Flexibel und trotzdem sicher
Quelle: Citrix

Flexibel und trotzdem sicher

Von Toni Bernal

Tablets bringen im Geschäftsalltag nicht nur Vorteile mit sich, sie bergen auch Sicherheitsrisiken. Diesen Gefahren kann mit verschiedenen Tools entgegengewirkt werden.

Artikel erschienen in Swiss IT Magazine 2014/06

     

Der IT-Administrator schüttelt ärgerlich den Kopf. Gerade hat er ein Memo aus der Chefetage erhalten, wonach die Einführung von Tablets in grossem Stil geplant ist. Ausserdem soll eine Bring-your own-Device (BYOD)-Richtlinie kommen. Künftig sollen also die Kollegen jederzeit und von überall aus mit Tablets aufs Firmennetz zugreifen können? Und dann auch noch ihre privaten Tablets für die Arbeit nutzen dürfen? Und das, wo die Kollegen aus dem Produktmarketing erst gestern in grosser Runde gezeigt hatten, wie einfach sich ein Jailbreak auf vielen mobilen Geräten durchführen lässt. Beim Gedanken daran, dass dabei auch Malware ohne Hindernisse ins Firmennetzwerk gelangen kann, bekommt der Administrator es glatt mit der Angst zu tun. Wie soll er da für Sicherheit sorgen?

Solche Fragen stellen sich aktuell zahlreiche IT-Verantwortliche. Flexible Arbeitsformen sind auf dem Vormarsch, immer mehr Mitarbeiter nutzen mobile Endgeräte. Tablets klettern dabei rasant in der Beliebtheitsskala: Die Geräte sind handlich und dank Touchscreen intuitiv bedienbar. Dabei bringen sie inzwischen fast die gleiche Leistung mit wie ältere Notebooks. Dadurch rücken iPad und Co. auch ins Blickfeld vieler Unternehmen. Mitarbeiter, die viel unterwegs sind, schätzen die handlichen Geräte. Besonders in den Vertriebsabteilungen haben Tablets viele Fans. Sie eigenen sich nämlich hervorragend dafür, im Gespräch mit bestehenden oder potentiellen Kunden Inhalte zu präsentieren oder Anwendungen vorzuführen. Nach dem Termin kann das Feedback der Ansprechpartner direkt verarbeitet werden, etwa mit einem Update in der Kundendatenbank. Häufig trennen die Mitarbeiter dann aber nicht mehr zwischen privat und beruflich: Morgens zu Hause beim Frühstück auch schon einmal die privaten E-Mails auf dem Firmen-iPad lesen, die Präsentation auf dem Weg zum Kunden noch einmal durchgehen und dann auf der Zugfahrt Fotos vom Wochenende mit Freunden teilen – die Möglichkeiten sind attraktiv, Richtlinien hin oder her. Automatisch sicher sind sie deshalb noch lange nicht.

Die IT wird mobil


Noch vor wenigen Jahren waren diese Gefahrenquellen kein Thema. Das digitale Berufsleben spielte sich fast ausschliesslich am Desktop-PC ab, jeder Mitarbeiter hatte die gleiche Standardausrüstung. Diese Zeiten sind vorbei – inzwischen ist eine schier unüberschaubare Vielfalt an mobilen Endgeräten auf dem Markt. Aber auch die Softwarelandschaft hat sich gründlich gewandelt: Mit dem Siegeszug von Tablets und Smartphones sind auch Apps und Cloud-Dienste im Aufwind. Anwender sind dadurch anspruchsvoller geworden: Sie erwarten einen ebenso schnellen, komfortablen und verlässlichen Zugriff auf geschäftliche Daten und Anwendungen, wie sie es aus dem privaten Bereich gewohnt sind.
Unternehmen stellt diese Entwicklung vor zwei grosse Herausforderungen: Zum einen gilt es, Dateien und Informationen so gut wie möglich abzusichern und dabei trotzdem den gewünschten Komfort zu bieten. Zum anderen stellen die Endgeräte selbst eine Hürde für Administratoren dar. Die Devices sowie die darauf befindlichen Apps und Daten müssen so gut wie möglich kontrolliert werden.

Apps und Daten zentral bündeln


Die erste Hürde meistern Firmen, indem sie so viele Daten und Anwendungen wie möglich zentral in ihrem Rechenzentrum oder in einer Cloud-Umgebung bündeln. Das Zauberwort dafür heisst Virtualisierung: Mit Anwendungs- und Desktop-Virtualisierung lassen sich Apps und sogar ganze Desktops im Rechenzentrum bereitstellen, ohne sie lokal auf den Endgeräten zu installieren. Die Anwender greifen dann mit ihrem Tablet nur noch auf diese Instanzen zu, die Daten bleiben immer innerhalb der Firmen-IT. Der Vorteil: Das eigene Datacenter vor unbefugten Zugriffen zu schützen, ist deutlich einfacher, als mehrere hundert einzelne Geräte abzuschotten. Auch ist das Risiko, mit einem abhanden gekommenen Gerät brisante Informationen zu verlieren, damit deutlich kleiner – schlicht und einfach, weil sich keine Firmendaten mehr auf dem Tablet befinden.
Wie vielfältig die Möglichkeiten in diesem Bereich schon sind, zeigt das Beispiel der Desktop-Virtualisierung, bei der die gewohnte Umgebung auf einer virtuellen Maschine im Rechenzentrum läuft. Die Arbeitsumgebung bleibt die gleiche, ganz unabhängig vom genutzten Device.
Single-Sign-on-Funktionen sorgen dafür, dass sich der Anwender nur ein einziges Mal mit seinen Zugangsdaten identifizieren muss, um Zugriff auf alle nötigen Ressourcen zu erhalten. Das Unternehmen kann mittels Policies festlegen, wer auf welche Daten und Anwendungen zugreifen darf. Diese Rechte werden rollenbasiert vergeben und sind abhängig von der Funktion und dem Aufgabenbereich des Mitarbeiters. Einmal eingerichtet, erkennt das System den Nutzer immer wieder und stellt automatisch die passenden Ressourcen zur Verfügung.

