![[ Aufmachergrafik: heller, corporate design]](04-5-033-0.jpg)
Mobile Security im UMTS-Zeitalter Drahtlose Sicherheit benötigt zentrale Konzepte
Mobile Mitarbeiter wie Servicekräfte, Vertriebspersonal und Manager sollen unterwegs idealerweise genauso wie an ihrem Firmen-PC arbeiten und kommunizieren können. General Packet Radio System (GPRS), Universal Mobile Telecommunications System (UMTS) und Wireless LAN (WLAN) motivieren mit ihren Bandbreiten dazu, das Geschäft im direkten Kontakt mit den Unternehmensdaten und E-Mails auch mobil voranzutreiben. Hinzu kommen erste Smartphones mit universeller Kommunikationsschnittstelle, die sich anschicken zur Leistungsfähigkeit von Notebooks aufzulaufen. Mit diesem Trend zu mehr Mobilität über drahtlose Netze wächst aber auch der Anspruch, solche Handhelds ebenso sicher wie PCs in die Unternehmenskommunikation einzubinden. Dies ist alles andere als ein einfache Aufgabe, da alle drei mobilen Dienste – GPRS, UMTS, WLAN – das unsichere öffentliche Internet als Übertragungsplattform nutzen.
Von Mobilfunkbetreibern und Betreibern öffentlicher WLANs ist nur selten Hilfe zu erwarten, ihre Schutzmechanismen wie Authentifizierung und Datenverschlüsselung greifen nur für ihre eigene Domäne. Mit der Übergabe ans Internet beginnt jedoch das eigentliche Vabanque-Spiel für sensitive Zugriffe und Geschäftsdaten. Speziell bei öffentlichen WLANs kommt auch schon "davor" durch den Einsatz keiner oder ungenügender Sicherungsverfahren die lokale Abhörgefahr hinzu. "Die Unternehmen sind angesichts solcher Konstellationen gefordert, für den modernen Handheld-Einsatz alles Notwendige in puncto Sicherheit selbst zu tun", redet Frank Kölmel den Entscheidern ins Gewissen. Der notwendige Schutz steht nach Meinung des Direktors Zentral-/Osteuropa bei Secure Computing auf drei Säulen: Sicherheit der Kommunikation, des Netzzugangs und der eingesetzten Geräte.
Demnach werden sich künftig geschäftliche Anwender von Handhelds nach der Verbindungsauswahl mit dem gesamten Spektrum an Sicherheitstechniken auseinandersetzen müssen, ebenso wie die zentral Verantwortlichen für diesen Geräteeinsatz. "Ohne diese Vorkehrungen gegenüber ihren Handhelds", so Kölmel, "werden die Unternehmen Gefahr laufen, die Sicherheit der zentralen wie der Transferdaten aufs Spiel zu setzen." Als wesentliche Maßnahmen nennt Kölmel:
Als wichtigen Schritt erachtet Kölmel bei WLANs zudem die anstehende Ablösung des angreifbaren Sicherheitsprotokolls Wired Equivalent Privacy (WEP): "Das Institute of Electrical and Electronics Engineers (IEEE) hat als zuständiges Standardisierungsgremium im Juni IEEE 802.11i für kabellose Netze ratifiziert, über das in WLANs als Zubringer ins Internet eine höhere Datensicherheit einkehren wird" (s. a. S. 36). Für die Anwender und Administratoren bleibt darauf zu achten, dass entsprechende Geräte eingesetzt und die Sicherheitsverfahren auch wirklich aktiviert werden.
----------Anfang Textkasten----------
Auch Service Provider können Unternehmen helfen via GPRS und UMTS einen sicheren Zugang zum Intranet zu realisieren. Vor allem wenn die Kommunikation über einen Provider mit "privatem" IP-Netz abläuft, der für diesen Kommunikationsweg wichtige Sicherheitsmechanismen bereitstellt, kann die Überlegung lohnen. "Provider mit privatem IP-Netz bieten dem Kunden gute Voraussetzungen für hochqualitative, sichere und wirtschaftliche Lösungen", so Marco Sachsenhausen, Produktmanager bei T-Com/Network Projects & Services. Durch die eigene IP-Infrastruktur könne der Provider auch individuelle Kundenanforderungen flexibel bedienen. Ein Beispiel für eine derartige Dienstleistung ist der Intra Select Classic Dial-in-Service von T-Com im Zusammenspiel mit dem IP-VPN von T-Mobile.
