VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

Den mobilen Zugriff auf das Netz sichern

Best Practices für die Unternehmens-IT

geschrieben von Sven Janssen/pf, Regional Sales Manager bei Dell Sonicwall, www.sonicwall.de.

Auch ohne „Bring Your Own Device“ (BYOD) stellen Mobilgeräte Unternehmen vor neue Sicherheitsherausforderungen. Einige Best Practices helfen dabei, einen kontrollierten und geschützten Zugriff betriebseigener Notebooks, Tablets und Smartphones auf das Unternehmensnetzwerk zu gewährleisten.

Noch nie gab es in Unternehmen so viele mobile Arbeitsplätze mit entsprechend unterschiedlichen Endgeräten. Die zunehmende Verbreitung von Smartphone und Co. hat jedoch neben den zahlreichen Vorteilen auch eine Kehrseite. Mit den modernen Devices kommt eine Fülle neuer Probleme in die Unternehmen. Viele von diesen nehmen deshalb Abstand vom BYOD-Konzept und erlauben ihren Mitarbeitern nicht mehr, ihre privaten Mobilgeräte auch beruflich zu nutzen. Weil die die Unternehmen dennoch von den Vorteilen der mobilen Techniken profitieren wollen, stellen sie ihrer Belegschaft stattdessen lieber selbst Mobilgeräte zur Verfügung, die sie mit MDM-Lösungen (Mobile Device Management) verwalten.
Um die Sicherheit und Integrität des Unternehmensnetzwerks zu gewährleisten, ist es allerdings erforderlich, zusätzliche Maßnahmen einzuleiten. Wenn sich die Mitarbeiter beispielsweise mit ihren Smartphones, Tablets und Notebooks über das Mobilfunknetz oder einen öffentlichen WLAN-Hotspot einloggen, sind sie dabei prinzipiell Angriffen ausgesetzt. Deshalb ist ein verschlüsselter VPN-Zugang erforderlich, der die Vertraulichkeit der Kommunikation außerhalb des Unternehmensnetzwerks gewährleistet. Um zu verhindern, dass die Mitarbeiter ungewollt Malware einschleusen, müssen die IT-Verantwortlichen außerdem in der Lage sein, den gesamten mobilen Datenverkehr zu scannen. Im Einzelnen haben sich zur Absicherung externer Zugriffe die folgenden Best Practices bewährt:
Reverse Web-Proxies einrichten: Reverse Proxies ermöglichen es, über Standard-Browser auf IT-Ressourcen zuzugreifen. Dabei können sie den Web-basierenden Zugriff auf Netzwerkressourcen von außerhalb authentifizieren und verschlüsseln.
SSL-VPN-Tunnel schaffen: Mit einem agentenbasierenden, verschlüsselten SSL-VPN-Tunnel lässt sich ein einfacher Zugriff auf kritische Client-Server-Ressourcen im Netzwerk realisieren. Dabei sollten Administratoren bevorzugt auf SSL-VPN-Gateway-Lösungen zurückgreifen, für die zertifizierte Notebook-, Tablet- und Smartphone-Clients verfügbar sind. Dies ermöglicht eine zentrale Verwaltung und eine einheitliche Benutzererfahrung, ohne dass separate Lösungen für die jeweiligen Gerätetypen zusammenzuführen und zu unterstützen sind.
VPN-Verkehr mit Next-Generation Firewall prüfen: Eine Next-Generation Firewall (NGFW) ist in der Lage, sämtliche Kommunikationsinhalte zunächst zu entschlüsseln und anschließend zu überprüfen. Sicherheitsmaßnahmen am NGFW-Gateway wie Anti-Virus, Anti-Spyware oder Intrusion Prevention können Cyberattacken stoppen, bevor sie in das Netzwerk gelangen.
Robuste Authentifizierung einbinden: Um einen einwandfreien Identitätsnachweis der Notebook-, Smartphone- und Tablet-Nutzer zu gewährleisten, sollten Standard-Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung und integrierte Einmalpasswörter zum Einsatz kommen.
 
