Angesichts dieser prekären Situation klingeln bei Unternehmen die Alarmglocken, passende Strategien zum Schutz der Daten in ihren Firmennetzwerken müssen entwickelt, implementiert oder – wenn schon geschehen – permanent optimiert werden. Darüber hinaus gilt es, die Schutzmaßnahmen auf die mobilen Mitarbeiter der Unternehmen zu übertragen.

Mobilität gehört inzwischen zum Alltag, besonders im Arbeitsleben. Immer mehr Mitarbeiter erfüllen ihre Aufgaben unterwegs und brauchen Fernzugriff zu ihren Firmensystemen. E-Mails werden gelesen und geschrieben, im Internet gesurft, Dokumente bearbeitet und auf Dateien des Unternehmensnetzes zugegriffen. Auch vertrauliche Unterlagen wie Vertragsabschlüsse werden online verschickt. Angestellte, Partner, Händler und die mobile Mitarbeiter brauchen Zugriff auf Anwendungen, Datenbanken und sensible Informationen über virtuelle private Networks (VPN) und Web-Anwendungen. Für einen sicheren Zugriff benötigen Unternehmen starke Authentifizierungslösungen. Hier sind häufig noch vergleichsweise schwache Methoden im Einsatz: So wird bislang zur Authentifizierung lediglich ein Benutzername und ein Kennwort verwendet. Benutzernamen können jedoch relativ leicht erraten werden. Gern werden dafür öffentlich verfügbare Informationen wie E-Mail-Adressen auf Visitenkarten genutzt. Wenn dem Angreifer ein Benutzername bekannt ist, muss er nur noch das Benutzerkennwort identifizieren und schon ist die Identität geklaut.

2-Faktor-Authentifizierung

Optimalen Schutz gegen Cyber-Kriminelle bieten 2-Faktor-Authentifizierungssysteme, die mit einer Kombination aus einer für den Benutzer verfügbaren Komponente – zum Beispiel ein Hardwaretoken oder eine Smartcard – und einer dem Benutzer bekannten Information wie eine Persönliche Identifikationsnummer (PIN) arbeiten.

Die übliche Verwendung statischer Passwörter zum Log-On gilt [aber] als extrem unsicher - nicht nur für den Fernzugriff über das Internet, sondern auch für die lokale Verbindung zum Firmennetzwerk im Büro. Statische Passwörter sind das schwächste Element der Netzwerksicherheit. Sie können wiederverwendet, erraten, weitergegeben und von Hackern leicht geknackt werden. In vielen Firmen sind statische Passwörter allerdings noch immer die einzige Authentifizierungsmethode zum Schutz der Firmendaten.

Besser sind dynamische Passwörter wie Einmalkennwörter (One-Time Password, OTP). Sie gelten jeweils nur für eine bestimmte Zeit und sind nur einmalig verwendbar. So entsteht kein Schaden, wenn das Passwort während der Authentifizierung ausgespäht wird. Traditionell werden mehrere Einmalkennwörter auf Vorrat angelegt und in Form einer Liste vermerkt, die sicher verwahrt werden muss, zum Beispiel bei Transaktionsnummern (TAN) im Online-Banking. Aber diese Passwörter können auch erst kurz vor ihrer Benutzung unter Einbeziehung der Uhrzeit und einer PIN erzeugt werden.

Dynamische Authentifizierung

Vasco verfeinert die 2-Faktor-Authentizierung: Die sogenannte Digipass-Authentifizierung für Windows Logon basiert auf der Idee, eine starre Kette von Zeichen durch ein dynamisches Passwort zu ersetzen. In Form eines kleinen Software-Moduls wird die Authentifizierung für Windows Logon innerhalb der Windows-Umgebung des Endnutzers installiert – sowohl auf Desktop-PCs als auch auf Laptops, die mit dem Unternehmensnetzwerk verbunden sind.

Will sich ein Firmenangehöriger zum Beispiel auf seinem Notebook in einen sensiblen Bereich der Firma einloggen, lässt er sich durch einen Digipass Hardware-Token eine sechsstellige Kennung erzeugen, die ihm auf einem kleinen Display eingeblendet wird. Bei jedem Login-Vorgang erhält der Nutzer ein neues Passwort von seinem Digipass – ein externes Stück Hardware, oftmals wie ein USB-Stick in Form eines Schlüsselanhängers. Das Passwort ist nur circa 60 Sekunden gültig. Die dynamische Passwort-Vergabe im Zusammenspiel mit der Serversoftware „Identikey“ (Middleware-Instanz auf dem Server) erschwert es unberechtigten Lauschern deutlich, statische PINs und TANs abzufangen.

Das Besondere ist, dass das Windows Log on(-Modul) unterwegs im nicht verbundenen Modus genauso funktioniert – so ist eine ebenso starke Authentifizierung wie im verbundenen Modus möglich. Läuft der Rechner im unverbundenen Modus, so erfolgt die Prüfung des Benutzerkennung anhand einer Datenbank mit Einmalpasswörtern. Diese werden erzeugt, wenn der PC mit dem Netzwerk verbunden ist und parallel dazu sicher verschlüsselt und abspeichert. Tausende im Vorfeld erzeugte Passwörter erlauben dem Benutzer so ein wochenlanges Arbeiten ohne Verbindung.

