|
Sichere
Integration von mobilen Anwendungen
Quelle: Netzguide
E-Security 2007
Autor: Tom Hager, CEO, InfoTrust
Mit neuen, flexibleren
Arbeitsmodellen und konstanter Optimierung
der Geschäftsprozesse zur Erhöhung
von Wettbewerbsvorteilen steigen die Anforderungen
an die Verfügbarkeit und Standortunabhängigkeit
von Applikationen respektive Unternehmensdaten.
Um
den neuen Anforderungen zu entsprechen,
müssen die Mitarbeiter unabhängig
vom Standort sicher auf Unternehmensdaten
zugreifen können. Die mobile Datenkommunikation
ist Bestandteil einer ganzheitlichen Remote-Access-Lösung.
Ein wesentlicher Erfolgsfaktor bei der Implementierung
einer solchen Lösung liegt in der Konzeptphase.
In dieser wird klar festgelegt, welche Applikationen
bzw. Unternehmensdaten über den Remote
Access welchen Mitarbeitern zugänglich
gemacht werden. Auch zu definieren gilt,
mit welchen Geräten auf das Unternehmensnetzwerk
zugegriffen werden kann.
In
der Praxis stellt das Unternehmen den Mitarbeitern
oft Notebooks zur Verfügung, die durch
das Unternehmen verwaltet werden. Dies hat
den Vorteil, dass die Kontrolle des Notebooks
in der Hand der Informatikabteilung liegt
und somit einem definierten Sicherheitsstandard
entspricht. Einige Unternehmen lassen privat
beschaffte Notebooks der Mitarbeiter als
Arbeitsmittel zu. Auf diesen können
die Sicherheitsstandards des Unternehmens
nicht vollumfänglich umgesetzt werden.
Höhere Betriebsaufwendungen der Informatikabteilung
machen die anfänglich eingesparten
Investitionen zunichte. Neben dem Notebook
kommen auch Endgeräte wie Smartphones,
Blackberrys und Mobiltelefone zum Einsatz.
Auch bei diesen Geräten muss konsequent
das Ziel der Optimierung der Geschäftsprozesse
verfolgt werden. Es ist definitiv der falsche
Ansatz, diese Geräte
nur als technische Gadgets oder Prestigeobjekte
einzuführen.
Gerätetypen
nach Risiken kategorisieren
In
der Konzeptphase ist ebenfalls der Standort
des Mitarbeiters beim Zugriff auf das Unternehmensnetzwerk
zu berücksichtigen. Ein Aussendienstmitarbeiter,
der täglich unterwegs
ist und sich über verschiedene Anbieter
via Kabel oder WLAN im Hotel oder am Flughafen
oder über GPRS, EDGE, UMTS, HSDPA ins
Internet einwählt, ist aus Sicht der
nötigen
Sicherheitsmassnahmen anders zu behandeln
als ein Mitarbeiter, der von seinem Heimarbeitsplatz
über ADSL oder einem Breitbandanschluss
mit dem Unternehmen kommuniziert.
Generell
wird durch den Remote Access das Unternehmensnetzwerk
an Standorte verlängert, die nicht
mehr in der Kontrolle des Unternehmens liegen.
Die Möglichkeiten für die Absicherung
dieser Standorte beschränken sich nur
auf die für den Remote Access verwendeten
Geräte. In der Konzeptphase werden
deshalb die Sicherheitsmassnahmen für
die eingesetzten Gerätetypen entsprechend
den möglichen Risiken definiert. Oberste
Devise ist auch hier die bessere Integration
und Kontrolle der dem Mitarbeiter zur Verfügung
gestellten Geräte.
Unterschiedliche
Lösungsansätze
Unterschiedliche
Lösungsansätze stehen für
die Integration zwischen Unternehmensnetzwerk
und Endgeräten zur Auswahl. Bewährte
IPSec- oder SSL-VPN-Technologien bieten
vollumfänglichen Schutz der Kommunikationsverbindung
durch starke Authentisierung der Kommunikationspartner
und der Verschlüsselung der zu übertragenden
Daten. Auf mobilen Clients wie Notebooks
können diese Lösungen erfolgreich
eingesetzt werden. Auf Smartphones, Blackberrys
und Mobiltelefonen ist der Einsatz von VPN-Technologien
vielfach problematisch, da die Geräte
heute über zu wenig CPU-Leistung verfügen,
um neben den Applikationen auch noch rechenintensive
Sicherheitstechnologien
zu unterstützen.
Die
Schutzmassnahmen auf den Endgeräten
selbst sind jedoch unerlässlich. Der
Verlust eines mobilen Endgerätes durch
Vergessen im Taxi oder durch Diebstahl muss
von vornherein berücksichtigt werden.
