Security versus Mobility
Der Preis der Unabhängigkeit
Moderne Informations- und Kommunikationstechnik macht viele Anwender räumlich unabhängiger denn je, sie können auf Reisen oder von zu Hause aus fast genauso arbeiten wie am Unternehmens-standort. Doch durch die zunehmende Mobilität entstehen auch neue Sicherheitsrisiken, denen sich IT-Verantwortliche stellen müssen.
Es ist wichtig, die Gesamtzusammenhänge der Sicherheitsstruktur zu prüfen, um einen sauberen Status quo zu erreichen.
Die Netzwerklandlandschaft hat sich in den letzten Jahren grundlegend geändert. Neue Zugangsmethoden, wie Wireless-LAN (WLAN) oder Virtual-Private-Network (VPN), gewinnen immer mehr an Akzeptanz. Ein Zugewinn and Flexibilität und Mobilität sowie ein großes Maß an Kostenersparnis sind die treibenden Faktoren. Durch die steigende Verbreitung dieser Technologien werden aber auch vermutliche neue Sicherheitslücken eingebaut.
Mobile Dienste werden von den Unternehmen und deren Mitarbeitern immer stärker genutzt. Bei fast allen neuen Geschäftsszenarien steht das Internet im Brennpunkt des Interesses. Es ist die zentrale Plattform, die zukünftige Geschäftsanwendungen ermöglicht. Wichtige Kerngrößen des Internet der nächsten Generation sind hohe Zuverlässigkeit und Verfügbarkeit für geschäftskritische Anwendungen, Servicequalität, durchgängige Datenübertragung auf optischen Netzen bis zum Desktop sowie flexible Bereitstellung von Inhalten und Diensten für jedes Endgerät. Darüber hinaus ist die nächste Internet-Generation sowohl über Kabel als auch mobil über Funk zugänglich. Menschen können dadurch effizienter zusammenarbeiten und durch den Zugriff auf Anwendungen und Dateien besser mit Kollegen und Kunden kommunizieren. Der persönliche Desktop, E-Mails und Dateien stehen ebenso wie der sichere Zugang zu Internet und Corporate-Networks zeit- und ortsunabhängig mittels den unterschiedlichsten stationären und mobilen Kommunikations-Endgeräten, wie Mobiltelefonen, PDAs oder Laptops, zur Verfügung.
Hierdurch ergeben sich für Unternehmen optimierte Arbeitsabläufe und neue Geschäftsmöglichkeiten. Für Mitarbeiter stehen die gewohnte Arbeitsumgebung und die notwendigen Dateien und Informationen zur Verfügung, egal ob sie im Teleworking von zu Hause, im firmeneigenen oder im externen Büro arbeiten.
In der nahen Zukunft werden zudem verstärkt Konvergente Netze ihren Platz einnehmen. Sie bieten heute eine einheitliche Infrastruktur zum Informationsaustausch. Das unterscheidet sie von traditionellen Netzwerken, die entweder über Telefonleitungen die Stimme oder über Computernetze Daten transportieren. Die Gartner Group schätzt, dass 2005 rund 45 Prozent der neu installierten Telefonleitungen IP-basiert arbeiten werden; 2000 waren es noch zwei Prozent.
Die Portierung existierender Anwendungen auf mobile Plattformen wirft jedoch Fragen in puncto Sicherheit auf. Vor allem dürfen die in den Unternehmen aufgebauten Sicherheitsarchitekturen nicht durch die mobilen Endgeräte für Angriffe von außen geöffnet werden. Daher müssen sich Unternehmen auch von der Ansicht trennen, dass die Daten innerhalb des Netzwerkes sicher sind und nur von außen Gefahren durch Hacker, Wardriver, Viren oder Würmer lauern.
So banal es klingen mag, aber ein grundsätzliches Problem besteht darin, dass sich die Teilnehmer einer Kommunikation nicht sehen. Dies gilt sowohl für Telefon, Handy, PDA als auch für Laptop. Beim Telefon hilft die Stimme zur Erkennung des Gegenüber, bei den weiteren Varianten müssen andere Methoden genutzt werden, um sich zu authentifizieren und andere identifizieren zu können.
