Sichere Integration mobiler Mitarbeiter in das Unternehmensnetz Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.05.2009 Martin Walzer *

Sichere Integration mobiler Mitarbeiter in das Unternehmensnetz

Administratoren müssen einen Weg finden, wie sie mobile Rechner direkt in das Internet lassen, aber trotzdem für den notwendigen Schutz sorgen.

Aus Sicht eines Administrators unterscheiden sich mobile Notebook-Anwender von den stationären Kollegen in der Unternehmenszentrale hauptsächlich in drei Punkten: - Sie sind nicht immer mit dem Firmennetz verbunden. - Wenn sie verbunden sind steht ihnen meist weniger Bandbreite zur Verfügung. - Sie stellen ihre Verbindung in der Regel über Netzwerke her, die außerhalb des Einflusses des Administrators liegen.

Der erste Punkt liegt in der Natur der Sache und bedeutet für den Administrator vor allem eine Herausforderung bei der Verteilung von Software, der Aktualisierung von Virensignaturen oder der Inventarisierung der entfernten Rechner. Für den Benutzer hingegen bedeutet die Mobilität, dass er zwar lokale Anwendungen jederzeit nutzen kann, sofern sein Rechner mit ausreichend Energie versorgt wird. Auf zentrale Ressourcen wie den Dateiserver im Unternehmen oder externe webbasierte Anwendungen wie Google Apps oder Salesforce.com kann er jedoch nur zugreifen, wenn er eine Verbindung zum Internet hat. Dabei muss er dann einerseits mit weniger Bandbreite auskommen und bewegt sich andererseits in potentiell unsicheren Netzen.

Doppelt gemoppelt Bereits bei der Wahl des Internetzugangs für seine mobilen Schäfchen steht der Administrator vor einer schwierigen Entscheidung. Denn will er kontrollieren, was über das Internet auf die Rechner seiner Benutzer gelangt, so muss er den direkten Zugriff seiner Anwender auf das Internet unterbinden und jeglichen Verkehr zunächst durch die Unternehmenszentrale tunneln. In der Praxis dürfen die Benutzer dann zwar eine Verbindung mit dem Internet etwa über WLAN oder UMTS herstellen. Ein VPN-Client auf den mobilen Rechnern schickt aber sämtlichen Datenverkehr der Notebooks verschlüsselt an ein VPN-Gateway im Unternehmen. Dort kann der Administrator zunächst beispielsweise mit einem Webfilter die URLs der angeforderten Webseiten prüfen. Stimmen diese mit den Unternehmensrichtlinien überein, wird der Verkehr in das Internet entlassen. Die Antwort aus dem Internet – zum Beispiel eine Webseite – wandert wieder erst in die Zentrale und von dort – zentral auf Viren geprüft – durch den VPN-Tunnel zurück an den Mitarbeiter. Da diese Vorgehensweise einem Unternehmen maximale Kontrolle und damit Sicherheit gibt, kommt sie heute in den meisten Fällen zum Einsatz. Der Preis dafür ist jedoch, dass jeder Internetverkehr mobiler Mitarbeiter zweimal über die WAN-Verbindung des Unternehmens läuft.

Für gelegentliches Surfen der mobilen Arbeitstruppe mag die doppelte Verkehrsführung in der Vergangenheit auch vertretbar gewesen sein. Doch Geschäftsmodelle und Anwendungen haben sich verändert, was sich in der Praxis auf den Internetverkehr auswirkt. Bestes Beispiel hierfür sind Software-as-a-Service auf Basis webbasierter Anwendungen – wie etwa das eingangs genannte Salesforce.com. Auch kommunizieren immer mehr lokal installierte Softwarekomponenten mit im Internet lokalisierten Webservices, was weiter zu einer Zunahme des Internetverkehrs führt. Service-orientierte Architekturen (SOA) propagieren ebenfalls diesen verteilten Ansatz, bei dem Funktionen und Komponenten sogar ein und derselben Anwendung irgendwo im Internet sitzen und unterschiedlichsten Unternehmen gehören können. All dies führt in der Summe zu immer mehr Webverkehr, der mehrfach über die WAN-Verbindung eines Unternehmens wandert. Neben Bandbreitenengpässen führt dies zudem zu erhöhten Latenzzeiten, was sich insbesondere bei zeitkritischen Anwendungen unangenehm bemerkbar macht.

Da mag es verlockend erscheinen, den sowieso immer über langsame Anwendungen nörgelnden Benutzer direkt von seinem mobilen Rechner in das Internet zu entlassen und nur den Zugriff auf zentrale Unternehmensanwendungen in das Unternehmen zu tunneln. Doch die Gefahren, die im Internet auf die Besucher lauern, werden immer hinterhältiger. Insbesondere in den letzten beiden Jahren haben sich hier die Strategien der Angreifer verändert: E-Mail-Attachments als Einfallstor für Viren, Würmer, Trojaner und Spyware verlieren an Bedeutung, während immer mehr infizierte Webseiten die Quelle für bösartigen Code sind, der sich dann auf lokalen Rechnern einnistet. Dieser wiederum kann dann versuchen, Daten beispielsweise aus dem CRM-System auszuspähen. Denn der Handel mit gestohlenen Identitäten hat sich in den letzten Jahren zu einer veritablen Einnahmequelle für IT-Spezialisten entwickelt, die es mit der Gesetzestreue nicht so genau nehmen. Bei geschätzten 14 Dollar pro Identität kann eine geklaute Mitarbeiterdatenbank ein nettes Zubrot sein…

Inject, Iframe, Infect Anfang 2008 infizierten sich plötzlich mehrere hunderttausend seriöse Webseiten, die daraufhin versuchten, ihren Besuchern ein bösartiges Javascript unterzuschieben. Dieses wiederum hatte das Ziel, durch die Ausnutzung von Sicherheitslücken im Browser auf den Rechnern der Besucher einen Trojaner einzuschmuggeln. Im April stießen die Experten des Internet Storm Center während ihrer Recherchen dabei auf einen Server, auf dem sie neben dem bösartigen Javascript eine ausführbare Datei fanden. Dabei handelte es sich um ein Windows-Tool mit chinesischer Oberfläche, das mithilfe von Google nach bestimmten Webanwendungen suchte, um dort eine SQL-Injection-Attacke auszuführen. Bei SQL-Injections versucht ein Angreifer vereinfacht gesagt, in Textfelder von Webformularen SQL-Code einzutragen, der dann von einer nicht sorgfältig programmierten Webanwendung an die dahinterliegende Datenbank weitergereicht wird. Gelingt dies, liefert die Webanwendung ab dem Zeitpunkt neben den eigentlichen Inhalten beispielsweise einen für den Anwender nicht sichtbaren Iframe aus, der wiederum ein bösartiges Javascript enthält. Ein Benutzer muss also nicht zwangsweise auf Schmuddelseiten unterwegs sein, um sich zu infizieren. Es genügt, wenn er eine seriöse Website ansteuert, die davor ihrerseits infiziert wurde. Statische URL-Filter helfen hier nicht mehr weiter, da sie nicht mehr zwischen infizierten und sauberen legitimen Webseiten unterscheiden können.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: