Suchen

Richtlinien machen Sicherheit zu einem lokalen Dienst im WAN und LAN Handys, Smartphones und PDAs per Location Based Services absichern

| Autor / Redakteur: René Reutter / Ulrike Ostler

Sicherheit ist immer relativ. Vergleichsweise neu ist allerdings, dass Security, je nach Position des zu Beschützenden, als Dienst bzw. als Location Based Service (LBS) zur Verfügung stehen kann. Ermöglicht wird dies einerseits durch die Ortung per Satellit und Funkzelle und andererseits durch die Software-basierte Verknüpfung mit Unternehmens-Richtlinien, den so genannten Policies.

Firma zum Thema

( Archiv: Vogel Business Media )

Subnotebook, Smartphone und Handheld machen in Verbindung mit Wireless-LAN und UMTS/HSDPA immer mehr Geschäftsprozessen Beine. Die handlichen Begleiter haben in den letzten Jahren technisch so kräftig zugelegt, dass sie Desktops bei gängigen Office-Anwendungen kaum in etwas nachstehen. Ein moderner Personal Digital Assistant (PDA) verfügt heute über mehr Rechenleistung und Speicherkapazität als die Bordcomputer der Raumfähre Apollo 11 bei ihrem Flug zum Mond im Jahr 1969.

Die Zahl der weltweit genutzten PDAs hat sich seit 2002 von 2,7 Millionen Geräten auf aktuell 5,1 Millionen beinahe verdoppelt. Tendenz: weiter steigend. Marktanalysten wie Gartner gehen davon aus, dass die Zunahme in den nächsten fünf Jahren sogar noch einmal deutlich stärker ausfällt.

Die Multitalente für die Westentasche werden Notebooks zwar nicht gänzlich aus unserem Arbeitsalltag verdrängen, die Nachfrageverschiebung zu Gunsten dieser Gerätegruppe aber ist unübersehbar. Wer geschäftlich viel unterwegs ist und nicht gerade in der Grafikbranche arbeitet, braucht sich künftig nicht mehr mit einer schweren Schultertasche herum zu plagen. Die Marktforscher von IDC prognostiziert, dass in zwei Jahren weltweit fast 900 Millionen Menschen ihre Arbeit mobil erledigen.

Die zunehmende Verbreitung führt zwangsläufig dazu, dass vermehrt auch geschäftskritische Anwendungen auf mobilen Endgeräten laufen. Deshalb darf kein Unternehmen mit ihrer Integration in die IT-Infrastruktur und der Einbindung in die Sicherheitsstrategie zögern.

Die Technik muss aber darüber hinaus auch den besonderen Sicherheitsanforderungen, zum Beispiel von Dienststellen der Bundesregierung, entsprechen. Alle präventiven Maßnahmen, die bei Desktops heute Standards sind, haben ohne Einschränkung auch für PDA & Co. Gültigkeit.

Aufgrund der besonderen Nutzungsumstände außerhalb des Unternehmens müssen sie sogar noch verschärft sein, gerade auch was die sichere Authentisierung angeht. Gefragt ist zudem ein intelligentes Device-Management, das die unterschiedlichen digitalen Helferlein in Bezug auf ihre Sicherheitseinstellungen vereinheitlicht und zentral administrierbar macht.

Datenaustausch nur nach Security-Check

Um zu verhindern, dass Mitarbeiter mobile Endgeräte unkontrolliert mit dem Firmen-Notebook beziehungsweise PC koppeln, hat T-Systems ein so genanntes „Company Brand“ entwickelt. Dieses Add-on für den Abgleich per „ActiveSync“ im Rahmen eines Servicekonzepts wie beispielsweise Managed Desktop Services lässt einen Austausch von Daten nur dann zu, wenn auf dem PDA alle vorgeschriebenen Sicherheitskomponenten wie „On-the-Fly“-Verschlüsselung, Access Control und Virenschutz installiert sind.

Entscheidende Bedeutung hat auch der Umgang mit den sicherheitsrelevanten Schnittstellen. Nicht der Anwender stellt sein Gerät nach Belieben ein, sondern das Unternehmen gibt verbindliche Konfigurationen vor. Die Technik folgt hier stets der Policy: Ein Agent ruft die Richtlinien automatisch von einem zentralen Firmenrechner ab und richtet sie bereits bei der Erstsynchronisation ein. Bluetooth, Infrarot, WLAN oder auch die Handy-Kamera können so bei Bedarf Software-seitig ein- oder ausgeschaltet werden, ohne die technische Funktionsfähigkeit der Geräte nachhaltig zu beeinträchtigen.

