Sichere Anbindung von mobilen Endgeräten

ipad schwarz screenshotMobile Endgeräte wie Smartphones oder Tablets haben ihren Ursprung im Privatanwenderbereich. Erhöhte Sicherheitsanforderungen, die Unternehmen im Vergleich zu privaten Nutzern haben, waren daher ursprünglich in den Betriebssystemen nicht bedacht.

In einigen Bereichen wurde inzwischen nachgebessert, aber nach wie vor gilt der Grundsatz, dass auf diesen Geräten befindliche Daten besser zusätzlich zu verschlüsseln sind oder dass noch besser erst gar keine kritischen Daten auf dem Gerät zu speichern sind.

Private versus Coorperate owned devices

Wie schon im vorigen Artikel „Mobile Device Management as a Service” beschrieben, gibt es Möglichkeiten, diese Gerätetypen durch eine geeignete Mobile Device Management-Lösung (MDM) mit einer Security-Policy zu versehen. Die MDM übernimmt unter anderem die Überwachung dieser Policy und die Ausführung der daraus resultierenden Aktionen. 

Die für die sichere VPN-Anbindung an das Unternehmensnetzwerk nötigen Vorgaben sind jedoch oft so stark einschränkend, dass viele Privatanwender sich kaum überzeugen lassen, auf ihrem privaten Gerät derart einschneidende Restriktionen durchführen zu lassen. Diese sind z.B. das Blockieren von im Unternehmensnetzwerk unerwünschten Apps über Synchronisationsrestriktionen bis hin zum kompletten Löschen aller auf dem Gerät befindlichen Daten von zentraler Stelle bei Kompromittierung oder Verlust.

Auch die nötigen Backupmaßnahmen der auf dem Gerät befindlichen Unternehmens-Daten sind nur schwer einem Privatnutzer vorschreibbar, sobald sich auf dem Gerät ein Mix aus Privat- und Unternehmensdaten befindet. Eine „Verwahrung“ von Privatdaten im Unternehmen, wie auch die Sicherung von Unternehmensdaten in Privatsicherungen führen zu rechtlichen Fragestellungen. 

Dies führt zu dem zweigeteilten Lösungsansatz: Unternehmenseigene Geräte werden entsprechend behandelt und voll in die Policies des Unternehmens eingebunden. Private Geräte werden gemäß dem ‚Bring Your Own Device'-Ansatz behandelt.

Einbindung unternehmenseigener Geräte
Einbindung unternehmenseigener GeräteDer Wunsch von Mitarbeitern nach aktuellen Smart-phones, mit denen man nicht nur telefoniert, sondern auch Zugriff auf die Unternehmensdaten wie E-Mail, Kalender, Intranet erhält, ist mittlerweile ein Trend, an dem die Unternehmen nicht vorbei kommen.

Um Smartphones von verschiedenen Herstellern und mit unterschiedlichen Betriebssystemen sicher in die Infrastruktur einbinden zu können, bietet sich eine Mobile Device Management Lösung (MDM) an. Damit kann das Unternehmen die Geräte zentral verwalten und Policies wie z.B. Verschlüsselung, Kennwortschutz und weitere sicherheitsrelevante Richtlinien durchsetzen.

Über eine MDM-Lösung kann definiert werden, welche Apps auf den Geräten zugelassen und welche unerwünscht sind. Eine Lizenzüberwachung und Verwaltung der einzelnen Geräte ist ebenfalls ein wichtiger Aspekt im Unternehmensumfeld, der mit so einer Lösung abgedeckt werden kann.

Der Zugriff mit dem Smartphone auf interne Unternehmensressourcen z.B. Intranet, Laufwerksfreigaben und andere unternehmensspezifische Anwendungen, kann mittels diverser VPN-Lösungsanbieter über eine MDM-Lösung zentral verwaltet werden. 

Ein wesentliches, sicherheitsrelevantes Feature einer MDM Lösung ist, dass Geräte remote über das Internet gelöscht werden können - entweder komplett oder nur spezielle Anwendungen. Bei Diebstahl oder Verlust des Gerätes können so die lokal gespeicherten Unternehmensdaten nicht in fremde Hände gelangen.

Durch eine gut geplante und professionell eingesetzte Mobile Device Management Lösung sind Unternehmen in der Lage, ihren Mitarbeitern sichere Smartphones für den Zugriff auf die internen Unternehmensdaten zur Verfügung zu stellen und somit die Produktivität im Unternehmen deutlich zu erhöhen.

