Secure Remote Access im BYOD-Umfeld
Datenverschlüsselung allein reicht nicht aus
Kaum einem Unternehmen gelingt es, die Augen vor Trends wie flexiblen Arbeitsplätzen und Bring Your Own Device (BYOD) zu verschließen. Früher oder später führt kein Weg daran vorbei, will man die Mitarbeiterzufriedenheit verbessern, die Produktivität steigern und Arbeitsprozesse optimieren. Dabei bezieht sich BYOD keinesfalls - wie oft angenommen - nur auf Smartphones und Tablets, sondern auch Laptops und Desktop PCs. In diesem Kontext erlangen auch Secure-Remote-Access-Lösungen neue Aufmerksamkeit.
Der Fernzugriff auf zentrale Unternehmensdaten und Anwendungen mit einem beliebigen Gerät und zu jeder Zeit ist essentiell für die erfolgreiche Umsetzung solcher Konzepte. Der IT-Verantwortliche muss hier vor allem die Sicherheit der Unternehmensressourcen gewährleisten und vielfältige Sicherheitsrisiken bedenken – in Zeiten steigender Cyberkriminalität muss er den Spagat zwischen einem zuverlässigen Schutz und effektiver Administration und Bedienbarkeit schaffen. Insbesondere bei BYOD ist dies eine herausfordernde Aufgabe, da der IT-Verantwortliche kaum Kontrolle über die verwendeten Endgeräte und deren Sicherheitsniveau hat. Oft werden private Geräte sogar ohne Zustimmung des Unternehmens verwendet. Auch das Sicherheitsbewusstsein der Mitarbeiter ist nur marginal beeinflussbar und lässt zu wünschen übrig, wie der Branchenverband Bitkom im Mai 2012 herausfand: Dessen Umfrage kam zu dem Ergebnis, dass etwa jeder Fünfte der Befragten weder einen Virenschutz noch eine Firewall auf seinem Privatrechner installiert hat – von regelmäßigen Updates ganz zu schweigen. Daher kann bei einer verschlüsselten Datenübertragung (3DES, AES etc.) – ob mit IPSec- oder SSL-VPN – noch lange nicht die Rede von „Secure Remote Access“ im BYOD-Umfeld sein. Das wäre zu kurz gedacht. Remote Access wird erst dann wirklich sicher, wenn weitere Sicherheitskomponenten integriert sind. Moderne Remote-Access-Lösungen bieten hier eine Vielzahl von Möglichkeiten.
Authentifizierungsoptionen nutzen
Zunächst gilt es, den Zugriff auf zentrale Unternehmensressourcen zu beschränken. Eine starke Authentifizierung stellt sicher, dass ausschließlich autorisierte Anwender Zugang erhalten. Dabei erlauben moderne Remote-Access-Lösungen eine Benutzerauthentifizierung auf vielfältige Weise – für größte Flexibilität und ganz nach den jeweiligen Unternehmensbedürfnissen. So ist eine Benutzerauthentifizierung mittels SSL-basierter Benutzerzertifikate möglich. Hier können Smartcards oder Ähnliches Verwendung finden. Die Gültigkeit der Zertifikate lässt sich per Online Certificate Status Protocol (OCSP) oder Certificate Revocation List (CRL) überprüfen. Denkbar ist auch eine Authentifizierung mit Einmalkennwörtern (One-Time Passwords) über einen Radius-Server. Heute unterstützen fast alle Hersteller von One-Time-Password-Lösungen das Radius-Protokoll. Eine weitere Variante der Authentifizierung stellt die Anbindung von LDAP-Verzeichnisdiensten wie Microsoft Active Directory, Oracle Directory Server Enterprise Edition oder OpenLDAP dar. Für größtmögliche Sicherheit sorgt ein Single Sign-on auf der Basis von Kerberos. Vorteilhaft ist die Tatsache, dass das Passwort nur ein einziges Mal übertragen wird; danach arbeitet Kerberos mit so genannten Tickets, mit denen die weiteren Authentifizierungen erfolgen. Darüber hinaus muss sich der Anwender lediglich ein einziges Passwort merken; dieses kann dafür komplizierter und somit schwerer zu knacken sein. Bei einer Kerberos Single-Sign-on-Lösung authentifizieren sich sowohl der Client gegen den Server, der Server gegen den Client als auch der Kerberos-Server gegenüber dem Client und Server selbst. Dies verringert das Risiko von Man-in-the-Middle-Angriffen deutlich. Das Prinzip des Compliance Checks ist eng mit der Vergabe von Rollen und Rechten verknüpft. Der Benutzer kann abhängig vom Ergebnis des Compliance Checks eine bestimmte Rolle sowie damit verbundene Rechte erhalten. Viele moderne Remote-Access-Lösungen haben ein solches Tool mittlerweile integriert. Das Prinzip ist denkbar einfach – und sorgt doch für einen deutlich besseren Schutz der zentralen Unternehmensressourcen. Mit einem Compliance Check wird ein Endgerät zunächst auf bestimmte Details überprüft. Nur