Ein Gateway-System übernimmt dabei die Umsetzung zwischen drahtloser und drahtgebundener Übertragung sowie die Kopplung der Services. Somit können sich mobile Mitarbeiter über denselben Dial-in-Service auch via ISDN oder T-DSL (beispielsweise per Notebook) anmelden. In diesem Fall baut die T-Com einen Tunnel auf, der durch ein kundenindividuelles Home-Gateway terminiert wird; von dort ist die Verbindung bis zum Eingang ins Firmennetz per Dial-in-IP-Pfad oder Dial-in-PVC (Permanent Virtual Circuit) realisiert.
Ob drahtlose oder drahtgebundene Einwahl: Für einen gesicherten Zugang zum Unternehmensnetz erfolgt dann die Benutzer-Authentifizierung gleichermaßen durch PAP/CHAP; auch eine starke Authentifizierung durch Einmal-Passwörter ist möglich. Für weitergehende Sicherheitsansprüche kann T-Com eine Ende-zu-Ende-Verschlüsselung der Daten gemäß IPSec beisteuern, mit Schlüssellängen bis 256 Bit. Auf Wunsch liegt das Benutzermanagement bei der T-Com, alternativ können die IT-Administratoren im Unternehmen die Benutzerverwaltung selbst über ein Web-Tool übernehmen.
----------Ende Textkasten----------
Norbert Drecker, Leiter des Competence Centers bei der Evidian GmbH in Köln, sieht die neuen Westentaschen-PCs darüber hinaus ins Anforderungsprofil des Identitätenmanagements und damit der Zugriffskontrollsteuerung bis in die Zielapplikationen hineinwachsen: "Ihre Benutzereinträge und -rechte können in ein zentrales Light-Weight-Directory-Access-Protocol-(LDAP)-Verzeichnis einfließen, um darin gemeinsam mit denen aus dem Firmenfestnetz verwaltet zu werden." Als Beispiel nennt er Evidians Produkt Access-Master, das parallel auch Zugriffe via Wireless Application Protocol (WAP) und GPRS unterstütze.
Auch ein wirtschaftlicher Single Sign-on (SSO), der die Authentifizierung automatisch mit der Autorisierung für die Zielsysteme kopple, sei unter Browser- oder WAP-Oberfläche kein Problem. "Beim Web-SSO liegen die Autorisierungskriterien zur Freischaltung auf dem zentralen Sicherheits-Gateway und nicht wie beim klassischen SSO auf den Arbeitsplätzen", erklärt der Evidian-Manager. Er ist überzeugt, dass gerade Handhelds der neuen Generation den Druck erhöhen, auf Identitity-Management zu setzen. "Nur so werden die Unternehmen den erweiterten Teilnehmerkreis in den Griff bekommen – auch die mobilen Kunden sowie die mobilen Mitarbeiter bei den Geschäftspartnern."
Effizient in den Begriff bekommen müssen auch die Mitarbeiter selbst die neue Handheld-Generation, weil ansonsten durch lange Installations-, Konfigurations- und Pflegezeiten, gleichbedeutend mit Gerätausfallzeiten, Produktivitätsverluste drohen. Stefan Waitzinger, Leiter Market Devopment bei Siemens Business Services Deutschland, sieht angesichts der vielen Sicherheits- und Konfigurationseinstellungen – unter anderem zur Verbindungsauswahl und für Disaster Recovery – viele der mobilen Mitarbeiter überfordert. "Und denen, die Notebook-erprobt damit umgehen können, wird das zu viel Zeit im immer hektischeren Tagesgeschäft rauben", prophezeit Waitzinger. Er sieht deshalb Unternehmen, die offensiv auf leistungsfähige Handhelds setzen, nicht an Managed Mobile Devices (MMD) vorbeikommen. Für ihn ist dieser Service das einzige Mittel, um die Minicomputer der neuen Generation stets einsatzbereit in die IT und Workflow-Prozesse eines Unternehmens einzubinden – egal ob MMD in Eigenregie oder als externer Dienst ablaufen.