Ein weiteres Stichwort ist Integritätsschutz. Wie kann sicher gestellt werden, dass die Daten bei der Übertragung nicht verändert wurden, wenn jemand etwa bei einem Geschäft im Internet eine Zahlungsanwendung genutzt hat? Wer ist berechtigt, auf welche Ressourcen zuzugreifen? Sensible Daten von Kunden oder geheime Unternehmensstrategien, die heute häufig auf Unternehmensservern liegen, sollen per Fernzugriff nur den Berechtigten zugänglich sein.
Durch den Einsatz von WLAN werden die Mobilität und Flexibilität erhöht. Die Wireless-Wolke macht aber vor Unternehmensmauern keinen Halt. Sensible Daten können ohne die Aktivierung von entsprechen Sicherheitsfunktionen über dieses Medium aus dem Unternehmen entfernt werden, ohne dass jemand etwas bemerkt. Jede Wireless-Zugangsstelle ist ein einfaches Mittel geworden, Grenz-Abwehrsysteme zu umgehen.
Doch nicht nur Wireless-LAN ist ein potentieller Gefahrenherd. Neue Technologien wie so genannte Adhoc-Netzwerke über Bluetooth oder Smart-Phones werden zukünftig verstärkt als Angriffziele in Erscheinung treten. Laut IDC werden 500 Millionen Smart-Phones für das Jahr 2006 erwartet. Durch die schnelle Verbreitung dieser Geräte, zu denen natürlich auch die USB-Memory-Sticks zählen, reicht es nicht, wenn Unternehmen nur noch klassisch den Virenschutz auf den Desktop oder Laptop aufspielen. Zudem verfügen immer mehr Laptops über den Hibernate-Modus, den »Schlafmodus«. Der Laptop ist dadurch nach wie vor aktiv und kann angegriffen werden, auch wenn er in der Tasche eines Mitarbeiters vermeintlich geschützt ist.
Grundsätzlich gewinnen dadurch End-to-End-Sicherheit, Verschlüsselung, Aufbau von Trust-Centern und Public-Key-Infrastrukturen (PKIs) an Bedeutung. Verschlüsselung hilft vertrauliche Computer-Telefongespräche oder E-Mails zu schützen. Eine PKI ermöglicht sichere End-to-End-Transaktionen mittels Identifikation und Authentisierung von Kunden und Produktanbietern. Das verschlüsselte Passwort des Kunden ist beim Lieferanten sicher gespeichert. Es verschafft ihm die Sicherheit, dass die Transaktion tatsächlich vom jeweiligen Kunden getätigt wurde. Eine verschlüsselte Verbindung über Remote-Access-VPN erlaubt etwa vom Hotel oder von zu Hause aus über eine öffentliche Datenleitung sicher auf den Unternehmensserver zuzugreifen. Der chipkartenbasierte Zugang zu Rechnern und Netzen mit unterschiedlichen Rechten ist ein Weg, um Anwender zu authentifizieren und für Verbindlichkeit zu sorgen.
Stellt sich nun die Frage, ob die Implementierung von Sicherheitsfunktionalitäten die Nutzung von neuen, mobilen Diensten einschränkt oder gar verhindert. Sicherlich gibt es Funktionen, die statisch an bestimmten Stellen konfiguriert werden. Das können zum Beispiel auf Switch-Port-Ebene Zuweisungen von bestimmten MAC-Adressen auf entsprechende Switchports sein. Dadurch kann sichergestellt werden, dass nur ausgewählte Rechner Zugang zur Infrastruktur bekommen. Zieht dieser Anwender aber mit seinem Rechner um, kann er ohne entsprechende Umkonfigurationen nicht mehr über das Netzwerk kommunizieren. Das erhöht den Aufwand für den Administrator enorm und lässt die Betriebskosten in die Höhe schnellen.
