Secure Mobile Computing

Gerhard Mategka

Mobilität ist zur Gewohnheit geworden. Der Einsatz von Notebooks, PDAs und anderen tragbaren Computern ist schon lange nicht mehr Top-Executives vorbehalten. Viele Unternehmen statten eine ganze Reihe ihrer Mitarbeiter mit diesen nützlichen Werkzeugen aus. Die ständige Verfügbarkeit von Informationen ermöglicht vom Ort unabhängiges Arbeiten, rasche Reaktion und damit Wettbewerbsvorteile - der Nutzen ist offensichtlich und unbestritten.

Die Gefahren, die mit diesen schönen neuen mobilen Möglichkeiten auftauchen, werden dagegen oft erst erkannt, wenn es zu spät ist: Ein Notebook mit sensiblen Daten wird gestohlen, schleppt Viren in das Netzwerk ein oder wird als Schwachstelle für eine Hackerattacke missbraucht. Unabgesicherte Risiken dieser Art, multipliziert mit einer größeren Anzahl von mobilen Geräten, bringen Unternehmen in eine ziemlich gefährliche Situation.

Sicherheit auch unterwegs

IT-Security Experten wählen deshalb auch in diesem Bereich einen durchgängigen Ansatz. Der bevorzugte Weg besteht darin, die mobilen Geräte und deren Verwendung zu erheben und auf dieser Basis eine Security Policy zu erarbeiten. Diese dient als Vorgabe für die Umsetzung eines durchgängigen Konzepts für Secure Mobile Computing. Im Rahmen der Implementierung werden die verschiedensten Maßnahmen kombiniert, von denen hier eine Auswahl der wichtigsten vorgestellt ist. Diese Maßnahmen geben auch einen Eindruck davon, in welch vielfältiger Weise mobile Geräte Sicherheitsrisiken mit sich bringen.

• Desktop Virenscanner:

Die absolute Voraussetzung auf jedem mobilen Gerät. Die Software überprüft sämtliche Dateien am Client, ob sie Viren enthalten. Darüber hinaus werden alle Dateien, die auf die Festplatte kopiert werden, "on the fly" auf Viren überprüft. Im Idealfall bleibt damit - sofern das Signaturfile aktuell gehalten wird - der mobile Client frei von Viren, Trojanern oder Dialern.

• Festplattenverschlüsselung:

Ebenfalls ein absolutes "Muss" für mobile Clients, auf denen Geschäftsdaten lokal gespeichert sind. Technisch gesehen werden dabei alle Dateien auf dem Notebook inklusive dem "Master Boot Record" verschlüsselt. Das Betriebssystem startet nur mehr, wenn der User ein Passwort eingibt. Selbst im schlimmsten Fall - dem Diebstahl des Geräts - kann ohne Passwort maximal die Hardware weiter genutzt werden.

• Secure Client:

Diese Teillösung hat primär die Aufgabe, eine VPN-Verbindung (Virtual Private Network) zu einem Gateway aufzubauen. Praktisch bedeutet das: Wenn der Benutzer Unternehmensdaten abruft, wird er aufgefordert, sich zu authentisieren. In Folge werden Daten ausschließlich verschlüsselt über das Internet übertragen und können von Dritten, wenn illegal "mitgehört", nicht interpretiert werden. Darüber hinaus enthält ein Secure Client eine "Personal Firewall" und ist somit selbst sicher im Internet unterwegs. Vor dem Öffnen der VPN Verbindung werden üblicherweise noch einige Checks durchgeführt, ob das Betriebsystem, der Virenschutz oder die Service Packs dem Firmenstandard entsprechen. Damit wird sichergestellt, dass mobile Clients nur dann auf das Unternehmensnetzwerk zugreifen, wenn sie mit der unternehmensweiten Security Policy konform gehen.

• Desktop Intrusion Detection:

Darunter ist ein Intrusion Detection System zu verstehen, das nicht ein Netzwerk, sondern einen speziellen (mobilen) Client überwacht. Es kontrolliert den gesamten Datenverkehr vom und zum Client und erkennt an Hand bestimmter Muster unerwünschte Attacken. Passwortmissbrauch, Cross Site Scripting, Zugriff auf Trojaner und ähnliche Angriffe werden automatisch abgewehrt.

• Mobile Private Network (MPN):

Diese Weiterentwicklung des VPN macht für besonders fordernde Anwendungsgebiete einen Sinn. Mit dem Einsatz eines MPN Clients wird sichergestellt, dass beim Wechsel von einem Netzwerkmedium in ein anderes (z.B. von Ethernet auf WLAN oder GPRS oder Modem) die VPN Verbindung nicht abbricht. Diese Lösung bringt nicht nur hohen Arbeitskomfort im Feld, sondern schützt auch die Daten bei der Übertragung durch das "Verdrehen" des Defaultgateways - der Client ist im Internet nicht mehr sichtbar.

Wie diese fünf hier exemplarisch angeführten Maßnahmen zeigen, bedarf die effiziente Absicherung einer mobilen "Computer-Flotte" durchgängiger Konzeption, Planung und Abstimmung.

Secure Mobile Computing von Bacher Systems

Im Rahmen ihrer Lösungen für Secure Mobile Computing (SMC) gehen die Security-Experten von Bacher Systems nach folgenden Prämissen vor:

• Unternehmensweite Basis schaffen: SMC Lösungen müssen auf Basis einer einheitlichen Policy erarbeitet werden.
• Realistisch planen: SMC Lösungen müssen die Anwendungsgebiete der mobilen Geräte bereits in die Konzeption einbeziehen.
• Integration vorsehen: SMC Lösungen müssen mit der bestehenden IT-Security Lösung Hand in Hand arbeiten.
• Alle Risiken eliminieren: SMC Lösungen müssen sowohl den mobilen Client selbst, als auch die Verbindung zum Unternehmensnetzwerk effizient schützen
• Wirtschaftlichkeit sicherstellen: SMC Lösungen müssen (auf Grund der meist großen Anzahl von mobilen Clients) hinsichtlich Leistung und Kosten optimiert sein.
• Aktualität garantieren: SMC Lösungen müssen so aufgebaut sein, dass die laufende Aktualisierung einfach und problemlos möglich ist.
• User entlasten: SMC Lösungen müssen für den Benutzer weitgehend unsichtbar bleiben und dürfen ihn keinesfalls in seiner Arbeit behindern.

Die Experten von Bacher Systems beraten Sie gerne in allen Fragen zu Secure Mobile Computing. http://www.bacher.at