Besondere Herausforderung für Unternehmen: Sicherer Netzwerk-Fernzugriff mit dem Smartphone

Auch Daten auf mobilen Geräten wie Smartphones müssen vor dem Zugriff Unbefugter geschützt werden. Smartphones enthalten alle vertraulichen E-Mails und Daten des Unternehmens, jedoch in einem weitaus kleineren und extrem mobilen Format. Bei einem Speicherplatz von bis zu 32 GByte lassen sich auf einem Smartphone genügend Adressdaten oder Powerpoint- und Excel-Files mit firmeninternen Informationen ablegen – keine Frage, dass diese mitunter geschäftskritischen Daten geschützt werden müssen, denn schnell ist ein mobiles Gerät gestohlen.

Gerade für Mobilgeräte, die auf Windows Mobile laufen, empfiehlt sich die Software PGP Mobile. Diese verschlüsselt automatisch Daten, die auf das Smartphone übertragen werden. Darüber hinaus können Benutzer von mobilen Geräten und Desktop-PCs mit den Anwendungen von PGP Mobile Daten untereinander verschlüsselt austauschen.

Die im privaten Bereich beliebten SMS werden auch im Unternehmensumfeld gern verwendet. Doch auch hier lauern Spam-Attacken, die den Nutzer nicht nur Zeit und Nerven kosten, sondern massiv das Firmennetzwerk bedrohen können. Hierfür hat Fortinet aus der FortiClient-Produktlinie FortiMobile – das für Windows Mobile und Symbian optimiert ist – einen besonderen Anti-Spam-Schutzschirm für SMS entwickelt. Darüber hinaus enthält die Suite IPSec VPN, Telefon-Security zum Verschlüsselung der Kontaktdaten, Antivirus sowie einem Call Filter mit Black- und Whitelisten für Anrufe.

Was klein und handlich ist, geht auch schnell einmal verloren oder wird gestohlen – beim Verlust eines Smartphone gibt Kasperskys Mobile Security 9 sehr praktische Hilfestellung: Mit der Software können digitale Werte in verschlüsselten Ordnern gespeichert und ein verlorenes oder gestohlenes Smartphone blockiert oder die Daten darauf gelöscht werden. Zudem lässt sich ein verlorenes mobiles Gerät mit Hilfe der integrierten Funktion GPS-Find lokalisieren. Ein weiteres Kernelement der Mobile Security 9 sind Malware-Scans in Echtzeit und die Blockierung gefährlicher Netzwerkverbindungen. Letztere treten in einem „Verdachtsfall“ sofort in Kraft – erst per Knopfdruck des Nutzers werden die durch die Schutzfunktion verborgenen Telefonbuch-Einträge, SMS- und Anruf-Protokolle wieder sichtbar.

Remote-Zugriff aufs Firmennetzwerk im mobilen Geschäftsalltag – Anwendungskontinuitätsdienste für nahtloses und sicheres Logon

Besonders an großen Firmenstandorten oder im Falle von mobilen Mitarbeitern, die sich während eines normalen Arbeitstags sowohl im Büro, als auch in einer nahegelegenen Filale oder bei einem Kunden in der näheren Umgebung des Firmenstandorts aufhalten, sind extrem flexible Anwendungen bzw. Geräte unabdingbar. Solche oben erwähnten mobilen Anwender brauchen von überall schnellen Zugriff auf die Firmendaten, sei es mit dem Desktop-PC oder dem Smartphone. Hier kommen sogenannte Anwendungskontinuitätsdienste ins Spiel, die Follow-Me-Anwendungen enthalten, die auch dann weiter ausgeführt werden, wenn sich der Benutzer zwischen Wireless LANs, drahtgebundenen LANs und Mobilfunknetzwerken bewegt. Auf diesem Gebiet ist Aruba Spezialist: Dessen identitätsbasierte Sicherheitssysteme ordnen Zugriffsrichtlinien nicht Ports zu, sondern Benutzern und ermöglichen so Follow-Me-Security unabhängig von der Zugriffsmethode oder dem Standort.

In diesem Kontext sind auch Gastzugänge problemlos und vor allen Dingen sicher zu managen: Mit Policy Enforcement Firewall (PEF)-Modulen für das ArubaOS-Betriebssystem sind sogenannte rollenbasierte Zugriffe auf das Netzwerk für Gäste möglich, sowohl via LAN als auch via WLAN. Anhand dieser Separierung können sowohl interne als auch temporäre Gast-Zugänge optimal überwacht und verwaltet werden. Darüber hinaus implementiert PEF eine persönliche Firewall für jeden einzelnen User. Die Vorteile einer solchen internen Firewall-Lösung: Im Gegensatz zu externen Firewalls, die oftmals schwerfällig konfigurierbar sind und nur Ports und IP-Subnetze verstehen, können mit einer internen Lösung Anwender bezogene Sicherheitseinstellungen vorgenommen sowie Anwenderklassen bestimmt werden.

*15. Auflage des Internet Security Threat Reports, Symantec , 20.4.2010.