Wenn Mitarbeiter ihre eigenen mobilen Endgeräte als Arbeitsmittel einsetzen wollen, sind bestimmte Voraussetzungen zu erfüllen. Thomas Bleicher*, erklärt, wie sich iPad und iPhone sicher ins Firmennetz integrieren lassen.

Smartphone und Tablets haben den Weg in die Büros gefunden und sich zu Business-Werkzeugen entwickelt. Dabei sind es keineswegs nur jüngere Mitarbeiter, die ihre eigenen Geräte privat wie geschäftlich nutzen möchten - auch Führungskräfte schätzen die Fähigkeiten der modernen Mini-Computer in allen Bereichen. Gerade wenn der klassische Unterschied zwischen Privatleben und Arbeit zunehmend verschwimmt, ist es wichtig, alle Aspekte des Lebens zu vereinen und neue technische Möglichkeiten optimal zu nutzen.

Für moderne Unternehmen ist es essentiell diesem Trend zu folgen, wenn sie im Wettbewerb bestehen und innovationstechnisch an der Spitze stehen möchten. Entscheidend für die Attraktivität der Arbeitsplätze ist eine großzügige Firmenpolitik im Hinblick auf die Nutzung privater Geräte: "Bring Your Own Device"-Strategien bringen spürbare Effizienz- und Kostenvorteile, da keine zusätzlichen Geräte für mobile Nutzer angeschafft, verwaltet und administriert werden müssen. Der Schulungs- und Supportbedarf sinkt, denn die Mitarbeiter kennen sich an ihren privaten Geräten meistens sehr gut aus. Sie sind motivierter, können produktiver arbeiten und ein ausgewogenes Verhältnis von Berufs- und Privatleben herstellen.

Parallel dazu müssen die IT-Abteilungen den sicheren, datenschutzkonformen Einsatz von Smartphones und Tablets in der unternehmensweiten Security-Strategie berücksichtigen. Hier sind neue Zugriffstechnologien erforderlich, die Administratoren aktiv unterstützen und für eine risikolose Connectivity sorgen. Nur so lassen sich mobile Devices gewinnbringend in die strategischen Geschäftsprozesse integrieren und Abläufe durch höhere Mobilität optimieren.

Access gehört zum Standard - Sicherheit leider nicht

Ob Tablet oder Smartphone, integrierte Connectivity-Verfahren gehören zur Standardausstattung. Von Cloud-Zugriff über VPN bis SSH oder RAS reichen die Möglichkeiten, die dem Anwender grenzenlose Mobilität versprechen und für die IT sprichwörtlich zum Albtraum werden. Mit wenigen Klicks ist das Device - in der Regel an jeder Policy vorbei - direkt mit dem Unternehmensnetzwerk verbunden. Sensible Daten werden im Handumdrehen vom Server auf das Smartphone repliziert, Zugangsdaten inklusive aller Passwörter sind auf dem Mobilgerät abgelegt und entziehen sich dort jeder Kontrolle. Dass dabei unkontrollierte Zugangsverfahren und technisch veraltete Sicherheitsmechanismen keinen ausreichenden Schutz gegenüber Malware, Missbrauch, Datenverlust oder Diebstahl bieten, ist dem technisch wenig versierten Nutzer nicht bewusst.

Glaubt man einschlägigen Studien, gewinnt man den Eindruck, dass die Sicherheitsrisiken beim Einsatz von Mobilgeräten nur durch massives Aufrüsten gelöst werden können: Device-Management, Zugriffsverbote, umfangreiche Policies, Virenschutz mit mobiler Endpoint-Protection, Fernlöschungsmechanismen und zahllose Kontrolloptionen sollen die Risiken reduzieren. Mit dem Nachteil, dass der CIO im Falle von Verlust, Diebstahl, Missbrauch oder Manipulationen in der Verantwortung steht.

