Sichere Verwaltung von Mobile Devices

Andreas Gossweiler, Head of ICT-Security bei Swisscom Grossunternehmen

Es ist schnell passiert: Ein Mitarbeiter fliegt geschäftlich ins Ausland. Am Flughafen stellt er fest, dass ihm sein PDA und damit alle seine Daten gestohlen wurden. Dabei hat er gestern noch über
Mobile Office vertrauliche Informationen mit dem CFO ausgetauscht. Zudem sind auf seiner Micro-SD-Karte PINs zu seinen privaten Bankkonten, ein Passwort-Safe für mehrere Online-Logins und auch das ganze Firmentelefonbuch gespeichert.

Was können Betroffene in einer solchen Situation tun? Im besten Fall genügt ein Anruf beim IT-Dienstleister. Er kann dann über die Konsole der sogenannten «Mobile Device Management (MDM)»-Plattform die Daten über das Funknetz löschen. Parallel lässt man seine SIM-Karte und sein Firmen-Login sperren. Doch nicht alle Unternehmen, die Mobile-Office-/Mobile-Groupware-Lösungen oder andere
Mobile-Applikationen einsetzen, verfügen neben ihrer klassischen End-User-Plattform über eine separate Plattform für mobile Geräte. Um eine solche aufzubauen, sollte man ein paar Punkte beachten.

Nutzungsmodell bestimmt Lösung

Im Arbeitsalltag unterscheidet man bei mobilen Anwendungen zwischen zwei Nutzungsmodellen: Beim einen ist der Mitarbeiter zwar unterwegs, er arbeitet aber stationär. Er nutzt zum Beispiel ein WLAN im Hotel. Beim anderen bewegt sich der Anwender mit seinem Mobile Device - er braucht stabile Verbindungen und vielleicht auch Roaming. Ein Beispiel dafür findet man im Logistikbereich. Dort werden häufig mobile Scanner eingesetzt, um Daten direkt mit dem Lagerverwaltungssystem abzugleichen. Diese Handhelds sind ständig in Betrieb und halten die Verbindung kontinuierlich aktiv, während sich der Benutzer mit dem Scanner frei auf dem Gelände bewegt.

Entsprechend des Nutzungsmodells muss also die optimale Kommunikationslösung gefunden werden. Wichtige Kriterien bei der Wahl sind die Verfügbarkeit des Netzes, Empfangsbereiche, Roaming und zu unterstützende Endgeräte. Mobilfunkanbieter können öffentliche oder firmenspezifische WLAN-Netze oder Handy-Netze mit GSM und HSPA installieren. Welches man wählt, ist auch eine Kostenfrage, da unter gewissen baulichen Umständen der Aufbau eines Corporate WLAN teuer ist.

Sicherheit und Datensensibilität

Ein weiterer Aspekt ist die Sicherheit. Die Einstufung der Mobile Devices bezüglich Vertraulichkeit, Verfügbarkeit und Integrität bestimmt die Stärke der Geräteauthentifizierung und der Verschlüsselung für den Datentransport. Diese Sicherheitsanforderungen können entweder von jeder Anwendung einzeln erfüllt werden oder dadurch, dass die Kommunikationsschicht als Ganzes gesichert wird. Häufig werden sichere VPN-Tunnels (Virtual Private Network) aufgebaut, welche die gesamte Kommunikation verschlüsseln. Sie müssen natürlich die Roaming- und Verfügbarkeitsanforderungen erfüllen. Bei der Wahl des VPN-Clients müssen auch die Verbindungsarten berücksichtigt werden, damit die Akku-Leistung des Handhelds so wenig wie möglich beeinträchtigt wird. Weiter hat auch die Benutzerauthentifizierung (Exchange oder SAP) Einfluss auf die Wahl des VPN-Clients.

