Immer häufiger nutzen Mitarbeiter mobile Geräte für die geschäftliche Kommunikation. Das Senden sensibler Firmendaten ist aber nicht ganz ungefährlich. Unternehmen sollten deshalb den sicheren Remote-Zugang ins Firmennetzwerk per Smartphone und Tablet gut planen.
von Eric Tierling
Foto: michelangelus - Fotolia.com
Smartphones und Tablets spielen eine immer wichtigere Rolle im Arbeitsalltag, nicht zuletzt aufgrund des Consumerization-Trends in Form von "Bring your own Device" (ByoD). Dabei sind Anwendungsszenarien vielfältig; sie reichen vom E-Mail-Austausch über das Dokumenten-Sharing bis hin zu mobilen Voice- und Videokonferenzen. Dementsprechend sollten die Kommunikationswege abgesichert werden.
Ein bewährtes Konzept zur Absicherung des Remote-Zugangs zum Firmennetz besteht in virtuellen privaten Netzen (VPN). Hier kommuniziert der User verschlüsselt durch einen temporären VPN-Tunnel. Zu den verbreiteten VPN-Tunneling-Protokollen zählen PPTP (Point-to-Point Tunneling Protocol) sowie L2TP (Layer Two Tunneling Protocol) in Verbindung mit IPsec (IP Security).
PPTP, L2TP, IPsec und Co.
PPTP ist relativ einfach in der Handhabung und lässt sich leicht bereitstellen. Allerdings haftet diesem Verfahren der Ruf an, unsicher zu sein, sofern die Benutzer keine komplexen Kennwörter verwenden. Viele Unternehmen nehmen daher von PPTP Abstand. Die alternative VPN-Methode L2TP/IPsec bietet deutlich mehr Sicherheit, da sie eine gegenseitige Echtheitsprüfung einschließt. Allerdings gelangen hierbei Zertifikate zum Einsatz, sodass mit einer L2TP/IPsec-Implementierung eine höhere Komplexität einhergeht.
Außerdem gerät L2TP/IPsec gerne in Konflikt mit Firewalls. Denn dieses VPN-Tunneling-Protokoll setzt voraus, dass eine einwandfreie Kommunikation über bestimmte Ports (standardmäßig der TCP-Port 1701 sowie der UDP-Port 500) möglich ist. In der Regel blockieren die Firewalls beispielsweise von Hotspot-Betreibern oder von Hotels solche Ports jedoch. In solchen Situationen können Benutzer dann mit ihrem Mobilgerät keine VPN-Verbindung zum Unternehmensnetz aufbauen.
Hinzu kommt, dass IPsec bei herkömmlichen IPv4-Internet-Verbindungen, wo NAT (Network Address Translation) den privaten vom öffentlichen IP-Adressraum trennt, ins Straucheln gerät, da hierfür Pakete verändert werden müssen, was IPsec als Manipulation einstuft. Unternehmen, die solchen Problemen aus dem Weg gehen möchten, müssen alternative Mechanismen wie NAT-T (NAT-Traversal) nutzen oder auf eine zügige Verbreitung von IPv6 hoffen, bei dem NAT nicht mehr erforderlich ist.
Reine IPSec-VPNs gibt es ebenfalls. Eine probate Alternative zu L2TP/IPsec-basierten VPNs stellen sie jedoch kaum dar: Diese VPN-Variante dient vor allem der sicheren Kopplung mehrerer statischer Standorte, wenn es beispielsweise um die sichere Anbindung von Außenstellen an die Firmenzentrale geht. Beim Remote-Zugang mehrerer oder eventuell gar Tausender Mobilgeräte stößt ein klassisches IPsec-VPN jedoch an die Grenze des sinnvoll Machbaren.
Pflegeleichte SSL-VPNs
Im mobilen Alltag, der von IPv4, NAT und dynamischen IP-Adressen unterschiedlichster Internetzugänge geprägt ist, erweist sich IPsec als nicht gerade optimal. Angesichts dessen greifen viele Unternehmen inzwischen gerne zu SSL-VPNs, die wesentlich pflegeleichter sind. Zwar können die technischen Implementierungen von Hersteller zu Hersteller differieren, doch wickeln diese VPN-Lösungen Übertragungen im Allgemeinen in verschlüsselter Form mittels SSL (Secure Sockets Layer) ab.
Der entscheidende Vorteil liegt darin, dass dabei die Kommunikation über den TCP-Port 443 erfolgt, der für geschützte HTTPS-Web-Verbindungen ohnehin bereits Verwendung findet. Da dieser Port bei den meisten Firewalls von Mobil-Providern, Hotels oder Cafés ausdrücklich freigeschaltet ist, steht mit einem SSL-VPN einem Mobile Access auf Netzebene nichts im Wege.
