Mobiles BusinessGerade mobile Sicherheit verlangt mehr als Virtual Private Network

Die Vorteile des Einsatzes mobiler Endgeräte und Infrastrukturen liegen klar auf oder besser gesagt in der Hand: Jede Veränderung im geplanten Ablauf, jedes Ereignis oder Ergebnis kann unmittelbar kommuniziert werden – unabhängig von Zeit und Ort. Ganz gleich, ob sich beim Außendienst ein Termin verschiebt, wichtige E-Mails noch abgerufen werden müssen oder der Zugriff auf eine Datenbank nötig ist – so lange eine Verbindung vorhanden ist –; ein Klick und der Mitarbeiter greift auf die Unternehmensdaten zu.

So unstrittig der Nutzen mobiler Systeme und Infrastrukturen auch ist, zieht er große Herausforderungen in puncto Sicherheit nach sich: Mobile Endgeräte einschließlich ihrer Infrastrukturen sind häufig unzureichend über entsprechende Voreinstellungen (Defaults) gegen die Übermittlung von Daten beziehungsweise gegen die Ausführung dynamisch geladener Codes, Missbrauch oder Diebstahl gesichert. Ein versehentlicher Klick, eine unsichere Konfiguration oder ein aus Bequemlichkeit allerorts aktiviertes WLAN – und schon verbindet sich der mobile Rechner mit einem unter falschem Namen agierenden User in das Unternehmensnetz.

Aber die Palette der Gefahrenzonen für die ständigen Wegbegleiter ist groß. Besonders fatal: Unternehmen schützen zwar ihre festen Netzwerke, aber sobald es um die mobile IT geht, sind die Sicherheitslücken groß. So glauben laut der Studie „IT-Sicherheit 2005“ der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde, derzeit sogar nur 60 Prozent der Großunternehmen, dass PDAs und Smartphones eine Gefahr für die IT-Sicherheit darstellen. Und das, obwohl knapp die Hälfte der Mitarbeiter der befragten Unternehmen mit mobilen Geräten wie Notebook, PDA, Handheld oder Mobiltelefon ausgestattet ist.

Bisher haben nur 19,4 Prozent aller deutschen Unternehmen Vorkehrungen zum Schutz ihrer mobilen Informationssysteme getroffen. Obwohl die Expertenmeinungen im Detail auseinandergehen, stimmen sie darin überein, dass das zu wenig ist. Allerdings streben 31,9 Prozent der Befragten eine Verbesserung der Anwendungssicherheit an. Immerhin 20,6 Prozent gaben an, sich die Entwicklung einer entsprechenden Security Policy zum Ziel gesetzt zu haben. Weitere Maßnahmen, um die mobile Sicherheit zu vergrößern: Passwort-Authentifizierung (20,8 Prozent), die trotz einfacher Realisierbarkeit noch längst nicht Standard ist, und Security Audits (18,8 Prozent) durch externe Sicherheitsdienstleister.

Vor allem steht aber die Virenabwehr im Fokus der Sicherheitsexperten (32,5 Prozent). Denn Viren haben sich bereits so weit entwickelt, dass sie von einem Desktop-PC auf einen mobilen Handheld überspringen können. Zudem können sie mittlerweile Betriebssysteme voneinander unterscheiden. Dass ein identischer Trojaner zwei unterschiedliche Systeme befällt, ist eine völlig neue Erscheinung, die die Sicherheitsexperten in den Unternehmen vor eine neue schwere Aufgabe stellt.

Das ist aber nur eine von vielen Sicherheitslücken im Mobile Computing. Ebenso sind die mobilen Netzwerkstrukturen selbst nicht ausreichend gegen unbefugte Mitbenutzung, das sogenannte „Wardriving“, geschützt. Über den DHCP-Server klinken sich die Täter ein und agieren unter der zugehörigen IP-Adresse. Auch wenn so schon ein erheblicher Schaden entstehen kann, sind Hacker, die Teilnehmerkennungen und -verschlüsselungen knacken, weitaus gefährlicher. Denn sie schleusen sogenannte „Malware“ wie Viren unbemerkt in das Unternehmensnetz ein. Zudem machen unautorisierte Zugriffspunkte selbst eine vorbildlich geschützte WLAN-Implementierung unsicher.