Wenn auf dem Endgerät lokal Unternehmensdaten
abgespeichert
werden, dann müssen entsprechende Schutzmassnahmen
implementiert werden, heisst: Die Daten
müssen verschlüsselt abgelegt
und dadurch vor fremden Zugriff geschützt
sein. Einige wenige Smartphones unterstützen
beispielsweise die Implementierung von Sicherheitsmassnahmen
oder bieten zusätzliche Sicherheitsfunktionen
an wie die Sperrung oder Löschung eines
Smartphones mittels eines vordefinierten
Passworts, das via SMS zugestellt
wird. Die Wahl des richtigen Smartphones,
auf dem die benötigten Sicherheitsmassnahmen
implementiert werden können, sollte
in der Konzeptphase getroffen werden. Bei
dieser Wahl dürfen keine Kompromisse
zum Nachteil der Sicherheit eingegangen
werden.
In
der Praxis wird zum Beispiel die Viren-Thematik
auf diesen Geräten leider oft vernachlässigt.
Doch beim Remote Access ist ein ganzheitliches
Virenschutzkonzept über alle Geräte
hinweg zwingend notwendig. Auch die Kompatibilität
und das zentrale Management sind wichtige
Bestandteile einer Remote-Access-Lösung.
Abb. 1: Beim
klassischen Zugriff bieten bewährte
IPSec- oder SSL-VPN-Technologien vollumfänglichen
Schutz der Kommunikationsverbindung mittels
starker Authentisierung der Kommunikationspartner
und der Verschlüsselung der Daten.
Auf mobilen Clients wie Notebooks können
diese Lösungen erfolgreich eingesetzt
werden.
Absicherung
auf Applikationsebene
Ein etwas anderer
Ansatz bietet die direkte Absicherung durch
die Applikation. Ein Beispiel dafür
ist Mobile E-Mail, das von Analysten schon
als «die nächste Killerapplikation»
thematisiert wird. Beispielsweise werden
bei der Push-Mail-Lösung von Microsoft
die Kommunikationspartner mittels X.509v3-Zertifikaten
gegenseitig authentisiert und die Daten
verschlüsselt, das heisst, es werden
keine zusätzlichen VPN-Technologien
benötigt. Damit sich die Endgeräte
mit dem Exchange-
Mailserver verbinden können, muss dieser
vom Internet her allerdings erreichbar sein.
Dies widerspricht dem Konzept, dass keine
internen Server direkt vom Internet her
erreichbar sein sollen. Der Weg für
mögliche Angriffe auf den Server wäre
dadurch geebnet. Die Lösung zum sicheren
Betrieb liegt hier beim Einsatz von Applikations-Proxy-Technologien
in der DMZ (demilitarisierte
Zone). Diese
erlauben keine direkte Verbindung zwischen
Endgerät und Mailserver. Anstelle des
Mailservers übernehmen sie die Authentisierung
und Verschlüsselung des Datenstromes.
Für die Benutzer ist der Einsatz eines
Proxies transparent. In Zukunft werden neben
E-Mail- und Kalender-Applikationen weitere
Geschäftsapplikationen den Benutzern
von Smartphones, Blackberrys oder Mobiltelefonen
zur Verfügung stehen. Wichtig ist beim
Proxy-Konzept aus Sicht des Betriebs und
der dadurch anfallenden Kosten, dass auch
alle zukünftigen Applikationen über
einen zentralen Proxy kommunizieren. Smartphone-Hersteller
wie beispielsweise Nokia oder Research In
Motion (Blackberry) bieten heute schon eigene
Proxy-Lösungen an. Zahlreiche Unternehmensapplikationen
können über diese Proxy-Lösungen
sicher integriert werden.
Abb. 2: Bei der
direkten Kommunikation mit der Applikation
authentisieren sich die Kommunikationspartner
gegenseitig und die Daten werden verschlüsselt.
Der Mail-, bzw. Applikations-Server, ist
bei dieser Variante vom Internet her direkt
erreichbar. Somit ist der Weg frei für
mögliche Angriffe auf den Server. Der
Einsatz von Applikations-Proxy-Technologien
in der DMZ (demilitarisierten Zone) erlaubt
eine sichere Verbindung der Kommunikationspartner.
Hier übernimmt der Proxy die Authentisierung
und Verschlüsselung des Datenstromes.
Interne
Schulung der Mitarbeiter
Eine grosse Bedeutung
kommt bei der Einführung einer Remote-Access-Lösung
der Ausbildung der Mitarbeiter zu. Den Mitarbeitern
muss nicht nur der Nutzen vermittelt werden,
sie müssen auch die Gefahren kennen
und die richtige Handhabung der Lösung
trainieren. Es muss klar definiert sein,
wie beim Verlust eines Endgerätes vorzugehen
ist. Zudem muss der Mitarbeiter wissen,
zu welchen Betriebszeiten er Unterstützung
von der Informatikabteilung erhält.
Fazit
Eine Remote-Access-Lösung
lässt sich umso erfolgreicher und sicherer
einführen, je detaillierter
und umfangreicher die Konzeptphase ausgearbeitet
wurde.
top
|