Beispielsweise kann Enterasys im Rahmen der User-Personalized-Network-Architektur (UPN) eine kosteneffektive und automatisierte Lösung bieten. Im Zuge dieser oben genannten Umzüge wird der Rechner nicht mehr statisch einem Switch-Port zugewiesen. Durch Authentifizierungsmaßnahen auf Basis von MAC-Adresse oder Benutzername via IEEE 802.1X werden dynamisch die entsprechenden Rechner auf Switch-Port-Ebene freigeschaltet. Der Anwender kann dadurch ohne Konfigurationsaufwand innerhalb des Unternehmens umziehen. Dabei spielt es keine Rolle, ob der Rechner via Wireless-LAN oder mittels drahtgebundenem Ethernet an das Unternehmensnetz angeschlossen ist. Die entstehende Kosten- und Zeitersparnis beim Changemanagement sind ernorm.
Ist der Switch leistungsfähig genug, kann er zudem eine »verteilte Firewall« darstellen, indem er einige Funktionen einer Firewall wie Berechtigungsprüfungen und Filtern von Datenpakete übernimmt. Durch einen Zusammenschluss mehrerer Switches werden die so genannten »Enforcement Points« im gesamten Netz verteilt, die Sicherheit des Intranet lässt sich damit erheblich verbessern. Unberechtigte Nutzer werden sofort abgewiesen, unerwünschte Datenpakete gelangen erst gar nicht ins Netzwerk und für bestimmte Arten von Datenströmen gilt ein eingeschränkter Zugang zum Netz. Die Switches sind in der Lage, die Zugriffsrechte am Netzwerkrand dynamisch an den Nutzer anzupassen. Der berechtigte Nutzer erhält nur Zugriff auf diejenigen Protokolle und Ressourcen, die für seine spezifische Aufgabenstellung erforderlich sind. Wenn ein Vertriebsmitarbeiter beispielsweise keinen Zugriff auf das Simple-Network-Management-Protokoll (SNMP) erhalten soll, wird bei der Berechtigungsprüfung ein entsprechender Filter im Switch aktiviert.
Durch den Einsatz eines Intrusion-Detection-Systems wie Dragon kann zusammen mit dem Netsight-Policy-Manager zusätzlich eine Lösung bereitgestellt werden, die verteilte Intrusion-Prevention-Funktionalitäten an jedem internen Zugangspunkt des Netzwerkes ermöglicht.
Ein ganz entscheidender Faktor in einer ganzheitlichen Sicherheitsstruktur ist jedoch der Faktor Mensch. Eine Umfrage der Meta Group ergab, dass das größte Hemmniss für die Durchsetzung eines hohen Sicherheitsniveaus bei IT-Infrastrukturen das geringe Sicherheitsbewusstsein der Anwender ist. Hier müssen Unternehmen schnellstens Maßnahmen ergreifen, um nicht unbewusst Opfer eines Angriffes zu werden. Denn meist starten Angriffe ohne böswillige Absichten ausgehend von den diversen Endgeräten der Mitarbeiter.
In letzter Konsequenz ist es jedoch wichtig, die Gesamtzusammenhänge der Sicherheitsstruktur zu prüfen, um einen sauberen Status quo zu erreichen. Leider wird bisher oft erst dann etwas getan, wenn gerade mal ein Thema die öffentliche Aufmerksamkeit gewinnt oder eine Sicherheitslücke aufgedeckt wurde. Dann wird hastig der Virenschutz verbessert, die letzten Security-Patches eingespielt oder schnell eine Firewall installiert. So werden aber immer nur Einzellöcher gestopft. IT-Sicherheit ist kein Produkt, sondern ein Prozess von aufeinander abgestimmten Maßnahmen. Durch deren regelmäßige Überprüfung und Aktualisierung erreicht man ein höheres Niveau an Sicherheit als vorher und kann die neuen, mobilen Geschäftsmöglichkeiten nutzen. Unternehmen wie Enterasys Networks stellen Lösungen bereit, die die individuellen Sicherheitsanforderungen von Unternehmen heute bereits erfüllen.
Andreas Seum, Director of Technology, Office of the CTO, Enterasys
