IT-Sicherheit und mobile Geräte:
Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden

von Bernd Reder (bernd.reder@networkcomputing.de), Wolfgang Heck

Share
06.08.2008

Tragbare Endgeräte machen Anwender räumlich unabhängig. Andererseits ist jedes System, das von außen auf das Corporate Network zugreift, ein Sicherheitsrisiko. Wir zeigen, wie sich Notebooks, digitale Assistenten (PDAs) und Smartphones in ein Firmennetz einbinden lassen, ohne dass sich dadurch Sicherheitslöcher auftun.

(Fortsetzung des Artikels von Seite 3)

Mit der wachsenden Anzahl an externen mobilen Mitarbeitern verändert sich auch die IT-Infrastruktur für diesen Bereich. Die Firmennetze müssen für den externen Zugriff geöffnet werden, was die IT-Verantwortlichen vor größere Probleme stellt. Das ist vor allem dann der Fall, wenn interne Security-Policies den Handlungsspielraum einschränken.

Am Anfang steht die Inventarliste. Die IT-Abteilung muss wissen, welche Geräte externe Mitarbeiter überhaupt einsetzen. Dazu muss sie eine Auflistung der unterschiedlichen Geräte erstellen, die von den Nutzern eingesetzt werden. Diese Systeme lassen sich in drei Kategorien einteilen:

  • Notebooks, meist mit UMTS/EDGE/GPRS-Zugang ins Internet,
  • PDAs und Handys sowie
  • keine eigenen Geräte, sondern Zugriff via Browser, beispielsweise von einem Kiosksystem, Internet-Cafe oder einer Fremdfirma aus.


Diese unterschiedlichen Geräte müssen über ein zentrales VPN-Gateway sicher mit dem Firmennetz verbunden werden. Dabei sollte bei den ersten beiden Gerätekategorien (Notebooks, PDAs, Handys) immer eine Geräte-Authentifiizierung implementiert werden.

Starke Authentifizierung notwendig

Bei allen drei Kategorien ist zudem eine starke Benutzerauthentifizierung erforderlich, um die Identität des externen Mitarbeiters eindeutig festzustellen.

Der Einsatz von statischen Kennwörtern verbietet sich aus Sicherheitsgründen. Es sollte stattdessen sollte immer eine starke Zwei-Faktor-Authentifizierung des Benutzers durchgeführt werden, bei der - ähnlich wie bei der EC-Karte - der Besitz eines Authentifizierungsgerätes (Token, Smartcard) und das Wissen einer PIN erforderlich sind.

Wer über mobile Geräte (hier das HP iPAQ 914) auf das Firmennetzzugreift, sollte eine Zwei-Faktor-Authentifizierung verwenden.

Bei der Benutzerauthentifizierung unterscheidet man generell zwischen einer zertifikatsbasierten Authentifizierung mit Smartcard oder USB-Token und einer Einmalkennwort-Authentifizierung mit OTP-Token (»One Time Password«) oder ähnlichen Devices.

Eine Alternative sind biometrische Verfahren. Sie spielen aber derzeit nur eine untergeordnete Rolle, weil Fingerprint-Reader nur in sehr wenigen Endgeräten integriert sind und die Verlässlichkeit oft noch zu wünschen übrig lässt. Welche Authentifizierungsmethode eingesetzt wird, hängt von dem verwendeten Endgerät und den benötigten Applikationen ab.

Zertifikatsbasierte Authentisierung

Das Grundprinzip der zertifikatsbasierten Authentifizierung besteht darin, dass der Benutzer eine Smartcard oder einen USB-Token besitzt, auf dem der Private-Key seines Zertifikats sicher abgelegt ist. Dazu gibt es immer einen Public-Key, der, wie der Name schon sagt, öffentlich ist.

Versucht sich der externe Mitarbeiter dann am VPN-Gateway in der Firma anzumelden und gibt die richtige PIN ein, kann das Gateway mittels entsprechender kryptographischer Verfahren prüfen, ob der Benutzer in Besitz eines gültigen Zertifikats mit dem passenden privaten Schlüssel ist. Erst wenn das der Fall ist, gewährt das System den Zugriff.

Einmalkennwort-Authentifizierung

Bei dieser Authentifizierungsart verfügt der Benutzer über einen OTP-Token oder etwas Ähnliches, mit dem ein Einmalkennwort erzeugt werden kann. Im Unternehmensnetz ist einein Authentifizierungsserver vorhanden.

Dieser kennt den Algorithmus des OTP-Tokens und berechnet das nächste zu erwartende Einmalkennwort. Stimmt das vom Benutzer am Anmeldefenster eingegebene Kennwort damit überein, darf der Benutzer auf die Informationen im Firmennetz zugreifen.

Dies kann zum einen eine spezielle Applikation sein, die nach Überprüfung der Anmeldedaten freigegeben wird, oder ein Webportal, auf das man mit einem Browser zugreift.