Bring your own device (BYOD) – einem Buzzword Leben eingehaucht

Bring your own device (BYOD) kann nur einwandfrei funktionieren, wenn die Anbindung an das Unternehmen auf einer weitest gehenden Entkoppelung des Gerätes vom Zugriff auf das Unternehmensnetzwerk basiert. Die Sicherheit sollte durch die Applikation, die den Zugriff ermöglicht, gewährleistet werden. Vertrauen auf das darunterliegende System ist nur sehr bedingt möglich.

Apps, die Dienste des Unternehmens für mobile Endgeräte bereitstellen, müssen eine verschlüsselte Datenverbindung nutzen, möglichst wenige Daten auf dem Gerät speichern und wenn diese gespeichert werden müssen, sie sicher ablegen. Um Sicherheit zu gewährleisten, sollten diese Apps robust programmiert und möglichst gut gekapselt sein. Eine Rooting-/Jailbreak-Detection oder vergleichbare Mechanismen sind wünschenswert.

„Good für Enterprise“

Im Folgenden wird eine Lösung dargestellt, welche diesen Ansatz konsequent verfolgt und sich auf viele Anwendungsfälle adaptieren lässt.

Sichere Anbindung

„Good for Enterprise“ ist eine App, die Mitarbeitern Zugriff auf ihren Postkorb, Kalender und Intranet-Web im Unternehmen bereitstellt. Die App bietet die Kapselung und sichere Ablage der Daten sowie eine Rooting/Jailbreak-Erkennung. Dadurch wird die Nutzung auf einem Privatgerät vollständig gesichert und es können keine Daten in Bereiche außerhalb der App verschoben werden.

Die Anbindung erfolgt durch eine SSL-Verbindung. Es wird kein IP-basierendes VPN aufgebaut, welches durch das Routing ins Unternehmensnetzwerk eine höhere Angriffsfläche bieten würde. Durch geschickte Einbindung bekommt man auch bei einem geschlossenen Gerät Informationen über bevorstehende Termine und neue E-Mails. Die App beherrscht die Darstellung verschiedenster Dateiformate. Man kann damit z.B. auf Corporate-Sharepoints zuzugreifen. Zusätze ermöglichen auch das Editieren von Dokumenten auf Laufwerksfreigaben oder Sharepoints.

Diese App deckt viele Anwendungsgebiete ab, bekommt aber durch die zusätzliche direkte Anbindung des Unternehmens-Arbeitsplatzes vorher nicht bekannte Dimensionen.

Viele Firmen haben in ihrer IT-Strategie die Virtualisierung der Desktops im Blick oder bereits vollzogen. Die Einbindung dieser virtualisierten Desktops wird im folgenden Szenario beschrieben.  

Virtualisierte Desktops auf dem Tablet 

Die großen Vorteile einer virtualisierten, zentralisierten Desktop-Umgebung liegen auf der Hand und können durch die heutigen Netzwerke auch in entfernten Lokationen stabil genutzt werden. Fast alle Aspekte des Handlings werden in solch einer Umgebung verbessert. Datensicherheit, Investitionssicherheit und optimale Auslastung der Hardware sind nur einige der bekannten Vorteile.

Warum also nicht den nächsten Schritt gehen und eine Nutzung dieser Desktops auf den BYOD-Geräten etablieren? Die gewohnte Arbeitsumgebung bietet oftmals die höchste Produktivität – diese gilt es zu nutzen!

Der Citrix-Receiver

Die Installation des Citrix-Receivers auf den mobilen Geräten ähnlich der „Good for Enterprise“-App lässt den gekapselten Zugriff auf eine Citrix XenApp- oder XenDesktop-Umgebung zu. Alle Anwendungen können wie gewohnt bereitgestellt werden. Es sind weder Anpassungen nötig, noch fällt zusätzlicher Mehraufwand in der Wartung an. Der Citrix Receiver sorgt für ein Tablet-adaptiertes Handling mit einer optimalen Nutzung des Windows-Desktops auf dem Touch-Device.

Der Zugriff auf relevante Daten während eines Meetings oder die aktive Teilnahme an Unternehmensprozessen während mobiler Phasen oder während der Heimarbeit sind nur einige Beispiele. Die Anwendungsmöglichkeiten sind grenzenlos und verbessern bei optimaler Implementierung deutlich die Flexibilität und Produktivität.

Fazit 

Die heutigen Lösungen erlauben bereits die sichere Integration von Tablet & Co - egal ob es sich um unternehmenseigene oder private Geräte handelt. Wichtig hierbei ist die korrekte Konzeption, Architektur  und Implementierung der jeweiligen Lösung mit all ihren Facetten. Diese muss sich nahtlos in die bestehende Infrastruktur anpassen, um unter den erforderlichen Sicherheitsanforderungen die bestmöglichen Ergebnisse erzielen zu können.

Ansprechpartner: Ralf Staiger; Turn on Javascript!