Wer hat die Lufthoheit?

Erschienen in: IT-Mittelstand
Ausgabe: 10/2004
Autor: Dirk Rohlfing

Es war ein Experiment der besonderen Art, zu dem der Informatiker Martin Herfurt seine Zuhörer Anfang des Jahres einlud: "Aktivieren sie Bluetooth auf Ihrem Telefon! Ändern sie ggf. den Bluetooth-Modus auf "sichtbar"! Machen sie sich keine Sorgen!" Die Fachhochschule Salzburg hatte zu einer Veranstaltung eingeladen zum Thema Security, Datensicherheit und Datenschutz. Eine gute Gelegenheit also, um einmal zu demonstrieren, wie sich Eindringlinge, so genannte Wardriver, die Schwachstellen des mobilen Bluetooth Funkstandards zu Nutze machen.

Herfurt berichtete anschließend, dass es nicht schwer gewesen sei, schon während dieser Veranstaltung eine Reihe von Mobil-Telefonen erfolgreich zu attackieren. Bereits ein paar schnell erstellte Programmzeilen hätten ausgereicht, um die Adressbücher fremder Mobiltelefone auslesen zu können. Nachdem er seinen Zuhörern gezeigt hatte, welche Gefahren den mobilen Endgeräten heute aus der Luft drohen, ließ der Österreicher um Abschluss keinen Zweifel daran, wer nun wieder den Dienst der Luftaufsicht zu übernehmen habe.
Mit dem freundlichen Hinweis, die Bluetooth-Funktion doch bitte wieder zu deaktivieren, erinnerte er sein Auditorium daran, selbst Verantwortung für den Schutz ihrer mobilen Geräte zu übernehmen. Ein solcher Sicherheitshinweis, dem man im Falle von Bluetooth noch problemlos nachkommen kann, geht jedoch in vielen Fällen ins Leere: Viele mobile Geräte verfügen bislang gar nicht über ausreichende Sicherheitsmerkmale wie Firewalls, die sich aktivieren oder deaktivieren ließen.
Viele Nutzer im betrieblichen Umfeld haben sich bereits an den Gedanken gewöhnt, dass die IT-Abteilungen ihre stationären Rechner schon durch eine Firewall vor feindlichen Übergriffen schützen werden. Nicht selten wird dann eine solche Erwartungshaltung auch auf den Gebrauch der mobilen Endgeräte übertragen. Einer solchen Anforderung gerecht zu werden, ist jedoch für viele IT-Abteilungen eine große und meist recht kostenspielige Herausforderung. Denn egal, ob die Daten externer Nutzer nun über die Luftschnittstelle oder das Festnetz übertragen werden, die Aufgabe für den IT-Manager ist nicht einfacher geworden: Er muss die Sicherheit des Netzwerkes sowie die Integrität der Daten sicherstellen und dabei die wachsende Anzahl der Wege im Blick behalten, die Externe wählen, um auf die betriebliche Daten zuzugreifen, sei dies nun E-Mail, Remote-Access, Extranet oder Virtual Private Network (VPN).


