Best-Practice-Methoden:
Private Endgeräte: Darauf müssen Admins achten

von Ulrike Garlet (ulrike.garlet@crn.de)

08.08.2012

Der »Bring-your-own-Device«-Trend stellt IT-Administratoren vor erhebliche Herausforderungen, denn sie müssen für die privaten Mitarbeitergeräte einen sicheren Zugang zum Unternehmensnetz bereitstellen. Der Netzwerkhersteller Aruba gibt einen Überblick auf welche Punkte IT-Verantwortliche besonders achten müssen.

Keine Beiträge im Forum. » Diskussion starten!

Private Endgeräte im Unternehmen stellen Administratoren vor erhebliche Herausforderungen, Foto: drubig-photo/Fotolia

Die Zahl der Arbeitnehmer, die ihre mobilen Endgeräte auch beruflich einsetzen – zusätzlich zur bereitgestellten Firmen-IT – steigt immer schneller an. Dabei sind die Mitarbeiter oft auf den guten Willen ihres Arbeitgebers angewiesen, denn nicht alle zeigen sich gegenüber dem »Bring Your Own Device«-Trend (BYOD) aufgeschlossen. Häufig werden nur stark limitierte Zugänge zu Unternehmensinformationen über Smartphones und Tablet-PCs gewährt.

Einige Firmen allerdings gehen bereits einen Schritt weiter: Sie verteilen in großem Maßstab Smartphones und Tablets an ihre Mitarbeiterschaft, da sie den Mehrwert dieser mobilen und flexiblen Arbeitsweise erkennen.

Für die IT-Administratoren ist es in beiden Fällen eine große Herausforderung, diesen nicht Windows basierten Plattformen einen sicheren Zugang zum Netzwerk und somit zu sensiblen Unternehmensdaten zu verschaffen.

Der Netzwerkspezialist Aruba hat einige Tipps zusammengestellt wie Administratoren einen sicheren Zugang gewährleisten können.

Darauf müssen Administratoren achten

1. Sicherheits-Richtlinien müssen immer im Voraus definiert werden (Wer darf was über welches Gerät sehen?)

2. Die WLAN-Infrastruktur muss sowohl den Nutzer als auch das Gerät während des Authentifizierungsprozesses validieren

3. Basierend auf den Nutzer- und Geräteinformationen muss es vordefinierte Zugangsregeln für jede Benutzer-Geräte-Kombination geben

Der sicherste Weg die Nutzer- und Geräteinformation festzustellen, ist die Verwendung von Client-Zertifikaten, rät Aruba. Da die meisten mobilen Geräte heutzutage kein Windows Betriebssystem mehr verwenden, kommt die Maschinen-Authentifizierung nicht in Betracht.

Für IT-Administratoren, die sich für die Verwendung von Client-Zertifikate entscheiden, ist es empfehlenswert, einen automatisierten oder per Remote-Zugriff gesteuerten Registrierungsmechanismus für private und/oder firmeneigene mobile Endgeräte zu betreiben. Andernfalls wird die Zahl der Gerätschaften, die es manuell zu unterstützen gilt, schnell zu groß.

Viele WLAN-Netzwerke greifen auf einen Authentifizierungsprozess für Mitarbeiterzugänge zurück, der nicht überprüft über was für ein Gerät genau der Netzwerkzugriff erfolgt. Dadurch ist es nicht besonders schwierig, sich über ein privates Smartphone oder einen Tablet-PC ins Netzwerk unter Verwendung des jeweiligen Usernamens und Passwortes einzuwählen – ohne Wissen und Zustimmung der IT-Administration. Dies ist mit Sicherheit eines der schlimmeren Szenarien, warnt Aruba. Denn dadurch entzieht sich die Anmeldung im Netzwerk vollständig der Kontrolle der Verantwortlichen und wird zu einem hohen Sicherheitsrisiko für Unternehmen. So ist es unumgänglich für IT-Administrationen, dass sie sich zumindest einer Lösung bedienen, die automatisch unterschiedliche Gerätetypen bei der Anmeldung im Netzwerk identifiziert.

Integration von Gast-Geräten

Eine weitere Herausforderung für IT-Abteilungen ist die sichere Integration von firmenfremden Gast-Geräten ins eigene Netzwerk. Die Lösung der Gast-WLAN-Zugänge hört sich zwar simpel an, die Schwierigkeit besteht jedoch darin, den Aufenthalt im Netzwerk festzustellen sowie zu protokollieren, welche Endgeräte zum Einsatz kommen und diese einzelnen Gästen entsprechend zuzuweisen. Sofern die IT-Verantwortlichen nicht die Zeit und die Ressourcen haben, händisch für jeden Gast und jedes Gerät einen eigenen Berechtigungsnachweis zu erstellen sowie verschiedene Zugangsrollen zu definieren (etwa für Lieferanten, Zeitarbeiter, Servicepartner), ist es unerlässlich, dass sie ein Selbst-Registrierungssystem betreiben.

Zudem ist es mit einem Selbst-Registrierungssystem prinzipiell möglich, den eigenen Mitarbeitern die Kontrolle und das Management für den Zugang zum Firmennetz ihrer Gäste zu übergeben – und damit die IT-Abteilung zu entlasten. Dabei bleiben die Zugriffe dennoch transparent und nachvollziehbar. Darüber hinaus kann so nachvollzogen werden, welcher Mitarbeiter den Gast-Zugriff zu welchem Zeitpunkt und zu welchem Zweck authentifiziert hat.

Solche automatisierten Registrierungssysteme müssen dabei zum einen so intuitiv sein, dass sich jeder Gast in wenigen Augenblicken selbst einwählen kann und zum anderen müssen sie nahtlos mit unterschiedlichen mobilen Betriebssystemen kommunizieren können. Andernfalls verkehrt sich der gewünschte Effekt solcher Systeme schnell in sein Gegenteil: Denn anstatt die Anzahl der Support-Tickets an die IT-Administratoren zu begrenzen, werden sie diese in kürzester Zeit verdoppeln. Das gilt es, auf jeden Fall zu vermeiden, warnt Aruba.

Verwandte Artikel