Spezielle Maßnahmen für Notebooks

Apps, die für Smartphone- und Tablet-Betriebssysteme entwickelt wurden, durchlaufen in der Regel eine strenge Prüfung, bevor sie zum Download freigegeben sind. Dass IOS-Nutzer beispielsweise aus dem Apple App Store eine bösartige App herunterladen, kommt daher auch äußerst selten vor. Google Android ist diesbezüglich etwas weniger strikt, war bislang aber recht erfolgreich damit, eine geschlossene App-Umgebung mit geprüften Anwendungen aufrechtzuerhalten.
Notebooks hingegen verfügen über keine geprüfte App-Umgebung. Sind die Nutzer im Besitz entsprechender Admin-Rechte, können sie ohne zusätzliche Schutzschicht oder Sicherheitsprüfung jede beliebige Anwendung installieren – darunter auch potenziell unsichere oder gefährliche Programme, die nicht für die Verwendung im Unternehmensnetzwerk freigegeben sind. Für Notebooks, die von außerhalb auf das Netzwerk zugreifen, sind deshalb weitere spezielle Maßnahmen nötig:
Endpunktkontrolle implementieren: Mit einer Endpunktkontrolle lässt sich eine Geräteabfrage durchführen. Diese überprüft, ob auf dem fraglichen Gerät die nötigen Sicherheitsanwendungen laufen. Anschließend lässt sich der Zugriff – abhängig von den bestehenden Sicherheitsregeln und der Benutzeridentität – freigeben, vorübergehend verwehren oder sperren.
Sicheren virtuellen Desktop erstellen: Eine sichere virtuelle Desktop-Umgebung verhindert, dass Benutzer sensible Daten auf Notebooks zurücklassen. Erreichen lässt sich dies, indem alle während der VPN-Sitzung generierten Dateien und Links beim Trennen der Verbindung gelöscht werden.
Cache-Cleaner-Techniken anwenden: So genannte Cache Cleaner löschen alle Browser-basierenden Tracking-Daten auf einem Notebook, sobald sich der Benutzer abmeldet oder den Browser schließt.
 
Für sichere und effiziente Nutzung sorgen

Neben den externen Zugriffen sollten auch diejenigen Anwendungsfälle abgesichert sein, bei denen die Mitarbeiter mit ihren Smartphones, Tablets und Notebooks innerhalb des Unternehmensnetzwerks auf dieses zugreifen. Es empfiehlt sich aber, dabei neben Sicherheitsaspekten auch auf eine effiziente Nutzung der Mobilgeräte zu achten:
WLAN-Verkehr mit Next-Generation Firewall prüfen: Auch innerhalb des Unternehmensnetzwerks sollten Notebooks, Tablets und Smartphones den kompletten Schutz einer Next-Generation Firewall genießen, die alle Inhalte entschlüsseln und überprüfen kann.
Datenlecks vermeiden: Um Datenlecks zu verhindern gilt es, den ein- und ausgehende Datenverkehr mithilfe entsprechender Techniken zu scannen. Anhand vorgegebener Regeln lässt sich dann die Übertragung von Dateien in Abhängigkeit von Inhalten mit digitalen Wasserzeichen zulassen oder blockieren. Nicht regelkonforme Dateien mit Wasserzeichen kann ein Sicherungssystem außerdem zur näheren Prüfung an die IT- oder Personalabteilung beziehungsweise an das Management weiterleiten.
Ausgehende Botnet-Angriffe blockieren: Anti-Malware-Scans können Botnet-Angriffe erkennen und blockieren, die von Notebooks, Tablets und Smartphones innerhalb des Netzwerks ausgehen.
Anwendungsverkehr überwachen: Bei der Nutzung mobiler Apps durch die Mitarbeiter kollidieren häufig geschäftskritische Lösungen mit weniger wichtigen Anwendungen. Mit einer „Application Intelligence and Control“-Lösung können IT-Abteilungen die Nutzung der Anwendungs- und Bandbreitenressourcen wirksam regulieren.
Unerwünschte Internet-Nutzung unterbinden: Content-Filtering-Lösungen helfen dabei, Richtlinien für mobile Benutzer durchzusetzen. Indem sie ein Netzwerk ohne schädlichen Datenverkehr gewährleisten, sorgen diese Lösungen auch dafür, dass die Einhaltung gesetzlicher Vorgaben gewährleistet ist.

Geeignete Systeme unterstützen Unternehmen bei der sicheren Nutzung mobiler Geräte außerhalb und innerhalb ihrer Netzwerkumgebungen.