Mobile Geräte sicher in die Unternehmens-IT integrieren

Die Nutzung von mobilen Geräten wie Notebooks, Tablets, Handhelds oder Smartphones ist heute aus dem Unterneh-mensalltag nicht mehr wegzudenken. Für die IT ergeben sich dadurch gänzlich neue Herausforderungen. Nur ein integrierter Lösungsansatz, der Aspekte wie lokale Datenhaltung, Identitätsmanagement und Datenübertragung umfasst, bietet hier ein hohes Maß an Sicherheit.

Die zunehmende Verbreitung des „mobilen Arbeitens“ mit Notebooks, Tablets oder Handhelds hat zum einen die Gefahr des Geräteverlusts – auch durch Diebstahl – und damit des Datendiebstahls signifikant erhöht. Zum anderen liegt in der verstärkten mobilen Datenerfassung und -übertragung über das Internet eine zusätzliche Gefahrenquelle und potenzielle Angriffsfläche.

Werden im Hinblick auf die Nutzung mobiler Geräte keine adäquaten Security-Maßnahmen ergriffen, ist oft ein einfacher und schneller Zugriff auf unternehmensinterne IT-Systeme möglich. Die Folgen für den Betroffenen können weitreichend sein: vom Daten-diebstahl bis zur Manipulation unternehmenskritischer Systeme.

Nicht selten sind beispielsweise Passwörter auf den mobilen Gerä-ten hinterlegt. Bereits bei Accounts von Nutzern mit relativ eingeschränkten Rechten besteht hier ein „kleines Einfallstor“ in die Unternehmens-IT. Noch gravierender ist es, wenn das Admin-Passwort eines Rechners bekannt ist oder leicht ermittelt werden kann. Jeder, der in den Besitz einer solchen Information kommt, kann potenziell einen Schaden verursachen, der für ein Unternehmen existenzgefährdend sein kann. Das Gefahrenpoten-zial reicht von der Industriespionage über das Infizieren wichtiger Systeme mit Schadprogrammen bis hin zur Sabotage ganzer Industrieanlagen.

Um die Risiken des Datenverlusts oder -diebstahls im Bereich des mobilen Arbeitens zu minimieren, sind deshalb adäquate Sicherheitsmaßnahmen zu ergreifen. Ausgehend von einer Definition der Sicherheitsanforderungen und Festlegung von Security Policies muss ein adäquates Mobile-Device-Management-System implementiert werden. Bei der Konzeption und Auswahl einer konkreten Lösung sollten dabei auf jeden Fall die drei Bereiche lokale Daten-haltung, Identitätsmanagement und Datenübertragung berücksichtigt werden.

Eine erste Maßnahme sind Beschränkungen bei der lokalen Datenhaltung. Grundsätzlich ist zu überprüfen, welche Daten auf mobilen Geräten wirklich erforderlich sind. Die mitgeführten Daten müssen auf ein Minimum beschränkt werden. Vertrauliche Daten sollten eher in verschlüsselter Form über eine VPN-Verbindung (Virtual Private Network) vom zentralen Unternehmensserver geladen werden. Nicht benötigte Daten auf den mobilen Geräten sind zudem zuverlässig zu löschen und die entsprechenden Sektoren zu überschreiben. Ein herkömmliches „Löschen“ reicht nicht aus, da dann nur der Dateiname und die Verknüpfung zum Speicherort gelöscht werden, nicht die Information selbst.

Zweitens ist eine Identitätsmanagement-Lösung erforderlich, bei der es um die natürliche Person, den personalisierten Account des Endusers geht. Das bedeutet zunächst, dass jeder Person mit Rechnerzugriff eine eindeutige ID zugewiesen werden muss. Damit wird zum einen sichergestellt, dass alle Aktivitäten im Zusammenhang mit unternehmenskritischen Daten und Systemen nur von dazu autorisierten Benutzern durchgeführt werden können. Zum anderen ist nur so eine Nachvollziehbarkeit bis auf die Personenebene gewährleistet.