Datenverbindungen stabil halten

Die Technologie hat sich inzwischen so weit entwickelt, dass komplette Desktops als Cloud-Service angeboten werden. Unternehmen buchen mit Desktop-as-a-Service die gewünschten Arbeitsplätze einfach nach Bedarf. Mitarbeiter haben den Vorteil, von überall aus und über jedes Endgerät auf ihren gewohnten Arbeitsplatz zugreifen zu können. Daten müssen also beispielsweise nicht mehr über eine mehrtägige Dienstreise hinweg auf dem Tablet gesammelt und anschliessend aufwendig ins Firmensystem übertragen werden. Zu bedenken ist für die IT-Verantwortlichen allenfalls noch die Anbindung der Tablets an die Firmen-IT. Schliesslich soll kein Nadelöhr bei der Datenübertragung vom Firmennetzwerk und zurück die Arbeitsfreude trüben, und der Zugriff auf die Infrastruktur von aussen muss gut abgesichert sein.
Dafür bieten aktuelle Application-Delivery-Controler (ADC)-Lösungen umfangreiche Möglichkeiten, um mobile Datenverbindungen einerseits stabil und schnell zu halten, andererseits aber auch ausreichend abzusichern. Das funktioniert zum Beispiel mit verschlüsselten Verbindungen über ein Virtual Private Network (VPN). Verschiedene Filter und Firewalls behalten auch den befugten Datenverkehr unter Kontrolle, falls sich doch einmal Malware auf einem der Endgeräte eingeschlichen hat oder ein Angreifer versucht, sich Zugang zu verschaffen.

Mobile Endgeräte kontrollieren

Ein zentral gesicherter und performanter Zugang zu den Unternehmensanwendungen ist aber letztlich nur die eine Seite der Medaille: Auch ein optimal abgesichertes Rechenzentrum hilft wenig, wenn der Anwender auf dem Tablet eigene Apps verwendet, die nicht autorisiert und geschützt sind und unbemerkt Nutzerdaten übertragen. Häufig sind den Anwendern die Klauseln in den allgemeinen Geschäftsbedingungen gar nicht bewusst, mit denen sich die Anbieter beispielsweise Standortdaten oder Informationen über die Kontakte des Nutzers sichern. Im schlimmsten Fall steckt hinter einer App kriminelle Energie: Wirtschaftsspionage, Datendiebstahl oder Sabotage sind die Konsequenzen.
Um auch hier die Kontrolle zu behalten und letztendlich zu einer End-to-End-Lösung für sicheres mobiles Arbeiten zu kommen, sollten Unternehmen eine Mobility-Strategie haben. Dazu gehören Werkzeuge für Mobile Device Management (MDM), mit denen sich verlorene Geräte remote löschen lassen oder manipulierte Devices aus dem Firmennetz ausgesperrt werden können. Dazu wird vor der Ausgabe an den Mitarbeiter ein Client auf den Geräten installiert, der dem Administrator Zugriff erlaubt. Meldet ein Mitarbeiter den Verlust seines Gerätes, kann die IT-Abteilung das Gerät sperren oder Daten und Anwendungen restlos löschen. Damit ist das Tablet zwar immer noch verloren, aber Unbefugte haben keinen Zugriff auf sensible Daten. Hier wird auch deutlich, worin eine Gefahr nicht autorisierter, privater Geräte besteht – auf diesen ist keine entsprechende Vorkehrung getroffen, im Fall eines Verlustes ist kein Zugriff mehr möglich.

Privates und Business trennen

Mobile Application Management (MAM) erlaubt zusätzlich den sicheren, isolierten Betrieb von Unternehmens-Apps auf beliebigen Endgeräten – unabhängig davon, ob es sich um ein firmeneigenes oder ein privates Gerät handelt. Das wird beispielsweise mit so genannten Container-Technologien realisiert. Dabei wird auf den Geräten ein abgesicherter Bereich eingerichtet, der von der übrigen Software komplett getrennt ist. In diesem Container sind Firmen-Apps und Geschäftsdaten sicher verwahrt und können nicht von anderen Anwendungen manipuliert werden. Der Mitarbeiter kann dadurch das Tablet auch privat frei nutzen, ohne unnötige Sicherheitsrisiken zu provozieren. Idealerweise verfügen diese Lösungen über aussagekräftige Dashboards, mit denen die IT-Verantwortlichen jederzeit Überblick über die mobilen Geräte und das Netzwerk behalten. Damit lässt sich die Verwaltung einfach und mit möglichst geringem Aufwand gestalten.
Sind alle diese Tools in eine umfassende Enterprise-Mobility-Management-Lösung eingebunden, dann besteht im Zusammenspiel mit den leistungsfähigen Netzwerklösungen eine durchgängige Architektur für sicheres und ungehindertes Arbeiten – von überall, über jedes Endgerät und jede Netzwerkverbindung. Das steigert die Produktivität der mobilen Mitarbeiter, sorgt für zufriedene Anwender und lässt auch Tablet- und BYOD-Skeptiker wie den IT-Administrator wieder ruhig schlafen.


Toni Bernal ist Country Manager Schweiz bei Citrix.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER