Suchen Suchen Kontakt Kontakt Home Home
Über uns
Lösungen &
Services
Events
Schulungen
Partner
Presse
Medienmitteilungen
Fachartikel
Jobs & Karriere

InfoTrust AG
IT Security Solutions
Riedhofstrasse 11
Postfach
CH-8804 Au ZH
Tel. +41 (0)43 477 70 10
Fax +41 (0)43 477 70 12
info@infotrust.ch
Presse
>> Fachartikel

Sicherer Zugriff auf Unternehmensdaten - zeit- und ortsunabhängig

Quelle: CASH, Schutz und Sicherheit, 26. Oktober 2006
Autor: Tom Hager, CEO, InfoTrust

Mitarbeiter sollen jederzeit und von jedem Ort sicher auf Unternehmensdaten zugreifen können. Dies ist eine Anforderung, die nicht nur in grossen Unternehmen stark zunimmt. Vor der Implementierung einer solchen Remote-Access-Lösung müssen zwingend die Ziele bzw. der Nutzen definiert sowie die damit verbundenen Risiken analysiert werden. Nur dadurch kann sichergestellt, dass die Remote-Access-Lösung sicher und nutzbringend eingesetzt wird.

Mit Hilfe von Remote-Access-Lösungen können ausgewählte Geschäftsprozesse unterstützt bzw. optimiert werden, z. B. mittels Zugriff auf E-Mails über Smart Phone oder auf Customer Relationship Managementlösungen (CRM) über Notebook. Unter Remote Access wird ganz allgemein der Zugriff von ausserhalb des Unternehmens auf Unternehmensdaten verstanden. Die klassische Art von Remote Access ist die direkte Einwahl via Modem in das Unternehmensnetzwerk. Diese Art der Einwahl wurde durch die Kommunikation über das Internet abgelöst.

Ein essentieller Bestandteil bei der Einführung einer Remote-Access-Lösung ist die Konzeptphase. In dieser wird klar festgelegt, welche Applikationen bzw. Unternehmensdaten über den Remote Access welchen Mitarbeitern zugänglich gemacht werden. Auch zu definieren gilt, mit welchen Geräten auf das Unternehmensnetzwerk zugegriffen werden kann. In der Praxis werden den Mitarbeitern oft vom Unternehmen verwaltete Notebooks zur Verfügung gestellt. Dies hat den Vorteil, dass die Kontrolle des Notebooks in der Hand der Informatikabteilung liegt und somit einem definierten Sicherheitsstandard entspricht. Neben dem Notebook kommen auch Endgeräte wie Smart Phones, Black Berrys und Mobiletelefone zum Einsatz. Auch bei diesen Geräten muss konsequent das Ziel der Optimierung der Geschäftsprozesse verfolgt werden. Es ist definitiv der falsche Ansatz, diese Geräte nur als technisches Gadget oder Prestigeobjekt einzuführen. Der Standort des Mitarbeiters beim Zugriff auf das Unternehmensnetzwerk ist in der Konzeptphase ebenfalls zu berücksichtigen. Ein Aussendienstmitarbeiter, der täglich unterwegs ist und sich über verschiedene Anbieter über Kabel oder WLAN im Hotel oder am Flughafen oder über GPRS, EDGE, UMTS, HSDPA ins Internet einwählt, ist aus Sicht der nötigen Sicherheitsmassnahmen anders zu behandeln als ein Mitarbeiter, der von seinem Heimarbeitsplatz über ADSL oder einem Breitbandanschluss mit dem Unternehmen kommuniziert. Generell wird durch den Remote Access das Unternehmensnetzwerk an Standorte verlängert, die nicht mehr in der Kontrolle des Unternehmens liegen. Die Möglichkeiten für die Absicherung dieser Standorte beschränken sich nur auf die für den Remote Access verwendeten Geräte. In der Konzeptphase werden deshalb die Sicherheitsmassnahmen für die eingesetzten Gerätetypen entsprechend den möglichen Risiken definiert.

Vor dem Zugriff auf das Unternehmensnetzwerk muss sich der Mitarbeiter sicher authentisieren. Diese Authentisierung wird im einfachsten Fall über Benutzernamen und Passwort realisiert. Mitarbeiter, die auf unternehmenskritische Daten oder von fremden Rechnern her zugreifen, sollten sich zwingend mit einem One-Time-Passwort authentisieren. Dieses Passwort ist nur eine bestimmte Zeit gültig und kann nur einmal verwendet werden. Gelöst wird diese Anforderung mit einer elektronischen Token-Karte, z. B. in Form eines Schlüsselanhängers. Nach erfolgreicher Authentisierung erhält der Mitarbeiter Zugriff auf die für ihn freigeschalteten Ressourcen. Die Kommunikation zwischen dem Gerät des Mitarbeiters und dem Unternehmensnetzwerk erfolgt verschlüsselt über VPN (Virtual Private Network) -Technologie. Diese hat sich in den letzten Jahren etabliert und wird in unterschiedlichen Ausprägungen, abhängig von den verwendeten Endgeräten, eingesetzt. Ein grosser Vorteil dieser Technologie ist die Unabhängigkeit vom Übertragungsmedium, sie kann zur Absicherung von drahtgebundenen wie auch für Wireless-Verbindungen eingesetzt werden.

Neben der sicheren Authentisierung des Benutzers und der Absicherung des Kommunikationskanals sind Schutzmassnahmen auf dem Endgerät selbst unerlässlich. Der Verlust eines mobilen Endgerätes durch Vergessen im Taxi oder durch Diebstahl muss von vornherein berücksichtigt werden. Wenn auf dem Endgerät lokal Unternehmensdaten abgespeichert werden, dann müssen entsprechende Schutzmassnahmen implementiert werden, d. h. die Daten müssen verschlüsselt abgelegt und dadurch vor fremden Zugriff geschützt sein. Die Implementierung von diesen Sicherheitsmassnahmen ist auf den Notebooks ohne grössere Einschränkungen möglich. Anders sieht es da auf Smart Phones, Black Berrys und Mobiltelefonen aus, da sich zusätzliche Sicherheits-Software nicht auf allen Geräten installieren lässt oder diese zuviel Prozesserleistung benötigt. Einige wenige Smart Phones unterstützen die Implementierung der Sicherheitsmassnahmen oder bieten zusätzliche Sicherheitsfunktionen an, z. B. die Sperrung oder Löschung eines Smart Phones mittels eines vordefinierten Passworts, welches via SMS zugestellt wird. Die Wahl des richtigen Smart Phones, auf dem die benötigten Sicherheitsmassnahmen implementiert werden können, sollte in der Konzeptphase getroffen werden. Bei dieser Wahl dürfen aber keine Kompromisse zum Nachteil der Sicherheit eingegangen werden. Die Viren-Thematik wird vielfach auf den Smart Phones vernachlässigt. Ein ganzheitliches Virenschutzkonzept über alle Geräte ist beim Remote Access unerlässlich.

Ein wichtiger Bestandteil bei der Einführung einer Remote-Access-Lösung ist die Ausbildung der Mitarbeiter. Den Mitarbeitern muss nicht nur der Nutzen vermittelt werden, die Mitarbeiter müssen auch auf die Gefahren und die richtige Handhabung der Lösung trainiert werden. Es muss klar definiert sein, wie beim Verlust eines Endgerätes vorzugehen ist. Zudem muss der Mitarbeiter wissen, zu welchen Betriebszeiten er Unterstützung von der Informatikabteilung erhält.

Eine Remote-Access-Lösung lässt sich umso erfolgreicher und sicherer einführen, je detaillierter die Konzeptphase ausgearbeitet wurde.

Legende zur Abbildung:

Die Grafik zeigt die verschiedenen Möglichkeiten von Remote-Access-Lösungen, die in einem Unternehmen eingesetzt werden können. Die sichere und erfolgreiche Einführung einer solchen Lösung hängt wesentlich von einer detaillierten Konzeptphase ab, in der klar festgelegt wird, welche Applikationen bzw. Unternehmensdaten über den Remote Access welchen Mitarbeitern zugänglich gemacht werden.

top