Mobile Device Management

Nachdem die Aspekte der Sicherheit und der Nutzungsanforderungen geklärt sind, ist die Mobile-Plattform der nächste Schritt. Sie sollte sowohl ein lokales als auch ein «Over the air (OTA)»-Management der mobilen Geräte unterstützen. Im Zentrum stehen die einfache und sichere Handhabung, die klassischen Funktionen für das Gerätemanagement sowie die Endgerätesicherheit.

Folgende Verbesserungen werden mit Mobile-Plattformen gegenüber herkömmlichen Insellösungen erzielt:
Zentrale Software- und Patch-Verteilung: Die Plattformlösung für Mobile Devices verteilt nicht nur Anwendungs-Software, sondern unterstützt die IT auch beim Rollout des Betriebssystems und automatisiert das Patchmanagement.
Einheitliche Verwaltung von Security-Policies: Passwort-Policies, das Deaktivieren von spezifischen Applikationen und Parametern zur Datenträger- und Dateiverschlüsselung können zentral verwaltet werden.
Systemdiagnose für mobile Endgeräte: Weil Konfigurationsprobleme oder Programmfehler oft unterwegs auftreten, kann und muss der Administrator einen Fernzugriff haben.

Fazit: Ganzheitliches Konzept

Fundierte Risikobetrachtungen zeigen, dass die meisten Gefahren für mobile Endgeräte im Gesamtkontext eines Unternehmens gesehen werden müssen. Die Kosten-Nutzen-Betrachtung für Mobile Devices stützt sich hauptsächlich auf den Wert der Unternehmensdaten, die bedroht sind. Deshalb müssen kritische Daten identifiziert und entsprechende Security-Lösungen eingesetzt werden. Wer also das Ziel verfolgt, Bereiche oder Personengruppen grossflächig mit Mobile Devices und mobilen Applikation auszurüsten, sollte vorgängig von einem Experten ein Sicherheitskonzept erstellen lassen, welches die spezifischen Kosten und vor allem die Sicherheitsaspekte analysiert und eine fundierte Entscheidungsgrundlage bildet. Auf dieser Basis können dann durch eine End-to-End-Betrachtung das Risikomanagement für die mobilen Umgebungen entwickelt und die Kosten kalkuliert werden.

Sicherer Zugriff dank Mobile VPN

Von unterwegs mit dem Notebook sicher auf das Firmennetz zugreifen zu können, ist heute in vielen Unternehmen Voraussetzung für effizientes Arbeiten. Spätestens die Einführung von HSPA, das je nach Standort bis zu 14,4 Mbit/s ermöglicht, und die Vereinfachung des Zugriffs darauf, haben die Entwicklung beschleunigt. So greifen Endgeräte heute selbstständig auf das jeweils schnellste Netz zu.

Für die optimale Sicherheit sorgt der Mobile VPN Access (MVA): Es wird national nie über das öffentliche Internet auf das Firmennetz zugegriffen, sondern ausschliesslich über sogenannte Trusted Networks des Netzproviders (Forced-on-Net-Funktion). Und der Zugang der Aussendienstmitarbeiter zum Internet erfolgt nicht direkt, sondern über die firmeneigene Firewall. Ausserdem werden alle Daten auf dem Mobilfunknetz verschlüsselt übertragen.

Der Benutzer wird mehrstufig authentifiziert: Zunächst über seine SIM-Karte und den PIN, danach über die Zugangs-Software anhand des Benutzernamens und Passworts für das Firmennetz. Zusätzlich kann die Strong Authentication mit einem neuen SMS-Token gewählt werden, der für jede Anmeldung ein neues Passwort generiert.

Alle Benutzer lassen sich dabei einfach über ein Extranet des Netzproviders administrieren.
So können Anschlüsse zum Beispiel sofort für den Zugriff auf das Firmennetz gesperrt werden. Ein Echtzeit-Reporting verschafft darüber hinaus den Überblick über die Nutzung.

All das sollte mit einem Fixpreis pro Monat und User beglichen werden, um eine einfache Budgetierung zu ermöglichen.