Auch die Bluetooth-Technologie stellt eine potenzielle Risikoquelle dar. Dabei sind die davon ausgehenden Gefahren vielfältig. Sie reichen vom Versand unerwünschter SMS-Nachrichten (Bluejacking) über den reinen Informationsdiebstahl (Bluesnarfing) bis hin zum Ausführen von Befehlen mit Fremdgeräten (Bluebugging). Zunächst scheinen diese Attacken „nur“ auf die Privatperson zu zielen. Die Sicherheitsprobleme beginnen dort, wo mobile Geräte mit dem Arbeits-PC synchronisiert werden. Zudem wird die Gefahr des Bluesnarfing oftmals unterschätzt: Laptops mit leistungsfähigen Antennen können Signale aus einer Entfernung von bis zu 800 Metern aufnehmen.

Angesichts der steigenden Zahl mobiler Endgeräte und der zeitlich proportional wachsenden Angriffe tut es Not, nachhaltige Sicherheitsstrategien zu entwickeln. Gegenwärtig mag dies vielen IT-Verantwortlichen noch verfrüht sein. Aber immerhin bleibt so noch Zeit zu agieren und nicht, wie es später der Fall wäre, zu reagieren. Zumindest sollte ein Bewusstsein für die lauernden Gefahren vorhanden sein.

Die Schutzmaßnahmen müssen einerseits beim einzelnen Gerät selbst beginnen. Es gilt, das mobile System durch Virenschutz, Authentifizierung, Benutzer-/Prozessidentifikation, Firewall oder Intrusion Detection, aber auch Konfigurations- und Softwaremanagement zu sichern. Dazu bieten mittlerweile verschiedene Hersteller Sicherheitstools an, die sich jeweils an den Systemvoraussetzungen der mobilen Endgeräte orientieren und auch unterschiedliche Ansätze verfolgen. Allerdings nutzt alle Technologie nur, wenn die Mitarbeiter für Sicherheitsfragen sensibilisiert sind. Denn Angriffe können zum Beispiel schon ganz leicht durch eine Deaktivierung der Erkennungsmöglichkeit von Bluetooth deaktiviert werden. Letztlich hängt ein ausreichender Schutz ganz einfach davon ab, ob der Anwender die dementsprechenden Tools überhaupt einschaltet.

Auch an grundsätzlich anderen bzw. die Unternehmensnetzwerke an sich betreffenden Lösungen wird gearbeitet. So bietet ein mobiles IP-VPN (Virtual Private Network) die Möglichkeit, Mitarbeiter, wo immer sie sich auch gerade aufhalten, über ein öffentliches Netz mit dem Extranet zu verbinden – Dateiverschlüsselung, Schutz vor Angriff und Viren inklusive. Über Remote Access linken sich die Mitarbeiter von unterwegs ein. Wichtig: Ein VPN sollte genau auf die Bedürfnisse des Unternehmens zugeschnitten sein. Demnach kann auch die jeweilige Sicherheitsstufe durch zum Beispiel verschiedene Authentifikationsarten bestimmt werden.

Spannend ist auch ein anderer Ansatz: „Mobile Edge“ bezeichnet ein drahtloses Netz für Sprache und Daten, dessen Hard- und Software als Service-Overlay auf bestehende Hochgeschwindigkeitsnetze aufsetzen. So werden überall Daten bereitgestellt, wo man sie braucht: im Büro, in Zweigstellen, im Home-Office oder unterwegs. Ähnlich interessant ist zum Beispiel eine neue Software, die nicht das mobile Endgerät in den Mittelpunkt stellt, sondern den Server. Während bei den sonst üblichen Synchronisationsmodellen ein ständiger Datentransfer zwischen Server und Client initiiert wird, wird der Online-Terminal-Ansatz verfolgt: Die Daten sind und bleiben auf dem Server – das mobile Gerät schaut nur wie ein Bildschirm auf die Information.

Es steht fest: Mobilität und Sicherheit werden uns in den nächsten Jahren verstärkt zusammen begegnen. Allerdings muss dabei stets auf die Informationsintegrität, also auf die richtige Balance zwischen Schutz und Funktion, geachtet werden. Denn letztlich geht es ums Business. IT sollte dabei immer ein Instrument sein, um den Unternehmenserfolg zu unterstützen - und nicht zu gefährden. Der Einsatz Virtueller Privater Netzwerke in Kombination mit speziell auf mobile Endgeräte ausgerichteten Sicherheitsstrategien fördert diesen Anspruch.