Die Außengrenze wächst

Mit der Verbindung mobiler Geräte wird die zu schützende virtuelle Außengrenze des Unternehmens immer länger. Was nützt die beste Firewall, wenn die Hintertür bei den in das Unternehmensnetzwerk eingebundenen Mobiltelefonen und Laptops weit offen steht? Was einmal dafür gedacht war, das Arbeiten außerhalb des Büros zu ermöglichen, entwickelt sich mehr und mehr zu einem Alptraum vieler IT-Leiter. Drahtlose Mobilität sei die größte Veränderung, die im Bereich der Speicherung und Verteilung betrieblicher Daten in den letzten zehn Jahren erfolgt sei, bemerkte kürzlich Gartner-Analyst John Girard.
Die Lösung sehen die Analysten von Gartner darin, betriebliche Leitlinien zu formulieren, um die mobil vorgehaltenen Informationen besser schützen und die Kosten zu kontrollieren. Andere Analysten fordern, beim Remote Access Schluss müsse sein mit dem "one-size-fits-all-Ansatz" der Vergangenheit. Die Gartner-Experten nennen dies den Cafeteria-Ansatz: Hier soll der Nutzer zwischen einer begrenzten Anzahl verschiedener Endgeräte wählen können, für die dann ein Remote-Zugang mit jeweils eigenen Zugriffsrechten, Funktionalitäten und Sicherheitsmerkmalen bereitgestellt wird.
Die amerikanische Sicherheitsfirma Cerdant hat den Trend erkannt und will in Kürze mobile Geräte mit einer personalisierten Firewall auf den Markt bringen. Die Vision ist ein abgesichertes mobiles Netz, bestehend aus einzelnen Mobiltelefonen, PDAs und Laptops. Die Firma Nortel verfolgt mit ihrer "Mobile Security Strategie" ein ähnliches Ziel. Die Absicht, die hinter diesen Ansätzen steckt, ist klar: Der Wildwuchs bei der Verwaltung und Absicherung der mobilen Geräte soll beendet werden. Die mobile Technik soll so zu der allgemeinen IT aufschließen, die ja bereits heute zentral verwaltet und mit einer einheitlichen Firewall gesichert wird. Welche Chancen hat ein solcher Ansatz? Das Problem: Zunächst wird hier die Amortisierung erst bei einer großen Stückzahl mobiler Geräte erreicht werden. Momentan werden für eine solche Lösung etwa Kosten von 40-110 Dollar pro Gerät und Nutzer genannt. Zum anderen ist fraglich, ob die Nutzer mitziehen werden. Zu sehr dürften viele Beschäftigte in den letzten Jahren den Umstand schätzen gelernt haben, ihre Mobiltelefone dezentral beschaffen und freischalten zu können. Denn dies ist in vielen Betrieben immer noch die Regel und nicht die Ausnahme. Ob sich in ein derart informell geprägtes Umfeld so einfach formale Strukturen einziehen lassen, muss sich erst noch zeigen.


Zentrale Stellen

Immer mehr Unternehmen stellen sich heute die Fragen, was ihnen die ausufernde Verbindung mobiler Endgeräte überhaupt bringt. In diesen Betrieben sieht man nicht nur die Bedrohung, denen die mobil vorgehaltnen Daten durch Ausspähen oder Diebstahl ausgesetzt sind. Man ist dort auch aus anderen Gründen mit den eingesetzten mobilen Lösungen nicht recht zufrieden: Die Anwender klagen über lange Replikationszeiten beim Übertragen von Daten auf die mobilen Geräte und der Speicherplatzbedarf der mobilen Geräte steigt - gerade bei Fat-Client-Lösungen - immer weiter. Hinzu kommt: Jede Remote-Access-Lösung ist teuer, weil die Einrichtung und Verwaltung sowie die Absicherung der externen Zugänge den IT-Abteilungen viel Zeit raubt. US-Firmen etwa wenden im Schnitt 1.310 Stunden im Jahr auf, um ihren Beschäftigten einen Remote-Access-Zugang zur Verfügung zu stellen. Diese Zahlen ermittelte die amerikanische Technologieberatungsfirma Infonetics Research Inc. nach einer Befragung von 110 Firmen.
Die ersten Betriebe gehen bereits wieder davon ab, möglichst viele Daten auf den mobilen Geräten vorzuhalten. Darunter große Firmen, wie die LVM Versicherung in Münster, aber auch Mittelständler wie die Nesseler Grünzig Bau GmbH aus Aachen. Diese Unternehmen nutzen vielmehr mobile Endgeräte mit einem Browser, der dann die Daten anzeigt, die zentral auf einem Server vorgehalten werden. Allein diese zentrale Datenhaltung bedeutet einen deutlichen Zuwachs an Sicherheit. Darüber hinaus können bei einem solchen webbasierten Konzept weitere interessante Sicherheitsmerkmale realisiert werden, weiß Stefan Fritz, Geschäftsführer der Aachener synaix IT GmbH: "Profilabhängige Abfragen sind dabei kein Problem. So können unsere Kunden bis hin zu einzelnen Zeitfenstern genau steuern, was ein externer Nutzer sehen darf und was nicht," wirbt Fritz für eine Lösung, die sein Unternehmen bereits für verschiedene Firmen realisiert hat. "Hinzu kommt, dass sich alle Zugriffsregeln zentral und mit sofortiger Wirkung ändern lassen. So ist es möglich, bestehende Sicherheitsbeschränkungen kurzfristig hochzuziehen oder abzusenken."