Eine Identitätsmanagement-Lösung sollte jedoch noch einen Schritt weiter gehen, um die Möglichkeit einer illegal genutzten Identität, das heißt eines Identitätsdiebstahls auszuschließen. Eine Möglichkeit bietet hier die Vergabe von Einmal-IDs. Realisiert werden kann das durch eine Software-Lösung, die gewissermaßen „zwischen User und Account geschaltet“ wird. Hier meldet sich der Nutzer mit einer einmal vergebenen ID an und wird dann mit seinem Account verbunden. Der Vorteil liegt darin, dass die Anmelde-Informationen nicht nach außen dringen können. Somit ist ein Identitätsdiebstahl ausgeschlossen, denn Einmal-IDs sind für Diebe nutzlos. Damit wird zuverlässig ein Zugriff auf die Unternehmens-IT verhindert.

Der dritte und gleichzeitig wichtigste Aspekt betrifft die Datenübertragung. Die Vielzahl der heute von Unternehmen genutzten Übertragungsverfahren erschwert die Überwachung und Zugriffskontrolle erheblich und führt zu hohen Sicherheitsrisiken. So erfordern unterschiedliche Übertragungswege wie E-Mail, Peer-to-Peer (P2P)-Verbindungen, Share-Point-Portale, FTP, FTP/S, HTTP, HTTP/S oder Eigenentwicklungen für die IT einen außerordentlich hohen Aufwand, da diese Systeme und Lösungen separat verwaltet werden müssen. Dadurch entstehen zudem Sicherheitsrisiken, da ein einheitliches, zentrales System für die Zugriffssteuerung, die Einrichtung von Remote-Usern und die protokollunabhängige Überwachung von Datenübertragungen fehlt.

Viele Unternehmen setzen im Bereich der Datenübertragung heute vor allem auf FTP-Lösungen. Gerade diese stellen jedoch ein erhebliches Risiko dar, da Passwörter klar und unverschlüsselt auf den Rechnern hinterlegt sind. Eine schnell zu implementierende und kostengünstige Alternative sind hier Managed-File-Transfer-Lösungen (MFT). Da im Mittelpunkt solcher Lösungen die Kommunikation von Maschine zu Maschine steht, sind davon Secure-File-Transfer-Tools (SFT) abzugrenzen, die eine Alternative zu E-Mail-Systemen und für die Kommunikation von Person zu Person darstellen. Auch die Nachfrage nach derartigen Lösungen nimmt heute auf Unternehmensseite zu, da E-Mail-Systeme Restriktionen bei der maximal zu übertragenden Datenmenge sowie Performance- und Sicherheitsprobleme aufweisen.

Implementiert werden sollte folglich eine integrierte Lösung, die neben einer MFT- auch immer eine SFT-Funktionalität bietet. Das heißt: Aus operativer Sicht der IT sollte eine Daten-übertragungslösung ein zentrales Management aller Dateiübertragungen unabhängig von deren Protokoll oder Typ bereitstellen. Gleichgültig ob HTTP, E-Mail, automatisch oder manuell initiiert oder von einem System, einer Anwendung oder einem Benutzer gestartet: eine zentrale Verwaltung, Überwachung und Zugriffskontrolle ist der einzige Weg zu einer sicheren Daten-übertragung. In technischer Hinsicht sollte die Lösung eine offene Architektur und eine Unterstützung unterschiedlichster Plattformen bieten, damit sie nahtlos in alle vorhandenen Business-Anwendungen integriert werden kann und so zu einer Automatisierung von Geschäftsprozessen beiträgt.

Zusammengefasst: Berücksichtigt man die Themen lokale Datenhaltung,  Identitätsmanagement und Datenübertragung bei der Integration von mobilen Geräten in die IT-Infrastruktur sind die ersten Schritte zum Schutz der unternehmensinternen Systeme bereits gemacht. Und in einer Zeit, in der das mobile Arbeiten immer mehr an Bedeutung gewinnt, ist dies eine der wichtigsten Aufgaben jeder IT-Abteilung.

Autor: Jochen Koehler ist DACH-Chef von Cyber-Ark