Data in Motion

Bedrohungen können heute durch eine Vielzahl von Zugangspunkten in das Unternehmensnetzwerk eindringen. Eine besondere Gefahr sind hierbei mobile Geräte, wie z.B. Laptops, Mobiltelefone und PDAs. Dieser Entwicklung müssen bereits mittelständische Unternehmen mit einer umfassenden und vielschichtigen Sicherheitslösung zur Abwehr derartiger Bedrohungen Rechnung tragen, da diese mobilen Devices aus der heutigen Geschäftswelt nicht mehr wegzudenken sind.

Durch Features wie WLAN und Bluetooth bergen die mobilen Devices Risiken, die leider oft noch unterschätzt beziehungsweise nicht ernst genommen werden oder gar nicht bekannt sind. Oft ist nicht einmal klar, wie viele PDAs in einem Unternehmen verwendet werden, da die User sie eher als privates Gerät sehen, das sie hin und wieder mit dem Firmennetzwerk verbinden, um ihren Kalender abzugleichen oder Daten und E-Mails zu synchronisieren.

Der Trend hin zu immer kleineren Geräten hat neben all den bekannten Vorteilen aber auch einen negativen Aspekt: sie gehen sehr leicht verloren oder werden unbemerkt entwendet. Durch die auch geschäftliche Nutzung befinden sich oft unternehmensrelevante, meist sensible Daten auf dem PDA. Verschlüsselungssoftware, die diese Sicherheitslücke schließen würde, ist bereits am Markt, wird aber im Moment noch nicht ausreichend eingesetzt.

Sicherheitsrisiken bei WLAN und Bluetooth

So gut wie alle heutzutage erhältlichen mobilen Endgeräte sind mit Wireless-LAN ausgestattet - eine weitere Gefahrenquelle. Verbindet sich der User über einen WLAN-Access-Point, wird das Unternehmen über Funksignale angreifbar. Durch die falsche Konfiguration eines Notebooks wird dieses zu einem leichten Opfer für Datenklau: der Eindringling kann zum Beispiel einen Access-Point vortäuschen, an den sich der User - sei es unabsichtlich oder automatisch - anmeldet oder sich gleich aktiv über WLAN mit dem Notebook verbindet.

Komfortabel ist es, Daten über Bluetooth zu übertragen, ohne lästige Kabel zu verwenden: doch damit werden Sicherheitsmechanismen - oft sogar unbewusst - umgangen.

Wenn ein Bluetooth-Gerät nur für die direkte Kommunikation zwischen zwei Geräten, zum Beispiel Handy und Freisprecheinrichtung konfiguriert ist - also als direkte Gerätekommunikation ohne IP-Adresse, so werden schlimmstenfalls die lokalen Daten des Gerätes ausgelesen, etwa Adressbuch, Termine, E-Mails. Wenn aber eine IP-Funktionalität konfiguriert ist, so kann über dieses Gerät auch auf andere Netze zugegriffen werden.

Angreifer machen sich außerdem die zunehmende Anfälligkeit global operierender Unternehmen zu Nutze. Die Struktur eines typischen Unternehmens weist mehrere Schwachstellen auf, da mobile Mitarbeiter, Zulieferer und Partner mit uneinheitlich geschützten Endgeräten an mehreren Eintrittsstellen auf das Netzwerk zugreifen können.

Besonders Unternehmen, deren Betriebsabläufe auf Datensicherheit und das Vertrauen der Kunden angewiesen sind, treffen solche Gefahren und die möglichen Angriffe schwer: Wurden vertrauliche Daten erst einmal entwendet, können der gute Ruf und das Vertrauen der Kunden nur schwer wieder hergestellt werden. Der Diebstahl interner Firmendaten zu Wettbewerbszwecken kann neben einem Verlust von Reputation zu enormen Umsatzeinbußen bis hin zur existenziellen Bedrohung des Unternehmens führen.

Eine wichtige Rolle spielt auch die Verwendung von Kryptographie: bei einer Secure Website werden die Daten zwischen dem User und dem Server unter Verwendung des SSL-Protokolls sicher übertragen. Hier werden die Daten aber ausschließlich beim Transport verschlüsselt, die Speicherung erfolgt aber im Klartext.

Bei einem Virtuellen Privaten Netzwerk, kurz VPN, kommt auch Verschlüsselung zum Einsatz. Im Normalfall wird die Kommunikation zwischen dem VPN-Client und der Firewall beziehungsweise zwischen zwei Firewalls verschlüsselt und die jeweiligen Endpunkte authentifizieren sich gegenseitig. Bei fast allen Produkten ist hier IPsec im Einsatz.

Im Bereich der E-Mails ist es leider noch nicht so einfach, Verschlüsselung und Authentifizierung einzusetzen. Es gibt zwar das am Internet relativ weit verbreitete Paket Pretty Good Privacy - PGP in verschiedenen Versionen, allerdings kann man leider noch nicht davon ausgehen, dass der jeweilige Empfänger der Mail auch damit umgehen kann.

Ganzheitlicher Ansatz ist wichtig

Ganzheitliche Ansätze für die beschriebenen Szenarien können meist nur durch eine sinnvolle Kombination von Security-Produkten realisiert werden (veranschaulicht an Beispielen aus dem Produktangebot von Triple-S):

• Eine Securitylösung wie Trend Micro Mobile Security wurde dafür entwickelt, datenzentrierte mobile Geräte vor der zunehmenden Bedrohung durch Viren, Würmer, Trojaner und SMS-Spam zu schützen. Eine neue, integrierte Firewall soll auch Hacker-Angriffe, fremde Zugriffe und DoS-Angriffe abwehren: Potenzielle Bedrohungen für die zunehmende Zahl netzwerkfähiger mobiler Geräte.
• Die SSL-VPN Technologien von F5 sollen sicheren Fernzugriff auf Anwendungen und Daten eines Unternehmens über einen Standard-Webbrowser sicherstellen. Mit einer hohen Skalierbarkeit und durch leichte Bedienbarkeit möchte F5s FirePass die Produktivität mobiler Arbeitskräfte steigern.
• Die Software Lösung für PDAs von Utimaco wurde dafür entwickelt, um auf modernen mobilen Endgeräten Software und die gespeicherten Daten vor unbefugter Benutzung zu schützen. Das Verschlüsselungsmodul und die Authentisierungsverfahren sichern die Daten sowohl lokal auf dem Gerät als auch bei der Übertragung auf Arbeitsstationen oder über das Internet.

Wirklichen Schutz vor diesen Gefahren bietet neben einer Sensibilisierung der Mitarbeiter nur ein auf die jeweiligen individuellen Bedürfnisse des Unternehmens angepasstes Sicherheitskonzept für mobile Arbeitsplätze.

(Weitere Informationen zu den einzelnen Security-Lösungen finden Sie unter: www.3s-it.at)