Im Verkaufsgespräch lässt sich der eine oder andere Hinweis auf mobile Sicherheit anbringen. Viele Kunden haben nicht den umfassenden Überblick und als Nebeneffekt lassen sich dadurch weitere Produkte oder Dienstleistungen verkaufen.
Netzwerke sind gegen Angriffe von außen meist geschützt - Firewalls, DMZs (Demilitarisierte Zone) und Gateway-Sicherheitsfunktionen sorgen normalerweise dafür, dass kein unerwünschter Zugriff auf das LAN erfolgt. Doch wie ist es, wenn der Täter im Inneren der IT-Infrastruktur sitzt, wenn auch von Ihrem Kunden noch nicht bemerkt?
Verstärkt wird dieses Problem durch den viel beschworenen Road Warrior, den flexiblen Mitarbeiter, der immer und überall arbeiten kann. Denn während sich lokale Systeme relativ gut abschotten lassen, verlieren Unternehmen oft die Kontrolle über Notebooks, die das LAN verlassen. Kommen diese Komponenten zurück, könnten sie bereits infiziert sein und Sicherheitsfunktionen relativ schnell aushebeln.
Ein praktisches Beispiel, das Sie Ihrem Kunden aufzeigen können: Mitarbeiter A nimmt nach der Arbeit sein Notebook mit nach Hause, um unterwegs und abends noch Arbeit zu erledigen. Zuhause meldet er sich an seinem WLAN an, das er mit seiner Familie teilt. Ein weiterer Rechner im Netzwerk hat einen veralteten Virenschutz und ist mit einem Wurm, etwa Conficker infiziert. Dieser erkennt nun den neuen Rechner im Netzwerk und versucht, diesen ebenfalls zu unter seine Kontrolle zu bringen. Dies gelingt, da der Wurm gerade eine neue Mutation nutzt, die der lokale Virenscanner auf dem Notebook nicht erkennt. Am nächsten Tag nimmt Mitarbeiter A den Rechner wieder zurück in die Arbeit, steckt ihn in das Netzwerk des Kunden ein und schafft so unwissentlich ein Einfallstor für eine Malware.
Ist der Virenschutz aktuell?
Um die Probleme zu verstehen, die mobile Nutzer mit sich bringen können, muss man die komplette Sicherheitsarchitektur unter die Lupe nehmen. So nutzen Unternehmen ab einer bestimmten Größe beispielsweise zentralisierte Ansätze für Anti-Viren-Updates und die Patch-Verteilung. Das Problem: Ist ein Rechner nicht mehr im lokalen Netz, hat er keinen Zugriff auf die Aktualisierungen, ist also im Zweifel ungeschützt gegen Attacken.
Weisen Sie hier Ihren Kunden auf die Einführung von Policys hin, bei denen der Server des jeweiligen Anbieters als Backup-Quelle für Daten einspringt, wenn der primäre Server des Unternehmens nicht mehr erreichbar ist. Nachteil hierbei: Bei den mobilen Geräten ist der ausführliche Test eines neuen Patches oder Updates, etwa wenn Microsoft eine neue Version des Internet Explorer ausrollt, kaum möglich.
Network Admission Control: Rückkehrer in die Quarantäne
Einen anderen Ansatz, dem sie einem Unternehmen unterbreiten können, bietet der Einsatz von Network Admission Control, kurz NAC. Mit Hilfe dieser Technologie lässt sich prüfen, ob ein angeschlossener Endpunkt zuvor definierte Vorgaben erfüllt. Verstößt der Rechner gegen eine oder mehrere Richtlinien, wird ihm der Zugang zum Netzwerk verwehrt. Normalerweise landet das System in einem Quarantäne-Netzwerk, über das es sich fehlende Updates herunterladen kann.
NAC-Geräte erkennen auch neu angeschlossene Netzwerkkomponenten. Das ist dann ein Vorteil, wenn sich Mitarbeiter einen eigenen WLAN-Zugangspunkt in das Netzwerk integrieren. Diese so genannten Rogue Access Points sind jedoch problematisch, da sie meist nicht den Unternehmensrichtlinien in Punkto Sicherheit, Nutzerverwaltung und Verschlüsselung entsprechen. Ein einfach zu knackender WLAN-Schlüssel sorgt außerdem dafür, dass einem möglichen Angreifer der Zugang zum Firmennetz schnell offensteht.
Beim Thema NAC scheiden sich die Geister wenn es um den Einsatz von Clients auf dem eigentlichen PC des Nutzers geht. Diese Clients, so genannte Agents, ermöglichen zwar eine deutlich genauere Kontrolle, müssen aber auf dem Endsystem installiert, verwaltet und aktualisiert werden. Eine NAC-Lösung, die ohne Agents auf den Endpunkten auskommt, kann zwar unter Umständen weniger Regeln durchsetzen, erspart allerdings zusätzlichen Konfigurationsaufwand.
