NAC und MDM im Schulterschluss
Tandem für sichere Mobilität
Der Mischbetrieb von privaten und geschäftlichen Mobilgeräten in Unternehmensnetzen (Bring Your Own Device, BYOD) stellt aus dem Blickwinkel der Sicherheit eine große Herausforderung dar, die nur mit exakten Policy-Vorgaben und viel Technik zu überwinden ist. Dabei ist eine möglichst enge Kopplung von Netzwerkzugangskontrolle und MDM-System (Mobile-Device-Management) ein entscheidender Faktor.Sicherheit setzt Sichtbarkeit voraus, nicht zuletzt in der IT. "Security by Obscurity" (Sicherheit durch Verschleierung) schafft nur Pseudosicherheit und ist gefährlicher als erkannte objektive Unsicherheit. Für die sichere und richtlinienkonforme Verwaltung mobiler Geräte wie Smartphones und Tablets, auf denen sowohl private als auch geschäftliche Anwendungen sind und sein dürfen, gilt die Forderung nach Sichtbarkeit umso mehr. Solche BYOD-Infrastrukturen sind besonders interessant, weil sie den Spagat zwischen dem Bedienkomfort der Nutzer und der Sicherheit für die geschäftlichen Daten bewältigen müssen. "Spagat" bedeutet hier nicht Kompromiss, sondern das technische Kunststück, hohe Sicherheit und Compliance für die Geschäftsdaten und Geschäftsabläufe mit der Bedienbarkeit zu verbinden, die der Mitarbeiter im privaten Bereich kennt. BYOD-Sicherheit kann deshalb nur Teil einer umfassenderen Sicherheitsstrategie innerhalb eines Unternehmens sein und sollte grundsätzlich unter dem Aspekt einer allgemeinen Vorgehensweise in Sachen Sicherheit und Compliance gesehen werden. Eine BYOD-Strategie, die die Verwaltung und Sicherung mobiler Endgeräte in einem separaten - in der Regel neu geschaffenen - Unternehmensbereich ansiedelt, schafft oft mehr Probleme, als sie löst. Schließlich ist das mobile Netz im Hinblick auf die Unternehmensprozesse schon längst ein integraler Teil des Unternehmensnetzes und sollte technisch auch so behandelt werden. Aber auch organisatorisch ist der Aufbau neuer Kompetenzzentren - hier die traditionelle Netzwerktechnik, dort die Mobile-Spezialisten- mehr als problematisch, weil sie organisatorisch trennt, was sicherheitstechnisch zusammengehört. Nicht zuletzt senkt die Zentralisierung der Management- und Sicherheitsmaßnahmen den Verwaltungsaufwand und die Kosten. Zusammenspiel von NAC und MDM Tatsächlich sind BYOD-Geräte in vielen Fällen die anfälligsten Komponenten im gesamten Netz. MDM-Systeme wie Airwatch, Mobileiron oder Citrix Xenmobile enthalten ein breites Instrumentarium für die Endpoint-Sicherheit, sind aber blind in puncto Sicherheit des Gesamtnetzes. Hier ist ein Zusammenspiel der Überwachungs- und Administrationswerkzeuge für LAN und Mobilnetz notwendig. Dies betrifft in erster Linie NAC-Hardware oder -Software (Network Access Control, Netzwerkzugangskontrolle) auf der einen Seite und die oben genannten MDM-Systeme zur Verwaltung mobiler Endgeräte auf der anderen. Ein NAC-System ohne Zusammenspiel mit einem MDM sieht zwar eine potenzielle Gefahr, kann sie aber nur nach sehr summarischen Kriterien abwehren ("unbekanntes Gerät" oder "nicht verwaltetes Gerät"). Für zweckdienliche Maßnahmen innerhalb einer BYOD-Architektur benötigt das NAC-System detaillierte Informationen über den Zustand des jeweiligen mobilen Endpunkts. Bei einem Zusammenspiel von NAC- und MDM-Lösung kann es diese vom MDM-System erhalten. Die Informationen des MDM-Systems wiederum werden umso wertvoller für die Sicherheit und Compliance, je besser man die Einstellungen eines mobilen Endgeräts mit den allgemeinen IT-Sicherheits- und Compliance-Richtlinien des Unternehmensnetzes abgleichen kann. Will ein nicht verwaltetes mobiles Endgerät ins Unternehmensnetz, hat ein NAC-System im Zusammenspiel mit einem MDM-System nicht nur die Möglichkeit der plumpen Zurückweisung; vielmehr