Wenn Mobilgeräte-Apps mit gängigen Cloud-Diensten sicher interagieren sollen, reicht eine Authentifizierung per Benutzername und Passwort nicht mehr aus. Ein angemessenes Sicherheitskonzept muss weitere Parameter berücksichtigen. Die Basis dafür liefert ein EMM-System (Enterprise-Mobility-Management).

In den Unternehmen ersetzen zunehmend Smartphones und Tablets die traditionellen PCs und Laptops als primäre Endgeräte. In der Folge greifen die Nutzer dann mithilfe mobiler Apps auf die Datenbestände eines Unternehmens zu. Solche Datenbestände liegen immer häufiger in Cloud-Speichern. Potenzielle Sicherheitslücken sind damit vorprogrammiert.

Die Zugriffsmöglichkeiten von überall und zu jeder Zeit aktivieren einerseits ein großes Produktivitätspotenzial bei den Mitarbeitern, andererseits ergeben sich neue Gefahrenherde für die Unternehmensdaten. Denn diese werden treuhänderisch in der Cloud verwaltet, können aber gerade durch die Vielzahl an Zugriffsmöglichkeiten leicht in unbefugte Hände gelangen. Unternehmen benötigen deshalb ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud: Wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu?

Der Zugriff per mobilem Endgerät und App ist fundamental anders als der via Browser auf einem traditionellen PC oder Laptop, der vollständig unter Kontrolle der Unternehmens-IT ist. Denn die Browser-Sitzungen sind nur temporär und es gelangen keine Daten auf Speichermedien. Folglich kann eine App oder ein Service die Inhalte nicht einfach anderen Apps zur Verfügung stellen.

Ganz anders stellt sich die Situation im Fall von Mobilgeräte-Apps dar: Anwender können diese auf unternehmenseigene wie auch auf nicht-administrierte Geräte herunterladen. App-Sitzungen sind dauerhaft, und auf dem Endgerät lassen sich Daten speichern, sodass es relativ einfach ist, Inhalte anderen Apps zur Verfügung zu stellen oder sie irgendwo in der Cloud zu speichern.

Neue Sicherheitslücken

Transformiert ein Unternehmen seine Geschäftsprozesse aus traditionellen PC-Umgebungen in ein Umfeld mit mobilen Apps und Cloud-Services, muss es seinen Sicherheitsansatz unbedingt neu fassen. Benutzerkennung und Passwort reichen in der Cloud-Welt nicht mehr aus. Die Problematik lässt sich an drei Beispielen erklären, die in der Geschäftswelt täglich vorkommen:

Beispiel 1: Ein Mitarbeiter möchte zu Hause einige Informationen auf Salesforce nachschauen, hat aber sein Unternehmens-Tablet am Arbeitsplatz gelassen. Bei traditionellen Sicherheitseinstellungen könnte er jederzeit sein privates Tablet nehmen, Benutzername und Kennwort eingeben und sich dann die entsprechenden Unternehmensdaten auf das private Tablet ziehen, das nicht unter der Kontrolle der Unternehmens-IT steht. Damit wären dann kritische Unternehmensdaten in der Cloud gespeichert und unter Umständen weltweit allgemein einsehbar. Unbefugte könnten mit relativ wenig Aufwand auf diese Daten zugreifen, sie manipulieren oder entwenden.

Ablauf einer Redirection der Authentizifierung bei der Cloud-Nutzung per Mobilgerät: Das SAML-Token (im Schaubild symbolisiert durch das „T“) garantiert, dass man für die verschiedenen Operationen nicht immer wieder alles neu eingeben muss. Bild: Mobileiron

Beispiel 2: Ein Mitarbeiter lädt eine App wie beispielsweise Office 365 nicht vom genehmigten Unternehmens-App-Store, sondern von einem unkontrollierten App Store herunter. Mit einem traditionellen Authentifizierungsansatz kann der Mitarbeiter ohne Probleme mit dem „wild erworbenen“ Office 365 auf sensible Unternehmensdaten zugreifen. Diese Daten können anderen unsicheren Apps ebenso zur Verfügung stehen wie nicht-autorisierten Cloud-Services. Überdies kann die IT-Abteilung des Unternehmens die Daten nicht löschen, wenn das Gerät verloren geht.

