiert“ seien. Damit gewinnt die Frage der Benutzerfreundlichkeit an Relevanz: einerseits im Hinblick auf den Administrator, der zahlreiche Policies im Griff behalten muss, andererseits aber auch im Hinblick auf die Endanwender. „Unternehmenssoftware sollte heute so einfach zu bedienen sein, wie die Anwender dies von den privaten Apps her kennen. Eine VPN-Einrichtung von Hand ist auch auf dem Iphone nicht trivial und deshalb den meisten Endanwendern nicht zuzumuten. Gefragt sind deshalb Mechanismen oder Apps, die es dem Anwender ermöglichen, mittels weniger Mausklicks die Verbindung zu seinem Unternehmensnetz herzustellen“, erklärt Eckhart Traber, Pressesprecher bei Lancom Systems. Alles andere ist vor dem Hintergrund der Consumerization in der Tat nicht mehr zeitgemäß. Zuguterletzt muss der Mitarbeiter unterwegs auch noch stets darauf achten, dass ihm beim mobilen Zugriff auf sein Unternehmensnetz niemand über die Schulter schaut. Hier kann der Arbeitgeber nur auf die Wachsamkeit und den gesunden Menschenverstand des Arbeitnehmers vertrauen. Denn da hilft (noch) keine Technik – unabhängig davon, ob der Endanwender mit einem Unternehmens-Client oder dem eigenem Device auf Reisen ist. Der Autor auf LANline.de: wgreiner

Für Endgeräte unter Apple IOS und Google Android findet man immer mehr Apps, die für den möglichst einfachen, sicheren Fernzugriff sorgen sollen, im Bild Lancom Myvpn.

Die Anbieter von Security-Lösungen ermöglichen den Administratoren immer häufiger die bequeme Fernverwaltung des Equipments von unterwegs aus, zum Beispiel per Tablet. Im Bild das Tablet-gerechte Interface der Genuscreen-Firewall von Genua.

LANline.