Suchen

IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet Bring your own Device im Fokus – Kein BYOD ohne VPN-Strategie!

| Autor / Redakteur: Rainer Enders / Dipl.-Ing. (FH) Andreas Donner

Was sind die größten Risiken bei BYOD, wie läuft die App-Verteilung bei BYOD optimal, was gilt es im Bereich der persönlichen Daten auf geschäftlichen Mobilgeräten zu beachten und welche VPN-Strategie ist bei Bring your own Device die richtige? Diese und andere Fragen beantwortet VPN-Experte Rainer Enders im Gespräch mit IP-Insider.

Firmen zum Thema

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Jürgen Hönig antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Jürgen Hönig antwortet
(Bild: NCP )

IP-Insider: Herr Enders, Bring your own Device ist in aller Munde und hat große Implikationen auf Unternehmensnetze. Was sind aus Ihrer Sicht die größten Risiken bei BYOD?

Rainer Enders: Bei BYOD liegen die größten Risiken bei der Kontrolle und dem Datenschutz. Aus zwei Gründen ist es üblicherweise schwieriger für ein privates Gerät Sicherheitsmechanismen zu entwickeln und durchzusetzen als für ein geschäftliches.

Erstens entwickelt der Besitzer eines Gerätes eine gewisse Kontrollmentalität über sein Gerät. Aus diesem Grund lassen sich Einschränkungen bei persönlichen Daten oder Inhalten nur schwer vom Standpunkt der Geschäftsrichtlinien aus durchsetzen. Der zweite, kritischere Aspekt ist, dass Firmen sicherstellen müssen, den Datenschutz der vertraulichen Identitätsinformationen des Anwenders auch zu gewährleisten.

IP-Insider: Gerade im Zusammenhang mit BYOD wird auch das Thema Sicherheit von Apps und in App-Stores heiß diskutiert. Wie schütze ich mich vor Gefahren aus Application Stores?

Rainer Enders: Am besten eignet sich hierfür ein Management System für Mobilgeräte, mit dem der Zugang zu öffentlichen Application Stores gesperrt und eine Whitelist für zugelassene Anwendungen erstellt werden kann. Abhängig von der Anzahl der Mobilgeräte und der Anforderungen der Anwendung, betreibt man jedoch am besten einen firmeneigenen Application Store. Dies hat viele Vorteile und ermöglicht eine noch bessere Kontrolle.

IP-Insider: Was ist der Unterschied zwischen Management System für Mobilgeräte und dem Enterprise Application Store?

Rainer Enders: Beide Systeme können die Sicherheit mobiler Geräte auf verschiedenste Arten erhöhen. Üblicherweise enthalten Management Systeme für Mobilgeräte grundlegende Management Funktionen wie Konfigurationsmanagement, Backup- und Fernlösch-Funktionen, sowie Protokollierung und Reporting.

Mit dem Enterprise Application Store können ausgewählte Anwendungen sicher getestet und installiert werden. Hierdurch hat das Unternehmen eine größere Kontrolle über die Anwendungsumgebung der Mobilgeräte. Es kann die Integrität und Sicherheit der Anwendungen sicherstellen und den Anwendern ein besseres Nutzererlebnis bieten und deren Produktivität steigern. Enterprise Application Plattformen sind insbesondere für heterogene Strukturen interessant.

IP-Insider: Welche Möglichkeiten bieten Management Systemen für Mobilgeräte (MDM) und was muss ich dabei beachten?

Rainer Enders: Aktuell gibt es viele Management Systeme für Mobilgeräte auf dem Markt. Am besten entscheidet man sich für eine so genannte "Single Vendor"-Plattform, bei der Management System und Geräte vom gleichen Hersteller sind. Dabei sollte man auf Folgendes achten:

Planen Sie die Bereitstellungsoptionen ihres MDM-System – entweder in ihrem eigenen Netzwerk oder in der Cloud.
Prüfen Sie, ob die Betriebssystemplattformen vollständig unterstützt werden (mobiles Betriebssystem oder Firmware). Dadurch vermeiden Sie die Kontrolle über ihr System zu verlieren.
Stellen Sie sicher, dass die Lösung ihre Anwendungen unterstützt, insbesondere wichtige Geschäftsanwendungen wie E-Mail oder jede Art von Datenbankanwendung.
Achten Sie darauf, dass das MDM die wichtigsten Funktionen unterstützt und die Bereitstellung ihrer wichtigsten Anwendungen sicherstellt, beispielsweise Fernlöschung, Blockieren von Anwendungen oder Application Stores und Datensicherung.

IP-Insider: Schließen sich BYOD und MDM damit gegenseitig aus?

Rainer Enders: Bei BYOD gibt es aus IT-Sicht zwei Knackpunkte: Einerseits ist das die Vielfalt an Plattformen, die verwaltet werden müssen, und anderseits ist das der Datenschutz, insbesondere im Hinblick auf Backup, Protokollierung und Überwachung.

