Security To Go

Wer heute erfolgreich sein will, braucht ein Maximum an Flexibilität und Mobilität. Daher bauen immer mehr Unternehmen ihre mobile IT-Infrastruktur aus - denn tragbare Geräte erhöhen die Produktivität, vereinfachen den Datenzugriff und steigern die Effizienz von Betriebsabläufen. Wichtige Entscheidungen werden mittlerweile nicht selten am IP-Telefon, in einer Webkonferenz oder per E-Mail getroffen. Des Weiteren nutzen viele Arbeitnehmer die technischen Möglichkeiten, um berufliche Aufgaben ins Home Office zu verlegen. Dies bietet allen Beteiligten zahlreiche Vorteile. Allerdings bringt die Nutzung mobiler Geräte auch ebenso viele Risiken mit sich: Mobile Endgeräte können gestohlen werden, ungeschützte Netzwerkverbindungen können abgehört werden, Anwender können vertrauliche Informationen auf fremden oder öffentlich zugänglichen PCs zurücklassen. Für IT-Administratoren ist dadurch das Thema Sicherheit in den vergangenen Jahren zu einer Herausforderung geworden, denn die Sicherheitsfragen der mobilen Infrastruktur sind komplexer als das geschlossene Unternehmensnetzwerk. Sie müssen nicht nur eine Vielzahl individuell ausgestatteter mobiler Endgeräte integrieren, sondern auch Lösungen entwickeln, die in unterschiedlichen Netzwerkumgebungen funktionieren - beispielsweise WLAN-Hotspots, UMTS oder GPRS.

Ein Antivirus-Programm oder ein einfacher Passwortschutz kann angesichts dieser Vielzahl von Zugriffsmöglichkeiten und neuer Bedrohungen nicht mehr die notwendige Sicherheit gewährleisten. Die Angst vor Angriffen aus dem Internet steigt, wie eine aktuelle Umfrage der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW), zeigt. Die Unternehmen befürchten, die Angriffe könnten die betrieblichen Abläufe stören beziehungsweise die Kommunikation nach innerhalb und außerhalb des Systems zum Stillstand bringen. Drei von vier Sicherheitsexperten in den Unternehmen erwarten eine Zunahme der Gefährdung - vor allem durch Hacker und Viren. Die Angst vor Internetkriminalität steht damit inzwischen an erster Stelle in der Liste der Sicherheitsgefahren, noch vor Diebstahl oder Konkurrenzspionage. An der Mitte April 2007 vorgestellten Studie nahmen 208 Sicherheitsexperten von Unternehmen und Sicherheitsdienstleistern teil. Die Umfrage wurde zum Jahreswechsel 2006/2007 durchgeführt - vorwiegend in größeren Unternehmen. Die Sicherheitsbeauftragten gehen davon aus, dass die Bedrohung für Unternehmen angesichts der zunehmenden Globalisierung weiter wachsen wird. Vor allem Unternehmen, die weltweit tätig sind, würden davon betroffen sein. Um die Risiken möglichst gering zu halten, wollen die Unternehmen mehr in die IT-Sicherheit investieren. An erster Stelle stehen dabei die Investitionen in die Netzwerkanbindungen - so möchten 20,6 Prozent der Befragten bereits bis Ende 2007 in die Sicherheit von LAN/WAN-Netzwerken investieren.

Für mobile Lösungen brauchen Unternehmen eine umfassende Sicherheitsstrategie und diese muss ein fester Bestandteil des unternehmensweiten Sicherheitskonzepts werden. Erst mit einem ganzheitlichen Ansatz aus Hardware, Software, Unternehmensnetzwerk sowie dem Faktor Mensch können Unternehmen die Kontrolle über ihre mobilen Systeme erlangen. Um die mobilen Geräte abzusichern, können Unternehmen auf verschiedenen Ebenen aktiv werden - beispielsweise indem sie ihre IT-Landschaft zentralisieren oder ihre Webanwendungen durch geeignete Technologien schützen.