Doch es entstehen noch andere Probleme: Einerseits wird die Nutzungsqualität durch die Restriktionen drastisch eingeschränkt, andererseits wird übersehen, dass die Mobilgeräte in der Regel nicht vom Unternehmen, sondern durch die Mitarbeiter selbst gekauft worden sind. Wer neben der Businessnutzung mit seinem Tablet oder Smartphone in sozialen Netzwerken kommuniziert, private Dokumente bearbeitet oder Urlaubsfotos schießt, wird eine Überwachung, Kontrolle oder Beschränkung durch die Firma in der Regel nicht akzeptieren. Doch selbst wenn diese durchgesetzt würde, wer haftet, wenn dadurch die Privatsphäre des Anwenders verletzt wird oder persönliche Daten verloren gehen?

Zwar mag die Anschaffung firmeneigener Mobilgeräte eine verlockende Alternative sein, doch in der Realität möchte niemand mit zwei oder mehr Geräten verreisen und je nach Bedarf hin und her wechseln. Und auch die Vorstellung eine Fernlöschfunktion würde alle Probleme lösen, erweist sich in der Praxis als falsch. Versierte Hacker werden nach dem Diebstahl eines Gerätes immer erst versuchen, die gespeicherten Daten ohne aktive Mobilfunkverbindung abzugreifen. Das schnelle Entfernen der SIM-Karte genügt, um eine Fernlöschung unmöglich zu machen.

Diese Punkte machen deutlich, dass Device-Management und Co. für echte "Bring Your Own Device"-Angebote höchstens eingeschränkt sinnvoll sind.

Access-Verwaltung statt Device-Management

Connectivity-Plattformen wie "G/On" von Giritech verwalten nicht die mobilen Endgeräte, sondern managen ausschließlich die Verbindungen zu den Devices. Der Vorteil: Das Smartphone oder Tablet des Anwenders muss nicht durch Device-Management-Lösungen eingeschränkt werden und der Nutzer kann weiterhin über Gerät und Apps selbst entscheiden. Das klassische Problem "Gerätewildwuchs" spielt überhaupt keine Rolle mehr, denn die Connectivity in das Unternehmen ist vollständig abgesichert. Ermöglicht wird dies durch eine besondere Client-Server-Architektur, die gegenseitige Authentifizierung und Autorisierung, eine Whitelist-Firewall auf Applikationsebene, Prozesskontrolle und einen Proxy auf Applikationsebene in einem Produkt vereint.

Im Gegensatz zu konventionellen Zugriffsverfahren (LAN, Wi-Fi, WAN, VPN) sorgt die im Unternehmen installierte Appliance (G/On Server) für eine Entkopplung der Mobilgeräte vom Firmennetzwerk. Über ein patentiertes Protokoll, das sämtliche Sicherheitsfeatures integriert, kommuniziert der Client über eine Single-Port-Verbindung ausschließlich mit dem G/On Server, ohne dass dritte Instanzen beteiligt sind. Der G/On-Server wiederum baut eine neue TCP-Verbindung innerhalb des Netzwerks zum jeweiligen Anwendungsserver auf. Diese Technologie verhindert, dass die Kernsysteme des Unternehmens gegenüber dem Internet offengelegt werden müssen, und schützt sie vor Angriffen von innen oder außen. Weiterhin kontrolliert die virtuelle Appliance an einem Single-Point-Of-Management, mit welchen Servern und Diensten der Client auf dem Smartdevice kommunizieren darf.

Für mobile Anwender ist außerdem ein weiteres Sicherheitsmerkmal wichtig: Aufgrund der besonderen Verbindungsart müssen keine Konfigurations- oder Zugangsdaten auf den Mobilgeräten abgelegt werden. Auch der Download von Dateien oder Informationen aus dem Netzwerk kann wirkungsvoll verhindert werden, sodass die Risiken bei Geräteverlust, Diebstahl oder Spähangriffen auf ein absolutes Minimum reduziert werden.

