Mobile Authentisierung als Antwort auf BYOD
Geister, die sich rufen lassen
"Bringt Eure eigenen Smartphones mit zur Arbeit" - dieser Ausspruch ist im Deutschen als höfliche Aufforderung zu verstehen, von der sich immer mehr Angestellte angesprochen fühlen. Ob sie die privaten Geräte auch tatsächlich für den Zugriff auf das Unternehmensnetzwerk einsetzen dürfen, wie die Konzerne auf diesen Trend reagieren und welche Folgen dieser Ansatz für die Infrastruktur und für die Datensicherheit hat, ist derzeit ein großes Diskussionsthema.
In den Diskussionen rund um BYOD geht es um die Vor- und Nachteile sowohl für die Mitarbeiter als auch für das einzelne Unternehmen. Die Entscheidung ist nicht einfach, denn einer höheren Arbeitseffizienz der Angestellten steht ein Mehraufwand des IT-Supports gegenüber. Das Festhalten an einer Standardisierung des IT-Systems gilt als überholtes Sicherheitsdenken. Die Studie „Consumerisation of IT (CoIT)“ von IDC registrierte ein steigendes Interesse von Arbeitnehmern in Europa, private mobile Endgeräte wie Laptops, PDAs oder Smartphones am Arbeitsplatz zu nutzen. 2010 waren es weltweit 30 Prozent, 2011 lag die Quote schon bei 40 Prozent.
Diese Entwicklung ist zum einen nachvollziehbar, denn die Angestellten müssen nicht jedes Mal beim Betreten des Unternehmensgebäudes auf das Business-Handy umstellen. Zum anderen stellt sie Unternehmen und speziell die IT-Abteilungen auf die Probe. Eine komplette Zugangsbeschränkung für private Smartphones ist heute nicht mehr denkbar. Daher müssen sich die Verantwortlichen um einen Ausgleich bemühen zwischen dem Interesse der Mitarbeiter an einer effektiven Nutzung der Technik und dem Anspruch des Unternehmens auf ein stabiles IT-System.
Die IT- Abteilung soll für eine reibungslose Nutzung des Netzwerks sorgen und neue Lösungen und Geräte integrieren. Dabei muss sie den Überblick über die wachsende Infrastruktur behalten und gleichzeitig die Sicherheit der Unternehmensdaten gewährleisten. Viele mittelständische Unternehmen wiegen sich immer noch in Sicherheit und vertrauen auf ein einfaches Kennwort. Oft bemerken die Firmen gar nicht, wenn Unberechtigte von außen auf das Netzwerk zugreifen. Dabei ist es mit geringem Aufwand möglich, durch die Integration einer Berechtigungsverwaltung in ein einheitliches Authentisierungssystem sicherzustellen, dass nur Geräte von berechtigten Personen Zugang zu den Netzwerken und Ressourcen erhalten.
Die meisten Unternehmen rechnen mit negativen Folgen, die sich aus dem fehlenden Schutz für die IT-Sicherheit ergeben. Die IT-Sicherheit droht zu bröckeln, wenn die Client-Landschaften im Zuge des Trends zugunsten eigener Geräte zunehmend heterogener werden. Darüber hinaus halten viele IT-Experten die technische Einbindung von Smartphones, Tablets und anderen privaten Geräten in die Unternehmens-IT für sehr komplex. Viele Unternehmen haben in der Vergangenheit folglich mit dem Hinweis auf einen standardisierten Sicherheitsmechanismus für den Zugang zum eigenen Netzwerk reagiert. Dies galt als übersichtliche und sichere Lösung. Allerdings sind nicht nur die Erwartungen der Mitarbeiter an das IT-System gestiegen, auch die Unternehmen stellen neue und erweiterte Anforderungen an ihre Angestellten – ein Argument, das die jeweiligen Geschäftsführer einbeziehen sollten.
Von Beschäftigten, die ihr Privatgerät auch beruflich nutzen, ist zum einerseits zu erwarten, dass sie mit dem eigenen mobilen Gerät gerne arbeiten und es effizient einsetzen können, sodass der IT-Support des Unternehmens nicht zusätzlich belastet wird. Mit dem eigenen Gerät geht der Einzelne erfahrungsgemäß auch sorgsamer um: Das Handy ist aufgeladen und einsatzbereit, und es geht eher selten verloren oder wird gestohlen. Andererseits sind mobile Mitarbeiter über die Arbeitszeit hinaus erreichbar und können von unterwegs aus E-Mails bearbeiten. Die Kosten für das private Smartphone oder den Laptop lassen sich zwischen Mitarbeiter und Unternehmen splitten, was das beiderseitige Budget entlastet. So gut eine derartige Vereinbarung den Arbeitsalltag erleichtern kann, so vielfältig sind jedoch die Bedenken bezüglich der Verwaltung und vor allem der Sicherheit, wenn das Unternehmensnetzwerk von immer mehr Smartphones, Tablets und per Fernzugriff vom heimischen PC „angefunkt“ wird. Einige der mobilen Geräte sind mit dem IT-System des Unternehmens womöglich auch nicht auf Anhieb kompatibel, andere bereiten Probleme beim Fernzugriff oder akzeptieren keine Updates.