Beispiel 3: Ein Unternehmensmitarbeiter entdeckt eine neue „coole“ App und verbindet sie mit seinem Unternehmenskonto von Box. Das geht ohne Weiteres, wenn dafür nur Benutzername und Kennwort nötig sind. Diese App könnte Schadsoftware enthalten, die öffentlich verfügbare Box-APIs nutzt, um sensible Unternehmensdaten auf einen nicht-autorisierten Cloud-Service hochzuladen. Dann hat das Unternehmen ein erhebliches Sicherheitsproblem.

Die Schlussfolgerungen aus diesen Beispielen sind klar: Sicherheitsprüfungen dürfen sich nicht auf die Frage beschränken, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist. Vielmehr sind weitere Parameter zu prüfen: ob das Endgerät, das der Anwender benutzen will, nicht manipuliert ist (durch Jailbreak oder Rooting); aus welcher Region es Zugriff erhalten will; was für eine IP-Adresse es hat; womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt (drei Uhr nachts Ortszeit ist eventuell verdächtig). Nicht zuletzt ist abzuprüfen, ob das Gerät unter der Kontrolle eines EMM-Systems steht, sodass die Unternehmens-IT bei Bedarf vollen Zugriff auf die Business-Apps und den unternehmenseigenen Datenbestand des Geräts hat.

Die hier formulierten Anforderungen einer Zugangskontrolle jenseits der bloßen Identitätsprüfung sind im Bereich der Netzwerkzugangskontrolle (Network Access Control, NAC) bereits verwirklicht. Entsprechende Sicherheitsmechanismen gibt es auch für den Cloud-Zugriff: Ein CASB (Cloud Access Security Broker) dient sozusagen die Türwächter für die Cloud. Diese Systeme sind derzeit aber immer noch weitgehend auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich wenig skalierbar. Auch können sie Mobilgeräte nicht nach dem Grad ihrer Richtlinienkonformität beurteilen (sind die Geräte unter Kontrolle der IT oder nicht?), ebensowenig nach ihrem Sicherheitszustand (ist das Betriebssystem manipuliert?).

Das Access Dashboard der EMM-Lösung zeigt mittels Statistiken, welche Services geblockt sind und welche nicht. Bild: Mobileiron

Das Prüfen des Gerätezustands ist in Zeiten der mobilen IT ein wesentlicher Faktor. Insofern liegt es nahe, von den Mechanismen der EMM-Systemen auszugehen, wenn man Zugriffe mobiler Geräte und Apps auf Unternehmensdatenbestände sicher und richtlinienkonform steuern will. Dazu muss ein solches EMM-System so erweitert sein, dass man Apps und Mobilgeräte, die auf Unternehmensdaten zugreifen, auf die oben geschilderten Sicherheitsparameter hin überprüfen kann.

Das EMM-System allein kann nämlich nicht verhindern, dass Nutzer mit nicht-verwalteten Apps oder einen nicht-verwalteten Browser auf Cloud-Services wie beispielsweise Dropbox zugreifen und Unternehmensdaten in diese Cloud-Speicher verschieben. Ein IAM-System (Identity- und Access-Management) allein wiederum garantiert keine ausreichende Sicherheit in den genannten Fällen. Gefordert sind vielmehr zusätzliche Authentifizierungsmechanismen für die Überprüfung von IP-Adresse, Geräte-Compliance, Zugriffszeitpunkt etc. Diese Kontrollmechanismen leitet man im Idealfall über den ohnehin schon vorhandenen „Türwächter“ (Proxy) des EMM-Systems um (Redirection). Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel SAML (Security Assertion Markup Language) sorgen dafür, dass keine Anpassungen der Cloud-Apps erforderlich sind.

Ist ein solches auf mobile Endgeräte ausgerichtetes Cloud-Access-System installiert, können Unternehmen und Mitarbeiter von den Produktivitäts- und Usability-Vorteilen der mobilen Cloud-Services profitieren, ohne dass sensible Unternehmensdaten in falsche Hände kommen. Der Tenor entsprechender Sicherheitsmaßnahmen muss sein: Zugang zu Cloud-Apps haben nur vertrauenswürdige Benutzer auf vertrauenswürdigen Geräten mit vertrauenswürdigen Apps.

Peter Machat ist Vice President EMEA Central bei Mobileiron, www.mobileiron.com.