Dass wir uns vor dem Internet und seinen umtriebigen Auswüchsen schützen müssen, weiß jeder. Aus diesem Grund werden Firewalls installiert, Intrusion Prevention Systeme bewachen akribisch den virtuellen Grenzzaun und zweistufige Virenscanner überprüfen Emails und Webseiten auf ungewollte Inhalte und Schädlinge. In einer statischen IT-Umgebung mit stationären PC-Arbeitsplätzen mag dieser rudimentäre Schutz noch ausreichend sein. Doch dort, wo Mobilität gefragt ist, versagt diese klassische Absicherung des Perimeters.
Was macht die Sache nun so problematisch? Eine ständig steigende Anzahl von Arbeitsplätzen wird nicht mehr mit PCs, sondern mit Notebooks ausgestattet. Der Hype um die ultra-portablen und günstigen NetBooks hat diesen Trend noch verstärkt. Mobiles Arbeiten verspricht größere Flexibilität und dadurch höhere Effektivität. Ob im Zug, aus dem Hotel-Zimmer oder über den Hotspot im Café um die Ecke; per UMTS oder WLAN gelangt man von praktisch überall aus in das Internet. Und genau hier beginnen die Probleme. Denn in diesem Moment können die unzähligen Sicherheitssysteme des Firmennetzwerks nichts ausrichten und man ist auf die lokalen Schutzmechanismen des Notebooks angewiesen. Dies sind in der Regel die lokale Firewall und ein Virenschutzprogramm, beide im besten Fall auch aktuell und aktiviert. Letztendlich ist der Schutz im Regelfall jedoch bei weitem nicht so wirksam, wie im lokalen Netzwerk.
Da man aus sicherheitstechnischer Sicht von diesem Sachverhalt ausgehen muss, ist die organisatorische Regelung für das Arbeiten mit Notebooks außerhalb des Unternehmens und beim Wiedereintritt in das lokale Netzwerk ein wichtiger Punkt der IT-Sicherheitsrichtlinie. So sollte ein Notebook nach dem Außendiensteinsatz immer von der IT-Abteilung gründlich auf Viren und andere Schadprogramme (z.B. Spionage-Software) überprüft werden. Zudem gelten die allgemeinen Empfehlungen für Arbeitsplatz-PCs natürlich auch bei Notebooks. So sollte das Betriebssystem immer auf aktuellem Stand sein und insbesondere Sicherheitsupdates zeitnah eingespielt werden. Die Installation von Fremdprogrammen sollte grundsätzlich verboten und mit technischen Hilfsmitteln wenn möglich verhindert werden (keine lokalen Administrator-Rechte, etc.). Relevante Themen sind ebenso die private Nutzung des Internets sowie die Nutzung öffentlicher und/oder unverschlüsselter WLAN-Accesspoints.
Die Durchsetzung dieser Sicherheitsrichtlinie ist jedoch nicht immer einfach, da meist personelle Ressourcen fehlen, Softwarepakete nicht ohne besondere Rechte funktionieren und immer wieder Ausnahmen in Bezug auf die Nutzung von Fremdnetzen gemacht werden müssen. Insbesondere bei mittelständischen Unternehmen, die maßgeblich von ihrer großen Flexibilität profitieren, sind Ausnahmen von den strikten Richtlinien leider oft die Regel. Doch auch, wenn diese Empfehlungen umgesetzt und die Handlungsweisungen von allen Mitarbeitern eingehalten werden, stellen mobile Geräte immer ein Risiko für die IT-Sicherheit im Unternehmen dar. Denn letztendlich bedeutet das Verlassen des Unternehmens immer auch der Verlust von Schutzmechanismen (z.B. kein zweistufiger Virenschutz, kein Content-Filter, etc.).
Dort, wo Handlungsanweisungen die Sicherheit nicht gewährleisten können, müssen technische Vorkehrungen greifen. Konzepte, wie Network Admission Control (NAC), sorgen dafür, dass PCs und Notebooks nur nach vorheriger Prüfung auf Richtlinienkonformität (z.B. aktivierte Firewall, aktueller Virenscanner) an das Netzwerk angeschlossen werden können. Virenscanner, die den Datenstrom in Echtzeit überprüfen, können die Verbreitung von Computerviren, Trojanern und Spyware innerhalb des lokalen Netzwerks verhindern. Durch moderne Intrusion Detection/Protection Systeme (IDS/IPS) kann verdächtiger Datentransfer im Firmennetzwerk erkannt und unterbunden werden.
Viele dieser Lösungen lassen sich einfach und kostengünstig implementieren. Moderne Switche können PCs und Notebooks anhand ihrer MAC-Adresse identifizieren und in geschützten Netzwerkbereichen platzieren. Jeglicher Datenverkehr von und zu diesen Geräten kann anschließend per Firewall und Datenstrom-Virenscanner überwacht und reglementiert werden. Auch Gastnetzwerke für Besucher, die zwar auf das Internet, jedoch nicht auf Unternehmensressourcen zugreifen dürfen, lassen sich hiermit leicht und ohne großen administrativen Aufwand betreiben. An diesem Punkt sei erwähnt, dass Besucher (Dienstleister, Lieferanten, andere Fremdfirmen, …) mit ihren Notebooks natürlich in keinem Fall direkten Zugang zum Unternehmensnetzwerk erhalten sollten, da sich nicht einschätzen lässt, wie sicher diese Endgeräte sind. Hat sich ein Computervirus erst einmal im lokalen ausgebreitet, ist der ordnungsgemäße IT-Betrieb kaum noch aufrechtzuerhalten. Hohe Kosten durch Produktionsausfall und Aufwendungen zur Beseitigung des Störenfriedes sind dabei noch die geringsten Probleme. Besonders hartnäckige oder zerstörerische Zeitgenossen können durch den entstehenden Schaden durchaus den Fortbestand des Unternehmens gefährden.
Der Perimeter ist längst nicht mehr das einzige Einfalltor für Bedrohungen aus dem Internet. Denn durch Notebooks, PDAs und Smartphones gelangen Schadprogramme direkt und ohne Umwege in das Firmennetz. Und wenn der lokale Virenscanner Alarm schlägt, ist es oft schon zu spät und der Schaden meist erheblich. Mobilen Endgeräten sollte daher immer ein besonderer Augenmerk geschenkt werden.