Die erste Aufgabe für Unternehmen besteht darin, einen Überblick über mobile oder externe Zugriffe zu erlangen. Die Erkennung der einzelnen Geräte und die Überwachung der Anwendung im Unternehmensnetzwerk sind notwendige Voraussetzungen für die Sicherheit der Daten – ohne Kontrolle steht das Eingangstor für findige Hacker weit offen. Dazu sollte eine umfassende Authentisierungsstrategie für die unterschiedlichen Arten von Endgeräten entwickelt werden, darunter auch die privaten Geräte. Sie sollte einen einheitlichen Ansatz ermöglichen, um sicherzustellen, dass nur berechtigte Nutzer Zugang zum Unternehmensnetzwerk erhalten und dass die Authentisierungsprozesse sowohl für die IT-Abteilung als auch für die Mitarbeiter nicht mit zusätzlichem Aufwand verbunden sind. Zudem sollte der Schutz der kritischen Infrastruktur nicht mehr auf der Vergabe von Benutzername und Passwort basieren.
Flexible Management-Plattformen, eine große Bandbreite an Authentisierungsmethoden wie Transferverifizierung oder Single Sign-on bieten eine sichere Grundlage für den Aufbau einer Identifizierungs-Management-Strategie. Ein ganzheitliches Autorisierungs-Management ermöglicht es den Unternehmen, die starke Authentisierung von einem einzigen Server aus nahtlos auf die Mitarbeiter auszudehnen, die mobil arbeiten wollen. Das Management einer einzigen Plattform reduziert zudem IT-Betriebskosten und die Konsolidierung der Identitäten sowie die Zugangskontrolle garantieren eine sichere Authentisierung.
Sämtliche Vorgänge des mobilen Datenzugriffs, darunter die Anmeldung, Abmeldung, Aufhebung und Erneuerung laufen zentral ab. Die IT-Abteilung kann sehr einfach verschiedene Zertifikate für ein Gerät zur Verfügung stellen und dabei bestimmen, zu welchen Quellen genau Zugang zu gewähren ist, beispielsweise per VPN, Microsoft Exchange und WPA2-Netzwerke. Ebenso lassen sich die Kennwortrichtlinien, E-Mail-Settings und VPN-Konfigurationen für mobile Nutzer zentral verwalten.
Mit der Anmeldung startet die Authentisierung automatisch wie vordefiniert. Die Integration einer Berechtigungsverwaltung in ein einheitliches Authentisierungssystem stellt sicher, dass nur Geräte von berechtigten Personen Zugang zu den Netzwerken und Ressourcen erhalten. Gleichzeitig entlastet dies das IT-Management und die Verwaltung. Darüber hinaus können die Unternehmen alle Authentisierungsmaßnahmen für die lokalen Netzwerke, VPNs, SaaS-Anwendungen sowie virtuelle Umgebungen zentral und konsistent managen.
Schutz der Kennwörter
Durch eine Zwei-Faktor-Authentifizierung sind die Kennwörter für die Bestätigung der Identität besser geschützt. Dazu sind persönliche Zertifikate auf dem privaten Gerät installiert, vom dem aus der Zugriff erfolgen soll. Altrenativ erhalten die Mitarbeiter ein eigenes Token wie einen USB-Stick oder eine Smartcard, mit dem nur sie allein und über unterschiedliche Geräte Zugriff haben.
Ein solches Verfahren entlastet die IT-Abteilung, die nicht mehr als Rücksetzungsabteilung fungieren muss, wenn Mitarbeiter ihr Kennwort vergessen haben. Die Mitarbeiter wiederum können sicher sein, dass ihr mobiles Gerät registriert ist und der Zugriff ohne zusätzlichen Authentisierungsaufwand möglich ist. Die Erkennung erfolgt über personalisierte Profile, die nur die Nutzer mit den passenden Zertifikaten und der zertifizierten Berechtigung zulassen.
Lesen Sie mehr zum Thema