Meiner Meinung nach darf im geschäftlichen Umfeld ein Management mobiler Geräte nicht fehlen. Management Systeme für Mobilgeräte bringen wichtige Funktionen für BYOD-Umgebungen mit. Deshalb schließen sie die beiden Systeme nicht gegenseitig aus. Ein paar dieser Management-Funktionen sind die Identifizierung von Firmengeräten und Privatgeräten während des Registrierungs- und Bereitstellungsprozess, die Durchsetzung von Richtlinien und Regeln auf anwenderspezifische Vorlagen oder das Anstoßen selektiver Sicherheitsvorgänge, wie beispielsweise das selektive Löschen von Daten.

IP-Insider: Wie steht es um die persönlichen Daten auf geschäftlichen Mobilgeräten?

Rainer Enders: Eine gute Datentrennung ist für jede BYOD-Umgebung wichtig. Hierfür bietet der Markt die unterschiedlichsten Lösungen an. Zusätzlich sollte die Firma spezielle Datenverwaltungsrichtlinien und -prozesse einführen.

Zum Beispiel wird die Sicherheit von Firmendokumenten durch Dokumentenablagen und Dokumentenkataloge erhöht und Dokumente können so nicht kopiert, übertragen oder geteilt werden.

Selektives Löschen beseitigt alle firmenbezogenen Daten vom Gerät. Deshalb beziehen sich solche Sicherheitsvorgänge immer nur auf Firmeninhalte. Dabei muss sichergestellt werden, dass alle vertraulichen Identitätsinformationen davon nicht berührt werden, da dies zu Datenschutzproblemen führen kann und gegen Gesetze und Richtlinien verstößt.

IP-Insider: Gibt es Normen, auf die man bezüglich der Interoperabilität zwischen Management Systemen für Mobilgeräte und dem Management für Anwendungen von Mobilgeräten achten sollte?

Rainer Enders: Es gibt in diesem Bereich keine bestimmten Normen. Die meisten Management Systeme für Mobilgeräte verfügen über Anwendungs-Management Funktionen. Am besten installieren Sie ein integriertes System, bei diesem gibt es mit der Interoperabilität keine Probleme.

IP-Insider: Wie stellt man sicher, dass ein Anwender die Sicherheitseinstellungen seines Gerätes nicht verändert oder deaktiviert?

Rainer Enders: Alle Sicherheitskomponenten sollten angemessenen Schutz, Sperrung und Überwachung bieten. So sollte Ihr Management System für Mobilgeräte beispielsweise Statusänderungen erkennen. Nach einer Compliance-Prüfung kann das System verschiedene Aktionen durchführen: Es können beispielsweise Daten gelöscht und/oder eine Warnmeldung an den Administrator geschickt werden. Ihre Software sollte gegen jegliche Art von Änderungen geschützt sein, insbesondere dagegen, dass sie selbst vom Gerät gelöscht wird.

IP-Insider: Wie schütze ich mein Gerät vor Angriffen aus dem Netzwerk? Oder schützt mich mein Provider vor Hackerangriffen?

Rainer Enders: Service Network Provider sind normalerweise gut darin, das Netzwerk zu sichern. Um ihre Daten zu sichern, beinhalten die öffentlichen drahtlosen Breitband-Netzwerke sichere Datenspeicherung, beidseitige Authentifizierungsverfahren und starke Verschlüsselung sowie eine Verschlüsselung der Luftschnittstelle.

Trotzdem ist es gut, eine Firewall und ein VPN einzusetzen, um die gesamte Kommunikation des mobilen Gerätes zu schützen. Bedenken Sie auch, dass sich das Mobilgerät in deutlich unsichereren Netzwerken befinden wird, beispielsweise öffentlichen WLANs oder Hotspot-Umgebungen. So sind eine integrierte Firewall und ein integrierter IPsec VPN Client auch in diesem Szenario herausragende Schutzmechanismen.

IP-Insider: Muss ich diese VPN Clients selbst verwalten oder tut es hier auch eine ungemanagte Lösung?

Rainer Enders: Ja, denn es gibt mehrere Punkte bei VPN Clients, die Sie sicherlich verwalten und kontrollieren möchten. Diese sind beispielsweise die Bereitstellung des Clients, die Konfiguration des Clients, die Softwarelizenz des Clients und natürlich die Clientsoftware selbst.

Dabei ist der letzte Punkt ein sehr wichtiger. Bedenken Sie, dass ein VPN Client eine Software ist. Keine Software ist perfekt und Stabilitäts- und Sicherheitsprobleme werden mit der Zeit auftreten. Deshalb müssen Sie die VPN Client Software auch im laufenden Betrieb updaten können. Gleichermaßen wird sich die Clientkonfiguration aus den verschiedensten Gründen immer wieder ändern und oft müssen die Änderungen sicher und schnell an die Clients weitergegeben werden. Sie sollten ungemanagte VPN Clients in ihrem Netzwerk daher unbedingt vermeiden.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering
(Bild: NCP )

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hatdarüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 38320210)