Newsfeed abonnieren
Da Notebooks sowohl am Arbeitsplatz als auch unterwegs genützt werden können, bieten sie einen Vorteil, der die im Vergleich mit Desktop-Computern etwas höheren Anschaffungskosten mehr als wettmacht. Dennoch ist und bleibt der großflächige Einsatz von Notebooks in Unternehmen ein zweischneidiges Schwert. Denn neben den vielen Vorteilen bringen sie auch einen Nachteil mit sich: Der wechselweise interne und externe Einsatz macht sie zum Sicherheitsrisiko. Es kann sehr leicht geschehen, dass ein Notebook "im Feld" mit Viren, Würmern oder Spyware verseucht wird. Wird ein solches Gerät dann wieder an das Unternehmensnetzwerk angeschlossen, droht erheblicher Schaden. Ein weiteres Risiko stellen die lokal gespeicherten Daten dar, die mit jedem Notebook aus dem Unternehmen getragen werden. Notebooks sind beliebtes Diebesgut, und damit ist es sehr leicht möglich, dass vertrauliche Daten in die falschen Hände gelangen.
Die Verantwortlichen sehen oft nur zwei Alternativen, mit dieser Situation umzugehen. Entweder, Notebooks nur für die wenigen Mitarbeiter zuzulassen, die sich der Gefahren im externen Einsatz klar bewusst sind und ausgesprochen sorgfältig damit umgehen. Oder Notebooks großflächig im Unternehmen einzusetzen, die Risiken vorerst in Kauf zu nehmen und Schäden dann zu reparieren, wenn sie eintreten. Wie man sich auch entscheidet, beide Wege stellen eine Einschränkung dar - eine Einschränkung des immer wichtiger werdenden Produktionsmittels Notebook.
Gute Absicherung bewirkt, dass sich das Potenzial von Notebooks voll ausschöpfen lässt.
Schutzschild für den externen Einsatz
In vielen Unternehmen ist es auch heute noch nicht klar, dass es gar nicht notwendig ist, mit diesen Einschränkungen zu leben. Es ist möglich, die Notebooks und das Unternehmensnetzwerk so abzusichern, dass auch bei ziemlich sorgloser Verwendung der Geräte kein großer Schaden entstehen kann. Die Lösung besteht darin, alle Notebooks des Unternehmens mit einem einheitlichen "Schutzschirm" zu versehen. Dieser Schutzschirm setzt sich aus einer Kombination von Maßnahmen zusammen, deren wesentliche Komponenten in der Abbildung dargestellt sind.
Eine Personal Firewall stellt sicher, dass nur der wirklich erforderliche Datenaustausch vom und zum Notebook erfolgt. Die Client-Content-Security-Lösung verhindert, dass mit dem Notebook potenziell gefährliche Webseiten aufgerufen werden können. Die Aufgabe der Application Control besteht darin, die Ausführung von Programmen auf vertrauenswürdige Anwendungen zu beschränken. Mit der Device Control wird sichergestellt, dass nur registrierte Geräte angeschlossen und betrieben werden können. Und die Harddisk Encryption garantiert, dass Unberechtigte keinerlei Zugriff auf die lokalen Daten des Notebooks haben, speziell bei Verlust oder Diebstahl des Geräts.
Wichtig ist, dass der aus diesen Komponenten bestehende Schutzschirm für alle Notebooks des Unternehmens zentral verwaltet werden kann. Es würde keinen Sinn machen, wenn die notwendigen Softwarekomponenten auf jedem einzelnen Notebook des Unternehmens individuell konfiguriert und gepflegt werden müssten. Eine wirklich praktikable Lösung für Unternehmen setzt also den Einsatz von Softwarepaketen voraus, die sowohl ein zentrales Rollout als auch eine zentrale Administration ermöglichen. Eine weitere Anforderung an die eingesetzten Softwarekomponenten ist, dass sie für den Benutzer transparent bleiben und möglichst keinen Performance-Verlust des Notebooks mit sich bringen. Wenn diese Anforderungen erfüllt sind, entsteht für den praktischen Einsatz der Notebooks eine Reihe von neuen Möglichkeiten. Im Folgenden sind sowohl diese neuen Möglichkeiten als auch die einzelnen Komponenten des empfohlenen Schutzschirms näher beschrieben.