Smartphone oder Tablet als Token verwenden

Unter dem Sicherheitsaspekt ist eine Ein-Faktor-Authentifizierung heute nicht mehr ausreichend. Mehrere Faktoren müssen kombiniert werden, um den Anwender verlässlich zu identifizieren. Aufgrund der individuellen Merkmale eignet sich ein mobiles Endgerät ideal als Token-Hardware. Damit auch hier keine sicherheitsrelevanten Daten auf dem Device vorhanden sind, verifiziert G/On vor dem Aufbau der eigentlichen Remoteverbindung das zum Token aktivierte Gerät in Echtzeit online gegenüber der virtuellen Appliance im Unternehmen. Parallel dazu werden Benutzername und Passwort als weitere Credentials ebenfalls live gegenüber einem Verzeichnisdienst wie Active Directory oder LDAP abgeglichen. Erst wenn alle Prüfungen erfolgreich sind, wird eine nutzbare Client-Server-Session mit 256-bit-AES Verschlüsselung aufgebaut. Abhängig vom jeweiligen User-Kontext sorgt der G/On Server im Unternehmen dann für die zentrale Autorisierung und Bereitstellung der Applikationsverbindungen.

Browser sind allgegenwärtig, und Web-basierte Lösungen aus dem Alltag mobiler Mitarbeiter nicht mehr wegzudenken. Unternehmenskritische Informationen sind rund um die Uhr sehr bequem und nahezu überall mittels Browser aus dem Intra- oder Extranet abrufbar. Doch veraltete Versionen, fehlende Updates, Multimedia-Inhalte und mehr machen Browser zum leichten Ziel für Internetangriffe. Schleichen sich dann noch Sicherheitslücken bei der Anbindung der Server an das Internet ein, ist es für Angreifer vergleichsweise einfach, sensible Daten abzugreifen und ganze Systeme zu kompromittieren.

Da solche Schwachstellen nicht ad hoc gelöst werden können, sorgt G/On dafür, dass sie durch die Client-Server-Architektur vollständig vermieden werden. Auf der Clientseite werden auf dem mobilen Device innerhalb des G/On Clients individuelle Browser-Sessions eingerichtet, die voneinander isoliert in einer Sandbox laufen und beim Beenden der Verbindung keine Daten im Cache hinterlassen. In Kombination mit der physischen Trennung des Tablets oder Smartphones vom Unternehmensnetzwerk werden alle Gefahren die vom Mobilgerät ausgehen könnten, unterbunden. Private Browser-Aktivitäten beinträchtigen die im G/On Client gekapselten Sessions in das Firmennetzwerk nicht, sodass sich sichere "Bring Your Own Device"-Konzept ohne Management des Endgeräts realisieren lassen.

Von der G/On-Lösung profitiert darüber hinaus auch die IT-Abteilung, denn Webserver müssen nicht mehr direkt an das Internet angebunden sein, sondern sind geschützt hinter der virtuellen Appliance im sicheren Firmennetzwerk platziert.

Mobiler Zugriff auf Office-PCs, Terminal Server und VDIs

G/On ist bereits als virtuelle Access-Lösung unter Windows, Linux und Mac OS X erhältlich. Für mobilen Zugriff auf Office-PCs, Terminal Server oder virtualisierte Umgebungen kommt auf dem Smartdevice dieselbe Technologie zum Einsatz. G/On richtet eine Port-Weiterleitung ein, die als Hintergrundprozess auf dem Mobilgerät aktiv bleibt und von allen Connectivity-Apps genutzt werden kann. Der Anwender lädt sich beispielsweise aus dem App Store eine RDP-App herunter und ersetzt mittels G/On den unsicheren, unkontrollierbaren Direktzugriff in das Firmennetz durch einen virtualisierten Access über den lokalen Loopback-Adapter. Anstatt firmenspezifische Zugangsdaten und Benutzername plus Passwort in der App zu speichern, wird nur die lokale Loopback-Adresse 127.0.0.1 eingetragen. Sobald der Nutzer die Verbindung über die RDP-App aufbaut, übergibt der G/On Server im Unternehmen die Credentials an die Zielsysteme. Somit können die Daten nicht auf der Clientseite manipuliert werden und mehrfaches Anmelden an unterschiedlichen Systemen entfällt. Zusätzlich sorgt die integrierte Packet-Inspection dafür, dass jedes RDP-Paket am Proxy untersucht wird und nur gültige Pakete akzeptiert werden.

