Daniel Bärtschi ist Regional Director Schweiz bei Fiberlink International.

Der Nutzen von modernem «mobile Computing» für ein Unternehmen ist vielschichtig. Durch erhöhte Mobilität wird die Produktivität nachhaltig gesteigert, Kosten werden spürbar reduziert und die Flexibilität der Mitarbeiter am Arbeitsplatz wird deutlich erhöht. Entsprechend ist heute ein «mobiler Mitarbeiter» längst nicht mehr nur der klassische Handelsreisende - sondern prinzipiell jeder Angestellte, der einen Laptop benutzt. Diese etwas weiter gefasste Definition geht einher mit der kontinuierlich steigenden Anzahl an Notebooks in Unternehmen, woraus sich neue Herausforderungen ergeben. So gilt es vor allem, die gewonnene Mobilität einfach, nahtlos und sicher für die Endbenutzer zu gestalten.

Dies liegt auch an der in den vergangenen Jahren einem starken Wandel unterworfenen Unternehmenskultur. Zunehmend mehr Daten werden für mobile Mitarbeiter zugänglich gemacht. Gleichzeitig werden aber auch immer mehr Prozesse und Tätigkeiten ausgelagert. Hieraus resultiert zwangsläufig eine Öffnung von Datenbeständen, deren Einsicht noch vor nicht allzu langer Zeit nur ausgewählten Mitarbeitern vorbehalten war. Immer mehr mobile Mitarbeiter müssen also möglichst kosteneffizient und sicher an das Unternehmensnetzwerk angebunden werden. Gleichzeitig gilt es, den einfachen Zugriff auf Angebote, Präsentationen, Fotos, -Videos, E-Mails, Webseiten, Instant Messages, Telefongespräche und andere digitale Inhalte zu gewährleisten.

Strenge Compliance-Vorschriften und neue Gesetze zur Unternehmenshaftung stellen Firmen dabei vor immer grössere Herausforderungen bei der Sicherung und Wiederherstellung ihrer Daten. Darüber hinaus gewinnen betriebswirtschaftliche Regelwerke für Bonitätsprüfungen oder Verfahrenszertifizierungen wie Basel II oder Sarbanes-Oxley mehr und mehr an Bedeutung. Ein entscheidendes Kriterium ist die zweifelsfreie Authentifizierung jedes im Netzwerk angemeldeten Mitarbeiters - egal ob dieser nun im Büro, am Flughafen, im Homeoffice oder im Internetcafé sitzt.

In den vergangenen Jahren konzentrierten sich IT-Schutzmassnahmen in erster Linie darauf, die äussere Grenze des Unternehmensnetzwerks abzusichern. Bei mobilen Clients kommt indes die Gefahr hinzu, dass eine ständige Kontrolle über das Netzwerk nicht gegeben ist, weil die Benutzer auch offline arbeiten oder über ungesicherte Netzwerke miteinander kommunizieren.

Dies können fremde Unternehmensnetzwerke sein oder öffentliche Internet-Zugangspunkte in -Cafés oder Flughafen-Lounges. Je höher die Anzahl an nicht ausreichend geschützten Notebooks in einem Unternehmen ist, desto höher ist die Wahrscheinlichkeit, dass selbst bei grösster Disziplin der Anwender schädlicher Programmcode ins Firmennetzwerk gelangt. Kommt zudem das Notebook eines Mitarbeiters abhanden, können geschäftskritische Daten in falsche Hände geraten.

Immerhin ist sich heute die Mehrzahl der Internetbenutzer bewusst, dass es gewisse Sicherheitsrisiken gibt. Aus diesem Grund sind Viren-Scanner, Spam-Filter und Content-Schutz auf Notebooks heute weit verbreitet. Eine grundlegende Massnahme besteht darin, dass die aktuellsten Sicherheits-Patches für Windows und den Internet Explorer (respektive den von den Mitarbeitern verwendeten alternativen Webbrowser) aufgespielt sind. Firewalls und zusätzliche zentrale Sicherheitseinrichtungen im Netzwerk dienen der Abwehr von Viren und Trojanern, während VPN (Virtual Private Networks) gewährleisten, dass Informationen, die vom Notebook via Internet an das Firmen-LAN gesendet werden, ordentlich abgesichert sind. Mit einer Benutzerauthentisierung lässt sich sicherstellen und nachweisen, dass sich ein berechtigter Nutzer im Unternehmensnetz aufhält. Die Verschlüsselung der Daten schützt vor unautorisierter Nutzung.