Bei solch statischen Konfigurationen muss beispielsweise der Werkschutz eines Unternehmens die Möglichkeit haben, durch bestimmte Challenge & Response-Verfahren beim Betreten des Firmengeländes zu prüfen, ob die vorgegebene Sicherheitspolicy bei einem mobilen Endgerät greift. Dazu ist heute die Telefonnummer des Mitarbeiters oder Besuchers ausreichend.

Auf Kopfdruck sendet ein Server eine Zufallszahl als „request“ an den PDA, die Komponente Kamera etwa wird daraufhin geprüft und das Ergebnis an den Rechner zurückgeschickt. Der Server prüft das Ergebnis und gibt seinerseits eine Prüfsumme auf einem Portal aus. Sind die beiden Summen auf dem PDA und dem Portal identisch, heißt das: Die Kamera ist aus. Dies alles läuft in Sekundenschnelle ab.

Sag mir, wo du bist – und ich sag dir, was du tun kannst

Der nächste konsequente Sicherheitsschritt sind so genannte Location Based Security Services, also die Verknüpfung zentraler Policy-Einstellungen mit aktuellen Standortinformationen. Beispielsweise kann es für Unternehmen interessant sein, bei mobilen Endgeräten WLAN auf dem Firmengelände zuzulassen, an öffentlichen Zugangspunkten aus Sicherheits- und Kostengründen aber nicht. Oder anders herum: Bei einem Automobilhersteller funktioniert die Handy-Kamera jenseits des Firmenzaunes, in sensiblen Design- und Entwicklungsbereichen ist sie deaktiviert. Gleiches mag für Kernkraftwerke oder Regierungsgebäude sinnvoll sein.

Möglich macht solch flexible Geräteeinstellungen eine Software-Schnittstelle, die Ortsinformationen verarbeiten kann. Mit wenigen Handgriffen kann etwa T-Systems einen ganzen Firmenkampus mit Gelände- und Gebäudekoordinaten in einem zentralen Administrationssystem erfassen. Eine GPS-Ortung oder auf Basis von GSM-Zellinformationen ermittelt dezentral – unter Wahrung von Datenschutzaspekten – den aktuellen Standort mobiler Endgeräte und konfiguriert die Schnittstellen entsprechend den Unternehmensvorgaben. Haben Smartphone oder PDA innerhalb von Gebäuden einmal keinen Empfang, schalten sie automatisch und temporär auf die restriktivste Policy-Einstellung.

Fazit und Ausblick

Die Entwicklung vom stationären zum mobilen Arbeiten schreitet stetig fort, auch wenn die Risiken, wie gesehen, genauso kontinuierlich zunehmen. Für Unternehmen heißt das, sie müssen die sich bietenden Chancen gegenüber den Bedrohungen sorgfältig prüfen und gegeneinander abwägen.

Doch vor übertriebener Zurückhaltung ist zu warnen: Diese führt dazu, dass Mitarbeiter die Vorteile der mobilen Technologien wie verbesserte Produktivität und steigende Flexibilität der Geschäftsprozesse nicht konsequent nutzen können. Unternehmen, ob Global Player oder kleines, mittelständisches Unternehmen, sind heute angewiesen, die mobilen Endgeräte in ein ganzheitliches IT-Konzept einzubeziehen, das sowohl Sicherheit als auch Verfügbarkeit der Daten umfasst.

Gerade bei innovativen Services spielen Sicherheitsaspekte wie das Bezahlen einer Fahrt mit Bus und Bahn mittels PDA oder Smartphone eine immer wichtigere Rolle. Nur mit einer einheitlichen, offen kommunizierten Strategie und Richtlinienpolitik kann der Schutz der gesamten Infrastruktur vom Netzwerk bis hin zum Endgerät in Unternehmen vollständig gewährleistet werden.

Über den Autor

René Reutter, Certified Information Systems Security Professional (CISSP), ist Leiter Security Architecture & Portfolio bei T-Systems. Aufgabe seines Teams ist es, im Kundenauftrag geeignete Strategien zu entwickeln, die die Nutzung mobiler Endgeräte sicherer machen. In diesem Kontext steht auch die kontinuierliche Weiterentwicklung der Managed Security Services als Bestandteil der Security Services and Solutions von T-Systems.

(ID:2005945)