Siemens Business Services (SBS) hat so einen Dienst bereits im Programm, wenn auch vorerst nur für Microsoft Pocket PCs. Die Philosophie: Alle notwendigen Softwareinstallationen, -einstellungen, Personalisierungen und Updates bis hin zur Neuinstallation des Geräts im Störfall erfolgen von einem zentralen, datenbankgestützten Server. Dadurch sollen alle Geräte inklusive der notwendigen Sicherheitseinstellungen immer auf dem aktuellen Stand und stets einsatzbereit bleiben. Parallel werden die Daten auf dem Minicomputer automatisch mit denen des Firmen-PC synchronisiert. Was dem mobilen Mitarbeiter bleibt, ist eine vereinfachte Administration seines persönlichen Systems. Denn auch alle Handheld-Benutzer und ihre Rechte werden für eine sichere Personalisierung und Zugangs- beziehungsweise Zugriffskontrolle über MMD zentral verwaltet. Eine effiziente Remote-Helpdesk-Unterstützung, für die alle Informationen innerhalb der MMD-Datenbank vorliegen, werde so ebenfalls möglich.
Die Installation "Mobilis" im Kreis der Siemens-Mitarbeiter in Norwegen, Schweden, Großbritannien und Polen verdeutlicht die mögliche Umsetzung dieses zentralistischen Managementansatzes. Rund 2 600 mobile Einsatzkräfte müssen sich laut Waitzinger lediglich drahtlos anmelden, um danach am Display grafikgestützt und durch Signalfarben ausgewiesen den weiteren Ablauf verfolgen zu können. Der Mobilis-Server übernimmt für sie im Hintergrund die komplette Arbeit von Verbindungsauswahl und VPN-Einrichtung über die Zuordnung von Verschlüsselungsalgorithmen inklusive Schlüsselverteilung bis hin zur Geräte-/Benutzerauthentifizierung und den kontrollierten Zugriff auf die berechtigten Applikationen. Welche Verbindung mit welchen Sicherheitseinstellungen und Rechtezuweisungen im Einzelnen aufgebaut werden soll, gibt der zentrale Administrator per Regelwerk vor.
Daneben fungiert der Mobilis-Server gegenüber Pocket PCs und mobilen Notebooks als Zertifikat-Server mit Public-Key-Infrastruktur-(PKI)-Schnittstelle, um externe Zertifikatanforderungen entgegennehmen und per Certificate Revocation List (CRL) auf Gültigkeit prüfen zu können. Selbst die automatische Zuordnung von Quality-of-Service (QoS) sei damit seit kurzem möglich. Dadurch könne man auch Echtzeitdaten wie IP-Telefonate und Videosequenzen in die sichere mobile Kommunikation mit dem SBS-Firmennetz integrieren.
Solche und andere Lösungsansätze für Mobile Security werden künftig weitere Handheld-Betriebssysteme unterstützen müssen. Denn anders als bei Notebooks ist diese Gerätewelt durch mehrere Betriebssysteme geprägt. Die Meta Group hat den Einsatzgrad von Handheld-Systemen in deutschen Unternehmen hinterfragt – das Ergebnis im Ist-/Soll-Vergleich: Palm OS 77,3 % / 68,2 %, Microsoft Pocket PC mit Windows Mobile 53,0 % / 57,6 %, Linux 3,0 % / 11,8 %, EPOC mit Psion 1,5 % / 2,4 %, sonstige 4,5 % / 3,5 %. Auch die International Data Corporation (IDC) sieht Marktimpulse für den Einstieg in die sichere drahtlose Kommunikation. Demzufolge sollen nach zwei Jahren rückläufiger Umsatzzahlen intelligente Smartphones diesem Markt bis 2007 wieder Umsatzzuwächse bescheren. Schon für dieses Jahr sagt der Analyst weltweit rund 15 Millionen abgesetzte Einheiten voraus.
Hadi Stiel ist freier Journalist und Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 33
| 