Alle diese Massnahmen sind sinnvoll. Doch das Sicherheitsniveau sollte danach ausgerichtet werden, wie geschäftskritisch die zu schützenden Daten sind. Für die tägliche, leicht reproduzierbare interne Korrespondenz mag der Standardschutz ausreichen. Geht es aber um Vertragsdetails für einen wichtigen, bevorstehenden Geschäftsabschluss oder um vertrauliche Konstruktionsdaten aus Forschung und Entwicklung, sieht die Sache schon ganz anders aus.

Richtig kritisch wird es, wenn sich derartige, in höchstem Masse vertrauliche Daten auf Notebooks befinden. Da mobile Führungskräfte regelmässiger mit dem Unternehmensnetz in Verbindung treten, muss auch der Datenaustausch abgesichert werden.

Mobile Nutzer stellen Unternehmen vor Sicherheitsprobleme, welche diese dringend lösen müssen: Die Einhaltung von Sicherheitsrichtlinien, den Schutz vor Malware und unbefugten Datenzugriffen sowie die Kontrolle von Inhalten. Damit Unternehmen und Anwender von der Mobilität auch profitieren, und sich nicht ständig mit deren Risiken beschäftigen müssen, sind umfassende Sicherheitsmassnahmen notwendig. Letztere erfordern jedoch Know-how und Personalressourcen. Entscheidend sind Faktoren wie Administrationsaufwand, Kosten-Nutzen-Relation, Skalierbarkeit und langfristiger Investitionsschutz.

Nach wie vor verwalten die meisten Unternehmen ihre mobilen Arbeitskräfte eigenhändig - meist mit einem Patchwork aus verschiedenen, punktuellen Sicherheits-, Connectivity- und Management-Lösungen. Dieser Flickenteppich umfasst Personal Firewalls, Anti-Virus- und Anti-Spyware-Lösungen, virtuelle private Netzwerke und Netzwerkzugriffsüberwachung, Softwareverteilung, Connectivity-Clients und andere Tools. All diese Lösungen lassen sich nur mit hohem Zeit- und Kostenaufwand integrieren, betreiben und aktualisieren. Hohe Komplexität und mangelnde Integration steigern zudem das Risiko von Fehlbedienung oder Sicherheitslücken. Zudem lässt sich eine uneinheitliche Sicherheitsinfrastruktur nicht gerade einfach mit Richtlinien vereinbaren, um etwa Compliance-Anforderungen gerecht zu werden.

Als effiziente Alternative gewinnt das Outsourcing in Form spezialisierter Managed Services zunehmend an Bedeutung. Auch NAC-Lösungen (Network Access Control) versprechen leistungsfähigen Schutz vor Viren, Malware und Hackern. Dadurch entfällt für die Unternehmen die Notwendigkeit, ihre Router, Switches, Firewalls oder Appliances aufzustocken oder zu ersetzen. Alle NAC-Funktionen werden von einem einzigen, integrierten System ausgeführt, unter dem Dach einer Managementoberfläche.

Die Ideallösung ist eine Kombination mehrerer aktueller Sicherheitstechnologien, welche auch den Netzwerkzugriff mobiler Clients erfassen. Für die Effektivität einer derartigen Mobile-NAC-Lösung ist aber entscheidend, welche Szenarien für den Netzwerkzugriff überhaupt erfasst werden. Statt die mobilen Geräte nur beim Zugriff auf das Unternehmens-LAN zu überprüfen, sollte eine Mobile-NAC-Lösung die Endgeräte beim Zugriff auf jede Art von Netzwerk - seien es Partnernetzwerke, Heimnetzwerke oder öffentliche Internet-Sites - erfassen und die nötigen Massnahmen einleiten. Eine derartige Lösung muss alle grundlegenden Funktionen für die Zugangskontrolle bereitstellen, einschliesslich Policy-Management, Endpoint Monitoring, Endpoint Remediation und Quarantäne-Funktion.

Über das Endpoint Monitoring werden mobile Clients ständig dahingehend überwacht, ob eine Einhaltung vorher definierter Richtlinien, der so genannten Policies, gegeben ist. Endpoint Remediation bedeutet, dass die Compliance nicht-konformer Systeme automatisch wiederhergestellt wird und mobile Anwender innerhalb kurzer Zeit wieder auf das Netzwerk zugreifen können. Die Quarantäne-Funktion sorgt dafür, dass regelwidrige Systeme keinen Zugriff zum Netzwerk bekommen oder - je nach Risikoeinstufung - nur Zugang zu bestimmten Netzwerkbereichen erhalten.

Unternehmen profitieren bei der Nutzung einer modernen Mobile-NAC-Lösung zweifach: Insgesamt verringert sich der Aufwand, bei deutlich besserem Schutz geschäftskritischer Informationen. Dies beginnt bei der einfachen, schnellen Implementierung und geht über den aufwandsarmen laufenden Betrieb bis hin zur problemlosen Skalierbarkeit.