Mobile Geräte richtig schützen

Die Frage, wie die Sicherheit der Unternehmens-IT langfristig gewährleistet werden kann, bereitet den Security-Verantwortlichen zunehmend Kopfschmerzen. Die Budgets schrumpfen, die rechtlichen Vorgaben werden zunehmend komplexer, die Attacken immer zielgerichteter und hinterhältiger. Polymorphe Schadprogramme, die sich laufend verändern, und modularer Code, der die Malware in mehreren Teilen und Etappen sendet, stellen die IT-Security vor neue Probleme. Zudem droht Gefahr von innen.

Fast 50 Prozent aller Datenverluste sind auf (oftmals unbewusste) Benutzerfehler zurückzuführen. Meldet etwa ein Mitarbeiter sein unzureichend gesichertes Notebook am Firmennetz an, öffnet er ein Einfallstor für Angriffe, Viren oder Würmer.

Um diese Gefahr zu bannen, ist «Network Access Control» ein geeignetes Mittel. Hinter diesem Ansatz verbirgt sich ein Satz von Regeln, denen alle Geräte - die so genannten «Endpoints» - folgen müssen, um Zugang zum Unternehmensnetzwerk zu erhalten. Dazu gehört etwa die Bedingung, dass auf dem Endgerät eine Firewall und ein Viren-scanner installiert sein müssen - und dass diese natürlich auf dem aktuellsten Stand sind. Überdies müssen wichtige Daten und die Kommunikation verschlüsselt werden und für alle relevanten Applikationen die letzten Sicherheits-Updates vorhanden sein. Erfüllt ein Endgerät die geforderten Bedingungen, spricht man von «Endpoint Compliance». Nur in diesem Fall können mit dem Gerät alle verfügbaren Netzwerkfunktionen wie Zugriff auf E-Mails, das Intranet sowie geschäftsrelevante Dokumente genutzt werden. Werden einzelne Regeln der Endpoint Compliance verletzt, muss das Endgerät automatisiert fehlende Sicherheitsfunktionen, wie beispielsweise aktuelle Virensignaturen, herunterladen können. Geschieht dies nicht, wird der verfügbare Funktionsumfang verringert oder der Zugriff aufs Firmennetz komplett verweigert.

Die Endpoint Compliance zielt somit auf weit reichenden Schutz der Vertraulichkeit, Verfügbarkeit und Integrität aller wertvollen Daten. Dieses Ziel soll unabhängig davon erreicht werden, ob geschäftskritische Daten auf einem Server, einem Desktop-PC oder einem mobilen Endgerät gespeichert sind. Dazu überwacht ein Programm auf allen Endgeräten - auch Mobilgeräten wie Notebooks und Smartphones - alle Verbindungen auf Endpoint Compliance und sorgt damit für die Einhaltung unternehmensweiter Sicherheitsrichtlinien.

Werden mögliche Sicherheitsvorfälle bei der Vergabe von Zugriffsrechten nicht ausreichend berücksichtigt, können viele technische Sicherheitsmassnahmen wirkungslos werden. Dies gilt natürlich auch für Partnerunternehmen, Revisoren und Berater, die ihre Mitarbeitenden im Unternehmen stationieren. Um Dokumente zu drucken, aufs Internet oder auf Projektordner zugreifen zu können, muss ihnen Zugang zum Server gewährt werden. Dadurch stehen dem Partner, respektive jeder Person, die Zugriff auf dessen Computer hat, alle Türen offen, um die IT lahm zu legen oder Daten zu entwenden.

Von externen Partnern stammende Endgeräte werden daher mit einem temporären Client auf Basis eines Browser-Plugins versehen. So wird zumindest die Einhaltung der wichtigsten Sicherheitsregeln garantiert. Natürlich werden dabei die Zugriffskompetenzen gegenüber eigenen Endgeräten auf ein Minimum beschränkt. Das Problem lässt sich auch mit einem virtuellen Desktop lösen. Auf diesem werden dem «Gast» nur genau jene Rechte eingeräumt, die er benötigt. Er kann sich in den virtuellen Desktop einloggen und dort nur die erlaubten Anwendungen und Funktionen ausführen. Dies bringt beiden Seiten einen hohen Gewinn an Sicherheit.

Sicherheitsrisiken wachsen auch aufgrund der Mobilität der Mitarbeitenden. Die Kombination von Virenschutz, Antispyware, Intrusion Prevention, Desktop-Firewall und Network Access Control hilft, die Risiken zu minimieren. Allerdings verursacht diese Vielzahl von Lösungen hohe Kosten - auch, weil deren Management komplex und zeitaufwändig ist. All-in-One-Lösungen, wie sie diverse Security-Firmen bereits anbieten, bündeln die Vorteile verschiedener Sicherheitstechnologien zu einer Single-Agent-Lösung mit zentraler Management-Konsole.

Sie schont die Systemressourcen, indem sie den Speicherbedarf im Vergleich zu entsprechenden Produktkombinationen um mehr als 80 Prozent reduziert. Ferner kombiniert sie einen signaturbasierten Virenschutz mit neuen proaktiven Technologien für die Bedrohungserkennung - und bietet so umfassenden Schutz vor bekannten, aber auch vor möglichen neuen Bedrohungen.

Mit gezielter Endpoint Compliance und All-in-One-Lösungen können also anscheinend widersprüchliche Anforderungen vereint werden. Rechtliche Vorschriften werden eingehalten, die Anforderungen der Mitarbeiter nach mehr Mobilität wird erfüllt, die Systemressourcen werden geschont und die Kosten für Anschaffung und und Management der IT-Security laufen nicht aus dem Ruder.

Tipps zum sicheren Umgang mit mobilen Endgeräten

Schulen Sie die Mitarbeiter.

Das Thema Datendiebstahl via I-Pods, USB-Speicher und Smartphones muss Teil des Sicherheitskonzepts sein.

Führen Sie Applikationen ein, die transparent machen, wer wann womit aufs Netz zugreift.

Auf Laptops, PDAs und Smartphones müssen Virenschutz und Firewall installiert sein.

Verbindungen dürfen nur über VPN (Virtual Private Network) zugelassen sein.

Daten auf Endgeräten, vor allem Desktops und Laptops, müssen durch regelmässiges, automatisiertes Backup gesichert werden.

Regeln Sie klar, wie Partner auf das Netzwerk zugreifen dürfen - und wie nicht.

Kombinieren Sie den Virenschutz mit Antispyware, Intrusion Prevention, Desktop-Firewall und Network Access Control.