Mobile Endgeräte – Angriff auf die sichere Burg?

Ganzheitliche Ansätze sorgen für Sicherheit von Juliane Lengning

Die heutige Arbeitswelt erfordert mobile Arbeitsformen. Notebooks, USB-Sticks und drahtlose Zugangsmöglichkeiten zu Netzen gehören auf der technischen Seite zum Arbeitsalltag, begleitet von flexiblen Arbeitszeitmodellen und variablen Arbeitsorten auf der organisatorischen Seite. Mit diesen Optionen erweitert sich auch das Gefahrenspektrum. Über die „klassische“ gemanagte Server- und Desktopinfrastruktur hinaus müssen die IT-Sicherheitsverantwortlichen in den Unternehmen nunmehr auch noch über eine steigende Zahl mobiler Geräte und deren Aktivitäten im Unternehmensnetzwerk wachen. Abhilfe schaffen kann nur ein umfassendes Konzept zur Sicherheit aller Endgeräte. Es muss Technologie und Unternehmenspolicy in einer leistungsfähigen Einheit kombinieren und dafür sorgen, dass die „sichere Burg“, die die Unternehmens-IT idealerweise darstellt, über ebenso sichere Außenposten verfügt.

Externe Anforderungen – Interne Strategie
Aufgrund der Tatsache, dass der lange Arm der Unternehmens-IT-Richtlinien oft weder in das heimische Arbeitszimmer noch bis zu den Hot Spots in Cafes oder Flughafen-Lounges reicht, resultieren zahlreiche Gefahrenszenarien: Laptops, die per WLAN ohne Wissen des Nutzers angezapft werden, USB-Sticks, die unabsichtlich Spyware ins Netzwerk laden und zum Ausspionieren oder Diebstahl von Daten genutzt werden, oder Mitarbeiter, die von zuhause Daten per Peer-to-Peer-File Sharing-Technologie austauschen.

Verlangsamen oder gar stoppen lässt sich die Entwicklung zu mehr Mobilität bei der Arbeit nicht – auch Verbote (z.B. der Nutzung kabelloser Verbindungen) wären nicht sinnvoll, da man ja auch die Vorteile moderner Kommunikationsmittel nutzen möchte. Die einzig mögliche Antwort auf die Herausforderung lautet: ein Sicherheitskonzept, das technologisch und organisatorisch in der Lage ist, sämtliche Endgeräte einzubeziehen und entsprechende Gefahrenherde systematisch auszuschließen. Eine umfassende Lösung muss granulare, präzise auf die jeweiligen Nutzergruppen im Unternehmen zugeschnittene Richtlinien beinhalten. Damit gewährleistet sie, dass sich die erforderlichen Sicherheitsfunktionen in verschlüsselter Form auf wirklich jedem Endgerät befinden. Eine solche Lösung muss auch außerhalb der Unternehmens-Firewall (ohne SSL-Links) bestehen können. Weiterhin sollte eine taugliche Lösung in der Lage sein, jeden Vorfall, der eine aktive Durchsetzung der Richtlinien erfordert, zu dokumentieren und zu berichten sowie eine skalierbare Distributions-Architektur zur Sicherung unverzüglicher Updates bei einer Vielzahl von Endgeräten aufweisen.

Die Kernelemente, auf die es bei einer geeigneten Sicherheitslösung ankommt, sind heute nicht nur ein aktueller Virenschutz und eine leistungsfähige Firewall, sondern auch Kontrollmechanismen, die den Netzwerkzugang sowie den Zugriff auf Applikationen und Geräte regeln und so für Integrität am Endgerät sorgen. Von elementarer Bedeutung ist auch die Integration mobiler Geräte wie USB-Sticks und schreibfähiger CD-Laufwerke in die Richtlinien. Entsprechende Kontrollmechanismen sollte dabei gewährleisten, dass sensible Daten nur auf einer lokalen Festplatte verfügbar sind, andere lokalen Speichermedien jedoch nicht zugelassen werden – so dass sie z.B. nicht auf einen USB-Stick gespeichert werden können.

Risikofaktor WLAN
Viele Unternehmen nutzen heute drahtlose Netzwerke. Zudem sind nahezu alle Notebooks mit entsprechenden Access Points (APs) ausgestattet. Auch viele der privaten Notebooks, die beruflich genutzt werden, verfügen über solche Zugangsstellen. Die Risiken, die sich daraus ergeben, bestehen unter anderem in der (unbeabsichtigten) Überlappung mit benachbarten WLAN-Netzen oder der Installation von vorgetäuschten Access Points durch Hacker. Auch die parallele Nutzung von WLAN und einer konventionellen Netzwerkverbindung oder die Installation unautorisierter Access Points gehören zum Gefahrenspektrum.
Sicherheit bringen kann hier nur eine Lösung, die in der Lage ist, die entsprechenden Unternehmens-Richtlinien jederzeit und überall durchzusetzen: ein zentralisiertes WLAN-Sicherheitsmanagement. Dazu gehören unter anderem die kontinuierlichen Aufzeichnungen sämtlicher WLAN-Aktivitäten, die Dokumentation der Compliance aller Endgeräte sowie die Möglichkeit der Blockade von Ad-hoc-Verbindungen. Zur Abwehr von Schadcode und Hackerangriffen sind stetige Updates von Virenschutz- und Anti-Spyware-Programmen erforderlich. Wird der betreffende Rechner wieder an das Unternehmensnetzwerk angeschlossen, sollte sich die Fähigkeit zur drahtlosen Verbindungsaufnahme sofort automatisch abschalten, so dass eine risikoreiche doppelte Verbindung von vorne herein ausgeschlossen wird. Zusätzlich sollte eine Netzwerkszugangs-Kontrolle implementiert sein, die Geräte, die sich im Netzwerk anmelden wollen, auf eine Reihe von sicherheitsrelevanten Richtlinien hin prüft.

Alexander Tsolkas