SSL-VPN-Lösungen für den universellen Mobile-Access haben mehrere Anbieter im Programm. Zu den bekanntesten gehören "AnyConnect" von Cisco sowie "Junos Pulse" von Juniper, während "OpenSSL" aus dem Open-Source-Lager stammt. Darüber hinaus bieten Firmen wie Akamai, Check Point, NCP und SonicWall spezialisierte VPN-Lösungen an.
Heutzutage ist die erforderliche VPN-Client-Software in den verbreiteten Windows-, Linux- und Mac-OS-Betriebssystemen von Haus aus enthalten. Darüber hinaus offerieren die etablierten VPN-Lösungsanbieter die Client-Software für PCs und artverwandte Computer meist kostenlos zum Download auf ihren Websites.
Bei Smartphones und Tablets sieht die Sache etwas anders aus. Das iPhone kommt ebenso wie das iPad serienmäßig mit PPTP, L2TP/IPsec und einigen weiteren Varianten zurecht. Für andere verbreitete VPN-Lösungen wie Cisco AnyConnect kann die erforderliche Client-Software üblicherweise aus dem App Store geladen werden.
Windows Phone ohne VPN
Genauso gibt es VPN-Client-Software für Android, um diese Devices mit der passenden Funktionalität auszustatten. Abhängig vom spezifischen Gerät sowie der genutzten Android-Version gehört ein VPN-Client bereits zum Lieferumfang. Seit Version 4.0 versteht sich Android zudem besser als seine Vorgänger mit SSL-VPN-Clients aus dem Marktplatz Google Play.
Wer hingegen ein Smartphone mit modernem Microsoft-Betriebssystem sein Eigen nennt, kann sich nur wundern. Ausgerechnet Windows Phone fällt negativ auf, denn einen VPN-Client hat Microsofts Smartphone-Hoffnungsträger nicht mit an Bord. Sowohl der Erstling Windows Phone 7 als auch das Update Windows 7.5 (Mango) weist dieses Manko auf. Für Firmenanwender sind Windows Phones daher derzeit nur eingeschränkt zu empfehlen.
Sicher mobil arbeiten mit Microsoft
Microsoft hat mittlerweile gleich mehrere Verfahren zum sicheren Mobilzugang entwickelt, die ohne VPN-Technik auskommen. Dies trifft beispielsweise auf "SSTP" (Secure Socket Tunneling Protocol) zu. Dieses wurde speziell für den Remote-Zugang geschaffen und wickelt Übertragungen via SSL über den TCP-Port 443 ab. Allerdings kann SSTP nur auf Client-PCs genutzt werden, die mit Windows Vista SP1 oder höher sowie Windows 7 arbeiten. Zudem muss der SSTP-Server mit Windows Server 2008 oder höher agieren.
"DirectAccess" ist ein weiteres Microsoft-Eigengewächs und als Alternative zu herkömmlichen VPNs gedacht. Es bietet automatisch eine transparente Verbindung zum Unternehmensnetz, sobald sich der Mitarbeiter mit einem Mobilgerät ins Internet einklinkt. Zugriffe auf Ordnerfreigaben und Anwendungen sind daher genauso (höchstens etwas langsamer) möglich, als würde sich der Anwender mit seinem PC direkt im Firmen-LAN befinden. Außerdem kann der Administrator das Mobilgerät verwalten, da DirectAccess eine bidirektionale Kommunikation gestattet. Allerdings benötigt die erste DirectAccess-Version, die Microsoft mit Windows Server 2008 R2 und Windows 7 eingeführt hat, eine umfangreiche IPv6-Konnektivität. Dies schränkt die praktischen Einsatzmöglichkeiten noch ein.
Ebenfalls SSL-geschützt via HTTPS arbeitet "Outlook Anywhere", früher als "RPC over HTTP" bekannt. Die komplette Outlook-Kommunikation mit einem Exchange-Server-Postfach erfolgt hier standardmäßig über den TCP-Port 443, was dieses Konzept gleichermaßen als Firewall-freundlich ausweist.
Outlook Anywhere kommt ganz ohne VPN, SSTP- oder DirectAccess-Verbindungen aus und eignet sich ideal für Benutzer, die mit einem Mobilgerät auf ihr E-Mail-Postfach in der Firma zugreifen möchten. Voraussetzung sind lediglich Exchange Server - wahlweise lokal im Unternehmen oder als Hosted-Variante bei einem Cloud-Provider - sowie Mobilgeräte, die "EAS" (Exchange ActiveSync) beherrschen. Abgesehen von Windows-Phone-Devices kommen dafür mit Apple iOS und Android ab Version 2.2 arbeitende Geräte in Betracht.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (kv)