kann es zudem über eine Self-Service-Registrierung die Installation einer Agentensoftware initialisieren, mit dem das Mobilgerät dann aus Sicht des Unternehmensnetzes "sauber" ist. Diese Agentensoftware ist nichts anderes als die Client-Software des MDM-Systems, dem das bisher unverwaltete Gerät unterstellt wird. Richtlinien umsetzen Im MDM-System sind die Richtlinien für das im BYOD-Modus betriebene Mobilgerät festgelegt. Ein Beispiel: In einem Krankenhaus ist die Privatsphäre der Patienten eines der wichtigsten Anliegen. Dies bedeutet, dass Richtlinien für typische Aktivitäten wie den Zugriff auf Patientendaten und die Speicherung von Patientenakten zwingend erforderlich sind. Es bedeutet aber auch, dass weder Bildschirmaufnahmen noch Cloud-Filesharing zugelassen sein dürfen, weil Patientendaten auf diesen Wegen die sichere Umgebung verlassen könnten. Während die NAC-Komponente allein oder auch im Zusammenspiel mit dem MDM formale Eigenschaften wie "verwaltetes oder nicht verwaltetes Gerät", "Virensoftware aktuell" und das Vorhandensein aktueller Sicherheitszertifikate überprüft, ist das MDM für die Durchsetzung der Policy zuständig. Zumindest die besseren MDM-Systeme haben unter anderem präzise und sehr fein justierbare Mechanismen für den Daten- und Dokumentenschutz integriert. Diese verhindern, dass beispielsweise eine App auf dem Endgerät ein geschäftliches Dokument, etwa einen E-Mail-Anhang oder ein Sharepoint-Dokument, an einen potenziell unsichereren Filesharing-Dienst wie Dropbox schicken kann - oder dass eine private App an geschäftliche Dokumente überhaupt herankommt. Auch bieten diese Systeme (oder zumindest die besseren unter ihnen) umfangreiche App-Management-Mechanismen, die eine klare und sichere Unterscheidung zwischen geschäftlichen und privaten Apps ermöglichen und jede Verbindung zwischen diesen beiden Welten blockieren. Eine verseuchte private App kann also keine geschäftliche App infizieren. Ein weiteres Beispiel für die Leistungsfähigkeit moderner MDM-Systeme ist der Schutz gegen versehentliche oder auch bewusst herbeigeführte Datenlecks. Hier sorgen bei hochwertigen MDM-Systemen DLP-Module (Data Loss Prevention) für Schutz vor Datenverlust: Daten, die als vertraulich klassifiziert sind, kann der Anwender nicht an beliebige Kanäle verschicken, bei einem Versand wird der Versender genau protokolliert. De facto haben MDM-Systeme nicht nur eine Verwaltungskomponente, um die Mobilgeräte in eine zentrale Administration einzubinden: Einige bieten mittlerweile auch eine spezielle Schnittstelle für das Andocken an ein NAC-System sowie eine umfassende Endpoint-Security-Komponente mit Leistungsmerkmalen wie den zuvor geschilderten. Interessant wird es auch bei so genannten "Dual Home Devices", also Geräten wie Iphones, die gleichzeitig zwei aktive Netzwerkverbindungen unterhalten, zum Beispiel zum Firmennetzwerk und zum Internet. Diese Schwachstelle lässt sich nur durch das intelligente Zusammenspiel von NAC- und BYOD-Lösung schließen. Sicherheit für den BYOD-Betrieb Die Netzwerkzugangskontrolle ist gerade für mobile Geräte, die privat wie auch geschäftlich genutzt werden (dürfen), eine zentrale Sicherheitskomponente. Das NAC-System prüft im Zusammenspiel mit der MDM-Lösung grundlegende Sicherheitseinstellungen von Mobilgeräten, die ins Unternehmensnetz wollen. Das MDM-Werkzeug wiederum sorgt für die klare und nicht korrumpierbare Trennung von privatem und geschäftlichem Bereich und verhindert die bewusste oder unbewusste Vermischung dieser Bereiche. Beide Komponenten sind unverzichtbar für den Schutz der Unternehmensdaten, und beide ergänzen sich nahtlos. Optimal funktioniert dieses Tandem sicher dann, wenn die NAC-Komponente und die MDM-Komponente eng integriert sind.
Lesen Sie mehr zum Thema