Auch die restriktive Verwaltung mobiler Geräte sowie der Zugänge ins Netzwerk schützt nicht vor unbeabsichtigten Fehlbedienungen. Bereits ein versehentlich falsch konfiguriertes VPN oder eine übersehen Freigabe kann verhängnisvolle Auswirkungen haben, die in aller Regel viel zu spät bemerkt werden. Abhilfe schafft hier nur eine Verbindungstechnologie, die unabsichtliche Fehlbedienungen sowohl auf der Anwender-, als auch IT-Seite vermeidet.

Beispielsweise beinhaltet der G/On Client für iPad und iPhone weder Menüauswahlen, noch sonstige Nutzungsinformationen. Stattdessen pusht der G/On Server nach der Authentifizierung und Autorisierung eine benutzerbezogene Applikationsauswahl auf das Mobilgerät. Dieses Menü ist zentral am Management definiert und enthält alle Anwendungsaufrufe. Es ist anhängig vom Kontext des Anwenders, also beispielsweise dem verwendeten Token-Device, dem Ort, der Gruppenzugehörigkeit, den Policies und mehr.

Das Whitelist-Prinzip stellt sicher, dass für den mobilen Mitarbeiter keine anderen Zugriffsmöglichkeiten oder "Umleitungen auf Netzwerkebene", da ohne explizite Freigabe generell alles verboten ist. Der mobile Nutzer kann also ausschließlich die Applikationsverbindungen nutzen, die der IT-Administrator für ihn freigegeben hat.

Unterstützung durch einfaches Deployment

Trotz aller positiven Aspekte für Nutzer und Unternehmen dürfen "Bring Your Own Device"-Angebote nicht zur Belastungsprobe für die IT werden. Ist der Aufwand für die Anbindung mobiler Geräte zu hoch, verkehren sie nämlich die Vorteile schnell ins Gegenteil. Im Ergebnis wird dann nur ein Bruchteil der User zugelassen oder das Thema nicht weiter verfolgt. Ideal ist eine Lösung, die es den Nutzern erlaubt, ihre Mobilgeräte bei maximaler Sicherheit selbst auszurollen und eine direkte Freischaltung für den Access anzufordern.

Der im App Store kostenfrei verfügbar G/On Client für iPad und iPhone beinhaltet deshalb nicht nur die reine Verbindungsengine, sondern sämtliche Funktionen für das Ausrollen des Mobilgeräts. Der Anwender lädt den Client herunter, startet ihn und registriert sein Device als eindeutigen Hardware-Token, zum Beispiel anhand eines vom Unternehmen übermittelten QR-Codes. Der Administrator muss im G/On Management nur den Aktivierungsbutton klicken, um das Device sofort für den produktiven Zugriff freizuschalten. Selbst ein automatisches Enrollment vertrauenswürdiger Devices ist optional möglich.

"Bring Your Own Device" darf auch nicht bedeuten, dass Zugänge weit geöffnet werden müssen, nur um sie später durch eine Vielzahl an Hard- und Softwareprodukten unterschiedlichster Hersteller abzusichern und zu verwalten. G/On kombiniert deshalb alle Anforderungen, die in Verbindung mit Mobility entstehen, in einem Produkt. Die Lösung ist ohne Änderungen in jede bestehende IT-Infrastruktur integrierbar und leistet Zugriff auf sämtliche bestehenden Systeme, Ressourcen und Dienste. Die Administration ist durch eine zentrale Managementkonsole vereinfacht, in der Policies, Token und Applikationszugriffe gesteuert werden.

Nur mit einem spezialisierten Access-Produkt wie G/On lassen sich langfristige Unternehmensziele, wie Mobilität, Netzwerkkonsolidierung, Trennung der User- von den Server-Netzen, die Nutzung von Public/Private Cloud-Angeboten und die Einbindung klassischer PCs unter Windows, Linux und Mac OS X realisieren. (haf)

*Thomas Bleicher ist Product Manager bei Giritech