Überall risikofreies Surfen
Notebooks sind für den mobilen Einsatz gebaut. Es wäre also kontraproduktiv, im externen Betrieb die Nutzung einzuschränken und auf Internetzugang ganz zu verzichten. Im Gegenteil, es ist ganz im Sinn der Unternehmen, dass ihre Mitarbeiter auch unterwegs auf die Ressource Internet zugreifen können. Da sich ein mobiler Client bei Verwendung außerhalb des Unternehmens nicht mehr hinter der Perimetersicherung des Unternehmens befindet, muss das Notebook selbst entsprechend abgesichert werden. Dafür empfiehlt es sich, alle Notebooks des Unternehmens mit einer Personal Firewall auszustatten, die sich nahtlos in das Management der Perimete-Firewall des Unternehmens einfügt. Damit ist die Übernahme von Objekten wie Netzen, Hosts, Gateways usw. möglich, die eine einfache und ineinander greifende Regelerstellung sicherstellt. Der mobile Client unterliegt somit auch bei mobiler Nutzung einem einheitlichen Regelwerk.
Eine weitere sinnvolle Maßnahme ist die Integration einer leistungsfähigen Content-Security-Lösung, wie zum Beispiel einem URL-Filter mit Content-Scanning-Funktion. Dieses Client-Pendant der zentralen Content-Security-Lösung am Gateway stellt sicher, dass die einmal vorgegebenen URL- und Scanning-Richtlinien auch dann durchgesetzt werden, wenn das Notebook nicht mit dem eigenen Netzwerk verbunden ist. Diese beiden Maßnahmen - Personal Firewall und Content-Security-Lösung auf allen Notebooks - ermöglichen einen gut abgesicherten Internetzugang auch außerhalb des Unternehmens. Die Notebooks können dann ohne Bedenken auch am privaten Breitbandanschluss oder mit einem mobilen Internetzugang genützt werden.
Beliebiger Transport und gefahrlose Lagerung
Mit fast jedem Firmennotebook werden Daten außerhalb des Unternehmens gebracht, die ausschließlich für den internen Gebrauch bestimmt sind - Kalkulationen, Angebote, Vertragsmuster, Planungen oder Strategiepapiere sind nur ein paar Beispiele. Aber auch interne Daten, die ohne das Wissen des Benutzers automatisch lokal am Notebook abgelegt werden (z. B. im Cache), sollen nicht unbedingt in unbefugte Hände gelangen. Diese Daten auf der lokalen Festplatte machen den Transport und die Lagerung jedes Notebooks zu einem Sicherheitsrisiko. Denn Notebooks werden gerne gestohlen und mit jedem Diebstahl werden auch sensible Daten entwendet. Und welche Unternehmensführung kann darauf vertrauen, dass die Mitarbeiter ihre Notebooks niemals kurz irgendwo liegenlassen, abends immer aus dem Auto mitnehmen und stets sorgfältig wegschließen?
Die Lösung besteht darin, die auf den Notebooks befindlichen Daten so zu verschlüsseln, dass die Daten von unbefugten Dritten nicht eingesehen werden können. Der Einsatz von einfachen File/Folder-Verschlüsselungen ist für die hier beschriebene Anwendung nicht ausreichend. Damit werden nur Dateien abgesichert, die in einem genau definierten Bereich abgelegt werden - was ein sehr hohes Verantwortungsbewusstsein der Benutzer voraussetzt. Wirklich wirksam werden die Notebook-Daten erst mit einer Harddisk Encryption geschützt. Diese Lösungen wurden speziell für den Einsatz auf Notebooks entwickelt. Sie wirken auf komplette Festplattenpartitionen und Benutzer haben - auch mit Administratorrechten - keine Möglichkeit, die Verschlüsselung zu verhindern. Wenn die Notebooks des Unternehmens derart abgesichert sind, wird das Transport- und Lagerungsrisiko sehr stark reduziert. Wenn ein Notebook tatsächlich entwendet wird, ist wirklich nur mehr der Materialwert zu beklagen. Auf dieser Grundlage ist es für Unternehmen sehr viel leichter, ihre Mitarbeiter zum häufigen externen Gebrauch ihrer Notebooks zu ermuntern.