Ein Beispiel hierfür ist die oben aufgeführte dritte Kategorie »keine eigenen Geräte«. Dort kommt nur die OTP-Authentisierung in Frage, da man auf Fremdgeräten nicht mit Zertifikaten arbeiten kann. Für diese müssten entsprechende Treiber auf dem Gastsystem installiert werden, wofür man in der Regel Administratorrechte benötigt.

Authentifizierung von Endgeräten

Im Gegensatz zur Benutzerauthentifizierung ist die von Endgeräten, also Notebooks, PCs oder PDAs, noch nicht weit verbreitet. Diese basiert entweder auf einer eindeutigen Manufacturer- und Device-ID, einem Gerätezertifikat oder auf TPM-Modulen (Trusted Platform Module). Damit können sich Endgeräte am Firmen-Gateway gewissermaßen ausweisen.

Die Authentifizierung von Systemen wird jedoch wegen erhöhter Sicherheitsanforderungen und des Auftretens neuer Endgerätemodelle mit integrierten Security-Funktionen eine immer wichtigere Rolle spielen.

Da die Sicherheitsanforderungen an die drei Kategorien von Endgeräten sehr unterschiedlich sind, sollen diese nachfolgend separat betrachtet werden.

Security für Notebooks

Das übliche Szenario bei Notebooks stellt sich folgendermaßen dar: Auf einem Windows-System, das über eine Personal-Firewall und einen Virenscanner abgesichert ist, wird ein VPN-Client installiert.

Dieser stellt nach Eingabe des Benutzernamens und des Kennworts eine Verbindung zum zentralen VPN-Gateway in der Firma her. Da ein statisches Kennwort nur eine schwache Authentifizierungerlaubt, wird für die Identifikation des Benutzers oftmals eine Smartcard oder ein USB-Token mit einem Zertifikat verwendet.

Solche gemanagten Notebooks sind aber sehr aufwändig zu managen, da alle Patches und Updates zeitnah eingespielt werden müssen, um die größtmögliche Sicherheit des Notebooks zu gewährleisten.

Selbst dann, wenn alle technisch möglichen Sicherheitsvorkehrungen getroffen wurden, kann man nie zu 100 Prozent sicher sein, dass in Windows keine Bugs vorhanden sind. Zum Teil werden solche Lücken erst mit zeitlicher Verzögerung publik, zum anderen dauert es häufig eine Zeit lang, bis Patches und Bug-Fixes für solche Löcher zur Verfügung stehen.

Solche Schwachstellen können es einem Angreifer ermöglichen, Schadcode auf Endgeräten zu platzieren, das System zu korrumpieren und so über den VPN-Tunnel in das Firmennetz einzudringen.

Lösung von Ecos

Einen völlig neuen Ansatz verfolgt Ecos [1] mit seinem Secure-Thin-Client-USB-Stick.

Mit diesem Linux-basierten Stick wird das Notebook gebootet. Mit einer integrierten Smartcard kann eine hochsichere SSL-VPN-Verbindung zum dazugehörigen VPN-Gateway in der DMZ des Firmennetzwerks aufgebaut werden.

Diese Appliance dient gleichzeitig als zentrales Managementtool für die Secure-Thin-Clients und zur Erzeugung von Zertifikaten für die integrierte Smartcard.

Das Windows-Betriebssystem auf dem Notebook wird beim externen Zugriff auf das Firmennetz nicht benötigt. Es dient lediglich für das lokale Arbeiten mit dem System. In diesem Fall müssen die Anforderungen an die Sicherheit allerdings nicht so hoch sein.


Eine solche Lösung setzt den Einsatz eines Webservers oder eines Terminalservers voraus, auf dem die Applikationen zentral gehostet werden. Dieses Server-Based-Computing-Konzept bietet in Bezug auf IT-Security, Usability und die Kosten einige Vorteile gegenüber klassischen Zugriffslösungen:

  • Sensible Firmendaten liegen nicht mehr auf dem Notebook, damit entfällt die Anforderung, eine Festplattenverschlüsselung einsetzen zu müssen, um bei einem Diebstahl des Notebooks die Daten zu sichern.
  • Das Server-based-Computing stellt nur geringe Anforderungen an die benötigte Bandbreite des Internet-Zugangs, so kann über eine UMTS- oder auch Edge-Mobilfunkverbindung komfortabel gearbeitet werden, da nur Bildschirminhalte und Tastatureingaben ausgetauscht werden müssen.
  • Der Wartungsaufwand für die externen Notebooks reduziert sich bei einem gleichzeitigen Zugewinn an Sicherheit.


Security bei PDAs und Handys

Beim Zugriff von PDAs und Multifunktions-Handys auf das Firmennetz werden ähnlich wie bei Notebooks unterschiedliche VPN-Software-Clients auf dem Gerät eingesetzt. Teilsweise dienen weitere Security-Funktionen wie Datenverschlüsselung als Ergänzung.

Um ein hohes Sicherheitsniveau zu erreichen, müsste man bei den PDAs auch Smartcards oder USB-Token mit Zertifikaten einsetzen. Das scheitert aber meist an den fehlenden Schnittstellen.