Zentrale Verwaltung macht IT mobil. Eine zentralisierte, Server-basierte IT-Umgebung eignet sich grundsätzlich gut für den mobilen Zugriff auf Anwendungen und Daten. Aus Sicht der Administratoren bietet eine zentrale IT-Architektur mehrere Vorteile: Die IT-Abteilung muss Unternehmensanwendungen nicht auf den einzelnen Endgeräten einrichten, sondern stellt sie den mobilen Usern über zentrale Server zur Verfügung. Dadurch können beliebige mobile Endgeräte genutzt werden, ohne dass dabei lokale Installationen oder Programmieraufwand anfallen. So können die Anwender auch unterwegs mit der vertrauten Benutzeroberfläche arbeiten und müssen nicht auf spezielle Mobil-Versionen ausweichen. Wenn außerdem die sogenannte Streaming-Technologie zum Einsatz kommt, werden Desktop-Anwendungen \"on demand“ auf die Endgeräte geliefert, wo sie lokal ausgeführt werden. Die Applikationen laufen dann in einer isolierten Umgebung auf dem Endgerät und können so nicht in Konflikt mit anderen Anwendungen oder dem Betriebssystem geraten. Das Streamen einer solchen isolierten Anwendung ähnelt dem Download eines Videostreams auf den lokalen Mediaplayer, der dort auch in seiner eigenen, abgeschotteten Umgebung läuft. Ein weiterer Vorteil der Zentralisierung liegt darin, dass die Anwender so nicht umlernen müssen und alles miteinander kompatibel ist. Gleichzeitig ist sichergestellt, dass vertrauliche Anwendungen und Informationen das geschützte Rechenzentrum nicht verlassen. So gehen die Daten nicht verloren, auch wenn ein mobiles Endgerät beschädigt beziehungsweise verloren wird.

Der Einsatz von Webanwendungen und Web-Services ist für Unternehmen wirtschaftlich sinnvoll. Via Internet werden die Geschäftsprozesse entlang der Wertschöpfungskette beschleunigt. Deshalb gewähren viele Unternehmen Partnern, Dienstleistern und Lieferanten einen Online-Zugriff auf ihre Unternehmensdaten. Auch Geschäfte mit Endkunden werden zunehmend über das Internet abgewickelt. Allerdings steigen damit auch die Risiken für Webanwendungen permanent an. Unternehmen, die Portalumgebungen oder Online-Shops betreiben, sind zum bevorzugten Ziel von Hackern und IT-Kriminellen geworden.

Neue Risiken durch Online-Zugriff. Diese Entwicklung hat mehrere Ursachen. Um Webanwendungen zu manipulieren, benötigen Hacker meist weder umfangreiches Programmier-Know-how noch spezielle Hilfsmittel. In vielen Fällen genügen frei verfügbare Tools oder gängige Befehle, die über einen Standard-Webbrowser eingegeben werden. Dazu kommt, dass Webanwendungen oft ungenügend geschützt sind. Während Unternehmen in Bereichen wie Netzwerksicherheit und Virenschutz heute meist gut gerüstet sind, werden die Risiken von Webapplikationen nach wie vor unterschätzt. So finden Hacker insbesondere auf der Anwendungsebene viele Sicherheitslücken, die sie problemlos für unbefugte Zugriffe nutzen können.Webapplikationen sind für Hacker aber auch deswegen so attraktiv, weil sie dadurch oft einen direkten Zugriff auf die Backend-Systeme mit wichtigen Geschäftsdaten bekommen. So können sie vertrauliche Geschäftsinformationen wie Kundendaten entwenden und diese anschließend an Dritte weitergeben. Eindringlinge richten so unter Umständen enorme wirtschaftliche Schäden an. Neben der Unterbrechung der internen Prozesse droht den Unternehmen dadurch oft ein massiver Imageverlust - und damit verbundene Umsatzeinbußen.