Sichere Hardware, sichere Verbindungen
Ein weiterer Ansatz ist es, gefährdete Bereiche im Umfeld des Kundennetzwerkes, wie das Home Office der Mitarbeiter oder Filialen, zusätzlich zu sichern. Eine Lösung könnte sein, dass der Mitarbeiter sich stets über einen gesicherten VPN-Tunnel an der Firma anmeldet und der komplette Traffic durch die Firmen-Infrastruktur überwacht wird. Mittlerweile bietet nahezu jeder professionelle Router die Möglichkeit, einen entsprechenden VPN-Tunnel zwischen den beiden lokalen Netzwerken aufzubauen.
Nachteilig ist hierbei, dass der gesamte anfallende Traffic über das Firmennetz läuft, das Netzwerk wird so also teilweise unnötig belastet. Die Lösung heißt hierfür VLAN und Multi-SSID. VLAN steht für virtual LAN, hier wird also ein Netzwerk in mehrere virtuelle Netze unterteilt, die untereinander keinen Kontakt haben. Damit lassen sich beispielsweise Netzwerk-Anschlüsse komplett voneinander isolieren. Ähnlich verhält es sich mit Multi-SSID. WLAN-Access Points im Profi-Bereich bieten diese Funktion mittlerweile ebenfalls an. Damit kann ein Access Point mehrere WLANs erzeugen und verwalten.
Durch eine Kombination dieser Technologien ist es beispielsweise möglich, ein mit Zertifikaten und RADIUS-Unterstützung gesichertes WLAN zu betreiben, das mittels VPN mit der Firma verbunden ist. Das zweite WLAN wäre dann für den privaten Gebrauch, hätte aber keinen Zugriff auf die sensible Firmen-Verbindung. Auch bei dieser Lösung sollten Sie Ihren Kunden darauf hinweisen, nicht auf den Einsatz von Passwörtern oder Token zu verzichten. Nur so kann man prüfen, ob ein wirklich autorisierter Nutzer das Firmen-Netz betreten will oder ob der Access Point gestohlen wurde und sich der Dieb nun in die Firma hacken will.
Nutzen ziehen aus Zwischenfällen
Der größte Schaden entsteht oft, wenn Nutzer aus Angst vor Repressalien oder Spott versuchen, ein Problem selbst zu lösen. Hier profitieren Unternehmen mit einer Firmenkultur, die Fehler nicht verbietet sondern zulässt. Im Falle der IT-Sicherheit kann ein Unternehmen so beispielsweise nachvollziehen, wie ein bestimmter Zwischenfall erfolgt ist und sich künftig auf derartige Probleme vorbereiten.
Auch ist es für die IT-Forensik und damit eine etwaige Strafverfolgung enorm wichtig, dass das Ausgansmaterial unverändert gesichert werden kann. Daher lohnt es sich durchaus, Ihren Kunden auf das Etablieren einer Firmenkultur hinzuweisen, in der Fehler erlaubt sind - wenn sie nicht vertuscht werden.
Die Zukunft: Sichere virtuelle Desktops
Solange Mitarbeiter eines Unternehmens den eigentlichen Desktop überall mit hin nehmen können, können diese, samt der darauf gespeicherten sensiblen Daten auch manipuliert, gestohlen oder kompromittiert werden. Die beste Strategie für die Zukunft lautet also, den Desktop und die Daten möglichst nicht aus dem Firmennetz entkommen zu lassen - eine Strategie, die derzeit noch mit der geforderten Flexibilität der Mitarbeiter kollidiert.
Für die Zukunft planen daher Virtualisierungshersteller mit virtuellen Desktops. Dabei sitzt das eigentliche Betriebssystem im sicheren Rechenzentrum der Firma, der Nutzer erhält die Funktionen per Stream auf seinen Rechner gespiegelt. Damit bleiben die eigentlichen Daten und Funktionen stets gesichert, selbst wenn der Nutzer extrem unsichere Netzwerke oder etwa ein öffentliches Internet-Terminal nutzt.
Derzeit scheitern aber viele dieser Umsetzungen noch an der verfügbaren Hardware. Beispielsweise benötigt flüssiges Arbeiten eine stabile Netzwerkverbindung zum Server, außerdem muss auf den mobilen Rechnern zumindest ein abgespecktes Abbild installiert sein. Für letzteres Problem sollen neue Technologien Abhilfe schaffen.
So haben Intel und VMware beispielsweise schon eine Kooperation angekündigt, mit der sich bestimmte Centrino-Notebooks direkt aus dem Bios mit einem virtuellen Desktop verbinden und diesen auch Zwischenspeichern können, falls die Internetverbindung ausfällt. Auch Microsoft hat diesen Trend erkannt und in Windows 7 und dem Windows Server 2008 R2 die Funktionalitäten rund um RDP und Terminaldienste massive verbessert. (Moritz Jäger, PC Welt, bw)