In der Praxis werden derzeit meist Soft-Zertifikate für die Benutzerauthentifizierung im Speicherbereich eines PDAs abgelegt. Das wiederum ist jedoch ein Sicherheitsrisiko, sollte das Gerät gestohlen werden.

Denn dann lassen sich diese Zertifikate ohne Probleme auslesen Hier bietet beispielsweise die Firma Certgate [2]mit der Smart-Card »microSD« eine SD-Karte mit integriertem Smartcard-Chip.

Diese Karte kann in eine Vielzahl von PDAs und Handys eingesteckt werden und dient dann als normales Speichermedium (SD-Karte) und gleichzeitig als Authentifizierungssystem.

Erst nach Eingabe der PIN durch den PDA-Benutzer wird eine Verbindung mit dem VPN-Gateway in der Firmenzentrale aufgebaut. Dabei überprüft ein Verschlüssungs-Chip das Zertifikat auf seine Gültigkeit hin. Mit der Appliance wird auch das erforderliche Zertifikat beim Personalisieren der SD-Karte aufgebracht. Dies ermöglicht ein komfortables Lifecycle-Management.

Security bei externem Zugriff über Browser

Sind keine eigenen Endgeräte vorhanden, dann erfolgt ein externer Zugriff von Mitarbeitern auf das Firmennetz meist über einen Browser. Das kann von einem beliebigen PC mit Internet-Zugang aus erfolgen, etwa von einem Web-Terminal im Flughafen oder Hotel aus oder mit dem eigenen Notebook über ein öffentliches Wireless-LAN.

Ein Webserver im Firmennetz ein Anmeldefenster zur Verfügung, an dem sich der Benutzer mit Benutzername und Kennwort authentifizieren muss. Dies kann beispielsweise ein Apache- oder IIS-Webserver sein, aber auch das Web-Interface eines Citrix-Terminalservers oder das Web-Frontend eines SSL-VPN-Gateways. Bei letzteren wird meist ein Add-on für den Browser herunter geladen, das wiederum die VPN-Verbindung aufbaut.

Da die Web-Adresse des Portals dann öffentlich über das Internet zugänglich ist, sollte hierbei immer eine starke Benutzerauthentifizierung erfolgen. Deshalb verbieten sich statische Kennwörter.

Um dieses Risiko auszuschalten, werden Einmalkennwortsysteme mit OTP-Token von den Benutzern eingesetzt. Dabei kommunizieren der Webserver oder das VPN-Gateway über das Sicherheitsprotokoll Radius (Remote Authentication Dial-in User Service) mit dem Authentifizierungsserver.


Komplettlösungen sind gefragt

Die obigen Betrachtungen zeigen, dass in Unternehmen höchst unterschiedliche Sicherheitsanforderungen an externe Anschlussmöglichkeiten gestellt werden. Diese sind vom verwendeten Endgerät abhängig. Dazu muss der Administrator Systeme unterschiedlicher Hersteller miteinander verknüpfen, die für die Anbindung externer Mitarbeiter notwendig sind:

  • VPN-Gateway sowie je nach Anforderung noch passende VPN-Clients für die Endgeräte,
  • CA (Certificate-Authority) für die Verwaltung der Zertifikate,
  • Smartcard- oder USB-Token-Managementsystem, um Zertifikate aufzuspielen und zu erneuern (Zertifikat-Lifecycle-Management),
  • OTP-Authentifizierungsserver für das Einmalkennwort-System sowie
  • Reverse-Proxy, um Intranet-Webportale öffentlich über das Internet zugänglich zu machen, idealerweise über HTTPS.


Erfahrungsgemäß treten hier immer wieder Kompatibilitäts- und Migrationsprobleme auf, vor allem dann, wenn die Hersteller neue Versionsupdates herausbringen, die mit anderen Komponenten nicht mehr zusammenspielen.

Deshalb gehen die Hersteller vermehrt dazu über, möglichst viele der oben aufgelisteten Systeme für einen Fernzugriff auf das Corporate Networks aus einer Hand anzubieten. Das hat zudem den Vorteil, dass eine zentrale Wartung der Komponenten im Sinne eines »Single-Point-of-Administration« mölglich ist.

Diesen Ansatz verfolgt beispielsweise auch Ecos mit der SEC-Appliance, einem All-in-One-Gerät, das sowohl als VPN-Gateway, Certificate-Authority, Authentisierungsserver, Smartcard-/Token-Managementtool und bei Bedarf auch als Reverse-Proxy für ein Intranet-Webportal fungiert.

Mit solchen Systemen lassen sich die vielfältigen Sicherheitsanforderungen erfüllen. Und das gilt auch für kleinere und mittlere Unternehmen, die nicht das Geld für ein »große Lösung« mit Systemen von marktführenden Herstellern haben.

Wolfgang Heck ist Geschäftsführer von Ecos.

Weitere Informationen zu Endpoint-Security finden Sie in den unten aufgelisteten Beiträgen. Dabei geht es unter anderem um das Thema Network Access Control (NAC), das im Zusammenhang mit mobilen Geräten eine zentrale Rolle spielt.

[1] http://www.ecos.de
[2] http://www.certgate.com

Verwandte Artikel