wenn der Check bestanden wird, ist ein Zugriff auf die Produktiv-Server und Daten des Unternehmens möglich. Konfiguriert man die Remote-Access-Lösung entsprechend, verhindert dies den Zugriff mit einem unbefugten Gerät. Zu überprüfende Details können das Vorhandensein einer Anti-Viren-Software, aktuelle Security Patches, offene Ports oder auch die IP- oder MAC-Adresse des Zugriffsgeräts sein. Erfüllt ein Endgerät ein Kriterium nicht, kann die Security-Lösung den Zugriff verweigern. Eine alternative Möglichkeit besteht darin, in einem solchen Fall den Zugriff stark einzuschränken oder das Gerät auf einen anderen Server im Unternehmen umzuleiten. Hier kann der Anwender dann zunächst nötige Updates herunterladen und diese installieren. Die Wahrscheinlichkeit, dass Produktivsysteme von Viren, Trojanern etc. befallen werden, sinkt deutlich. Mittels Authentifizierungsverfahren wird sichergestellt, dass ausschließlich berechtigte Benutzer Zugang erhalten. Zudem erhöht die Vergabe von Rollen und Rechten die Sicherheit beim Remote Access und autorisiert den Benutzer für den Zugriff auf bestimmte Unternehmensressourcen. Eine Rolle ist dabei als ein Konfigurationspaket von Bedingungen und Privilegien für einzelne Benutzer oder Benutzergruppen definiert. Dadurch kann ein Anwender nur auf für ihn vorgesehene Bereiche zugreifen. Das ist besonders bei sensiblen Unternehmensdaten wie Personal- oder Finanzinformationen essentiell. Mit der granularen Vergabe von Rollen und Rechten ist es möglich, die individuellen Sicherheitsrichtlinien eines Unternehmens abzubilden und somit auch deren Einhaltung zu gewährleisten (IT-Compliance). Gerade im BYOD-Kontext, in dem keine direkte Kontrolle der Endgeräte möglich ist, stellt dies einen großen Vorteil dar.
Anti-Split Tunneling
VPN-Lösungen bauen im Internet einen Tunnel vom Endgerät zur Firmenzentrale auf, durch den die Daten sicher und geschützt ausgetauscht werden. Wie der Name „Anti-Split-Tunneling“ vermuten lässt, verhindert eine solche Funktion den Aufbau einer weiteren parallelen Internetverbindung, solange ein VPN-Tunnel zur Firmenzentrale aktiv ist. Der Benutzer kann also während der Firmenanbindung nicht auf ein anderes Netzwerk zugreifen oder über eine andere Verbindung im Internet surfen. Dies verhindert, dass die Kommunikation über den VPN-Tunnel über eine parallele Verbindung angreifbar ist. Da moderne Remote-Access-Lösungen Daten stark komprimiert übertragen, ist der Performance-Verlust beim Surfen über die VPN-Verbindung äußerst gering, die Produktivität leidet nicht. Standardmäßig findet bei einer Remote-Access-Verbindung die IP-Adresse des verwendeten SSL/IPSec-Gateways für die Kommunikation mit dem Zielsystem Verwendung. Deshalb lässt sich ein Benutzer nicht eindeutig anhand seiner IP-Adresse im LAN identifizieren. Oft ist aber eine fest zugeordnete IP-Adresse Bedingung für das Lizenz-Management der am Zielsystem verwendeten Applikationen. Moderne Remote-Access-Lösungen erlauben deshalb die Vergabe vorkonfigurierter persönlicher IP-Adressen. Bei einer Überprüfung, zum Beispiel mit dem Befehl netstat, werden nun die anwenderspezifischen IP-Adressen angezeigt, die auf das System zugreifen. Die einzelnen Benutzer sind somit eindeutig zu identifizieren. So kann man auch im Fall eines Problems schnell und einfach die ursächliche Stelle lokalisieren und das Problem beheben.
Fazit
Eine umfassende und flexible Secure-Remote-Access-Lösung unterstützt den IT-Verantwortlichen bei der Herausforderung, neue Trends wie BYOD und flexible Arbeitsplätze mit der IT-Sicherheit in Einklang zu bringen. Ob dabei die Daten über ein IPSec- oder SSL-VPN übertragen werden sollten, hängt von weiteren unternehmensspezifischen Einflussfaktoren ab. Wer eine leichte und zentrale Administrierbarkeit der Lösung bevorzugt, ist mit einem SSL-VPN bestens bedient. In jedem Fall gilt jedoch, dass eine verschlüsselte Datenübertragung allein nicht ausreicht, um in Zeiten steigender Internetkriminalität zentrale Unternehmensressourcen effektiv vor Missbrauch und Angriffen von außen zu schützen. Wer die mittlerweile oft integrierten zusätzlichen Sicherheitsfunktionen der Secure-Remote-Access-Lösungen richtig einsetzt, ist auf der sicheren Seite – ohne Einschränkungen bei der Bedienungsfreundlichkeit.
Lesen Sie mehr zum Thema