Unempfindlichkeit gegen sorglosen Gebrauch
Peter Bauer ist IT-Security- Consultant bei Bacher Systems. Seit 1998 in der IT-Branche tätig, konnte der Experte eine Vielzahl von Projekterfahrungen sammeln, unter anderem in der Analyse bestehender IT-Sicherheitsstrukturen und der Ableitung praxistauglicher Empfehlungen. Seine Spezialgebiete sind Desktop- und Mobile Security sowie alle damit verbundenen Bereiche wie Authentifizierung oder Zugriffskontrolle.
Gegen diese Art von sorglosem Gebrauch lässt sich ein Schutz realisieren, der die Notebooks weitgehend unempfindlich macht. Eine sogenannte Application Control kann dazu eingesetzt werden, um das Starten von Programmen zu regulieren. Auf dem Notebook sind dann nur mehr Anwendungen lauffähig, die vom Unternehmen als zulässig freigegeben wurden. Mit einer analogen Device Control wird sichergestellt, dass nur in einer Datenbank registrierte Geräte angeschlossen und betrieben werden können. Es ist dann unmöglich, etwa die private Digitalkamera oder eine betriebsfremde Datenkarte an das Notebook anzuschließen. Beide Sicherungen, sowohl die Device Control als auch die Application Control, basieren idealerweise auf einer zentralen Verwaltung. Sie legt über eine White List fest, was für die Clients des Unternehmens als erlaubt gilt. Bei jedem Anschluss an das interne Netzwerk wird die White List des einzelnen Notebooks automatisch aktualisiert. Wird das Notebook extern verwendet, operiert es autonom auf Basis der White List. Wenn mobile Clients mit diesen Maßnahmen abgesichert sind, kann selbst der sorgloseste Gebrauch kaum Schäden anrichten. Schnittstellen und Programmausführung sind abgesichert, und die Ampel für die großflächige externe Nutzung der Notebooks kann ein Stück mehr auf "grün" schalten.
Sicherer Anschluss ans Unternehmensnetzwerk
Unternehmen, die ganz auf Nummer sicher gehen wollen, können dem Schutzschild um die Notebooks noch eine weitere Sicherheitsstufe hinzufügen. Durch eine Sonderfunktion der bereits erwähnten Client Firewall kann ein (sich mit dem Unternehmensnetzwerk verbindendes) Notebook vor dem eigentlichen Verbindungsaufbau auf seinen Sicherheitszustand abgefragt werden. Aktueller Patch-Stand, passende Antiviren-Scan-Engine und -Patterns oder laufende/nicht laufende Prozesse sind nur einige Beispiele für die Möglichkeiten dieser Integritätsprüfung.
Abhängig vom Ergebnis der Überprüfung kann nun sowohl auf Basis von klassischen IP-Firewall-Regeln als auch auf Netzwerk-Ebene ein Zugang zum Firmennetz gewährt oder unterbunden werden. Der Einsatz solcher Technologien erhöht die Sicherheit des Netzwerkes ganz erheblich. Gleichzeitig eröffnen auch sie einmal mehr die Chance zur intensiven Nutzung des mobilen Arbeitsplatzes von unterwegs oder zu Hause.
Lösungen in der Praxis
Die oben ausgeführten Maßnahmen ermöglichen es jedem Unternehmen, ganz entspannt und beruhigt die großflächige externe Nutzung von Firmen-Notebooks zuzulassen. Wirtschaftlich bedeutet das, dass das Arbeitsmittel Notebook dadurch wesentlich aufgewertet wird. Konkrete Lösungen für den hier beschriebenen Schutzschild lassen sich mit verschiedenen Mitteln realisieren. Bis vor kurzem war es meistens notwendig, mehrere Softwarepakete unterschiedlicher Hersteller zu kombinieren, mittlerweile sind bereits auch Gesamtpakete verfügbar. Die Entwicklung schreitet in diesem Bereich rasant fort und es ist in jedem Fall zu empfehlen, für den Aufbau einer konkreten Lösung den Rat von Experten einzuholen.
Hier gratis downloaden!
7/2011
6/2011
5/2011
Mag. Carl-Markus Piswanger, MAS ist freier Journalist, Projektberater und hauptberuflich IT-Architekt. Er ist ausgebildeter Versicherungskaufmann, studierter Historiker und postgradualer E-Government-Experte. Er war beim ISP Netway, der Österreichischen Post und der Seibersdorf Research beschäftigt und seit 2004 als IT-Architekt im Bundesrechenzentrum. Der Wiener ist glücklich nicht verheiratet und hat einen Sohn. 