IT-Sicherheit und mobile Geräte
Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden
Fortsetzung des Artikels von Teil 1
Authentifizierung von Endgeräten
Im Gegensatz zur Benutzerauthentifizierung ist die von Endgeräten, also Notebooks, PCs oder PDAs, noch nicht weit verbreitet. Diese basiert entweder auf einer eindeutigen Manufacturer- und Device-ID, einem Gerätezertifikat oder auf TPM-Modulen (Trusted Platform Module). Damit können sich Endgeräte am Firmen-Gateway gewissermaßen ausweisen.
Die Authentifizierung von Systemen wird jedoch wegen erhöhter Sicherheitsanforderungen und des Auftretens neuer Endgerätemodelle mit integrierten Security-Funktionen eine immer wichtigere Rolle spielen.
Da die Sicherheitsanforderungen an die drei Kategorien von Endgeräten sehr unterschiedlich sind, sollen diese nachfolgend separat betrachtet werden.
Das übliche Szenario bei Notebooks stellt sich folgendermaßen dar: Auf einem Windows-System, das über eine Personal-Firewall und einen Virenscanner abgesichert ist, wird ein VPN-Client installiert.
Dieser stellt nach Eingabe des Benutzernamens und des Kennworts eine Verbindung zum zentralen VPN-Gateway in der Firma her. Da ein statisches Kennwort nur eine schwache Authentifizierungerlaubt, wird für die Identifikation des Benutzers oftmals eine Smartcard oder ein USB-Token mit einem Zertifikat verwendet.
Solche gemanagten Notebooks sind aber sehr aufwändig zu managen, da alle Patches und Updates zeitnah eingespielt werden müssen, um die größtmögliche Sicherheit des Notebooks zu gewährleisten.
Selbst dann, wenn alle technisch möglichen Sicherheitsvorkehrungen getroffen wurden, kann man nie zu 100 Prozent sicher sein, dass in Windows keine Bugs vorhanden sind. Zum Teil werden solche Lücken erst mit zeitlicher Verzögerung publik, zum anderen dauert es häufig eine Zeit lang, bis Patches und Bug-Fixes für solche Löcher zur Verfügung stehen.
Solche Schwachstellen können es einem Angreifer ermöglichen, Schadcode auf Endgeräten zu platzieren, das System zu korrumpieren und so über den VPN-Tunnel in das Firmennetz einzudringen.
Einen völlig neuen Ansatz verfolgt Ecos mit seinem Secure-Thin-Client-USB-Stick.
Mit diesem Linux-basierten Stick wird das Notebook gebootet. Mit einer integrierten Smartcard kann eine hochsichere SSL-VPN-Verbindung zum dazugehörigen VPN-Gateway in der DMZ des Firmennetzwerks aufgebaut werden.
Diese Appliance dient gleichzeitig als zentrales Managementtool für die Secure-Thin-Clients und zur Erzeugung von Zertifikaten für die integrierte Smartcard.
Das Windows-Betriebssystem auf dem Notebook wird beim externen Zugriff auf das Firmennetz nicht benötigt. Es dient lediglich für das lokale Arbeiten mit dem System. In diesem Fall müssen die Anforderungen an die Sicherheit allerdings nicht so hoch sein.
Eine solche Lösung setzt den Einsatz eines Webservers oder eines Terminalservers voraus, auf dem die Applikationen zentral gehostet werden. Dieses Server-Based-Computing-Konzept bietet in Bezug auf IT-Security, Usability und die Kosten einige Vorteile gegenüber klassischen Zugriffslösungen:
- Sensible Firmendaten liegen nicht mehr auf dem Notebook, damit entfällt die Anforderung, eine Festplattenverschlüsselung einsetzen zu müssen, um bei einem Diebstahl des Notebooks die Daten zu sichern.
- Das Server-based-Computing stellt nur geringe Anforderungen an die benötigte Bandbreite des Internet-Zugangs, so kann über eine UMTS- oder auch Edge-Mobilfunkverbindung komfortabel gearbeitet werden, da nur Bildschirminhalte und Tastatureingaben ausgetauscht werden müssen.
- Der Wartungsaufwand für die externen Notebooks reduziert sich bei einem gleichzeitigen Zugewinn an Sicherheit.
- Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden
- Authentifizierung von Endgeräten
- Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)
- Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)