Im Zusammenhang mit Webanwendungen existieren verschiedene Angriffsmuster. Alle Angriffe haben jedoch eins gemeinsam: sie attackieren Webapplikationen auf der Anwendungsebene. Dadurch werden sie von traditionellen Netzwerk-Sicherheitskomponenten wie Netzwerk-Firewalls und Intrusion-Detection-Systemen in der Regel nicht erkannt. Der Grund ist, dass diese Sicherheitssysteme nicht in der Lage sind, den Application Traffic auf Session- oder User-Ebene zu \"verstehen“ und bösartiges von normalem User-Verhalten zu unterscheiden.

Schutz vor Internet-Attacken auf Anwendungsebene. Zur Absicherung von Webanwendungen werden daher immer häufiger spezielle Web Application Firewalls (WAF) eingesetzt. Diese unterscheiden sich in ihrer Funktionsweise von den üblichen Netzwerk-Firewalls. Die traditionelle Netzwerksicherung schützt nur die unteren Stufen der Datenübertragung für die Kommunikation offener, informationsverarbeitender Systeme und eignet sich deshalb nicht für den Schutz kommerzieller Internetanwendungen. An diesem Punkt kommt die WAF-Technologie ins Spiel: Sie gewährleistet als einzige verfügbare Methode die Sicherheit von Internetanwendungen auch vor Angriffen auf Applikationsebene. Ein Anbieter in diesem stark wachsenden Marktsegment ist Citrix Systems mit der Citrix Application Firewall. Diese Sicherheitskomponente untersucht den gesamten Datenverkehr von Webanwendungen, um Angriffe auf der Anwendungsebene zu identifizieren und zu verhindern. Einer der häufigsten Angriffsversuche ist es z.B. schlecht abgesicherte Webanwendungen durch manipulierte Datenbankbefehle dazu zu verleiten, Kundendaten und Kreditkarteninformationen auszugeben. Eine Application Firewall wird hier solche Befehle abweisen. Dabei wird auch die SSL-verschlüsselte Kommunikation geprüft, bevor sie an die Anwendung weitergeleitet wird. Denn der Datenverkehr, der über eine SSL-Verbindung geht, ist nicht automatisch ungefährlich: Hacker versuchen häufig, Attacken über geschützte SSL-Tunnels auszuführen, um sie so an den Netzwerk-Sicherheitskomponenten vorbei zu schleusen. Die Lösung ist zudem in der Lage, das Anwendungsverhalten durch einen Abgleich mit einer \"White List\" zu erkennen. Erwünschte Zugriffe werden weitergeleitet, der gesamte übrige Webverkehr wird blockiert. Im Gegensatz zu Sicherheitslösungen, die bekannte Angriffstypen anhand einer \"Black List\" abwehren, schützt eine solche Lösung in vielen Fällen auch vor bisher unbekannten Attacken (Zero-Day-Protection). Web Application Firewalls verbergen nach außen alle vertraulichen Informationen über die Applikationsumgebung - beispielsweise Serveradressen, Domain-Bezeichnungen oder Angaben über Betriebssysteme. Dadurch können Angreifer nicht gezielt nach möglichen Schwachstellen suchen, um ihre Attacken an die individuelle Umgebung anzupassen.

Unternehmen haben also mehrere Möglichkeiten, die Sicherheit ihrer mobilen Endgeräte und der darauf gespeicherten Daten zu gewährleisten. Zentralisierte IT-Umgebungen und Absicherung von Webanwendungen sind dabei wichtige Elemente jeder mobilen Sicherheitsstrategie. IT-Abteilungen müssen rechtzeitig die notwendigen Sicherheitsvorkehrungen für die unterschiedlichen Bestandteile der IT-Umgebung treffen und dafür sorgen, dass die bestmögliche Sicherheit für alle Endgeräte gewährleistet ist. Dabei sollte die gewählte Struktur sowohl für die IT-Administratoren als auch für die Endanwender möglichst einfach in der Handhabung sein. Eine effektive IT-Struktur macht die Mobilität dann nicht schwieriger, sondern sicherer.

Peter Hanke ist Country Manager Austria bei Citrix Systems