© Joernemann, photocase.com

Endgeräten und Benutzern, die feingranular konfigurierbaren Anforderungen nicht genügen, den Zutritt zur Firmen-IT ganz oder teilweise zu sperren, klingt nach einer genialen Lösung. Außerdem entzieht sie sich den Widrigkeiten des rasanten Gerätemarkts.

Bring Your Own Device ist keineswegs nur ein Thema von neuen mobilen Endgeräten. Es umfasst alle Systeme, die das Unternehmen nicht beschafft hat und die nicht vollständig der Kontrolle der Unternehmens-IT unterstehen. Es geht also nicht nur um Smartphones und Tablets, sondern auch um die Notebooks von externen Mitarbeitern oder Wirtschaftsprüfern und um die Desktop-PCs, die Mitarbeitern für die Arbeit im Home-Office nutzen.

Die Herausforderung wächst einerseits mit der Zahl und Vielfalt von Geräten. Andererseits verhalten sich Mitarbeiter auch mobiler, sodass sich die Nutzungsformen von IT-Systemen verändern. Der Spagat zwischen der Forderung von Mitarbeitern auf allen Ebenen, neuartige Endgeräte zu verwenden, auf der einen Seite und dem Interesse des Unternehmens, die Sicherheit von Informationen, Systemen und Netzwerken zu gewährleisten, ist ein schwieriger.

Während das Mobile Device Management versucht, die Engeräte sicher(er) zu gestalten und damit ein sich schnell bewegendes Ziel zu treffen, beschreibt der folgende Artikel gewissermaßen den gegenteiligen Ansatz. Der betrachtet mitgebrachte Geräte als potenziell unsicher und trägt diesem Umstand beim Zugang zur Unternehmens-IT Rechnung. Es spricht einiges dafür, beim Schutz von Informationen sich strategisch dem Wettlauf – und Hinterherlaufen – mit den Geräteanbietern und deren hoher Innovationsgeschwindigkeit zu entziehen.

Der BYOD-Besitzer sieht sich damit einer Zugriffsrechte-Beschränkung gegenüber, die passend zu seinen Aufgaben und passend zu Art und Sicherheitsniveau seines persönlichen Geräts unterschiedliche Teile der Unternehmens-IT zugänglich macht oder sperrt. Je nach Rolle reicht das von einem völligen Ausschluss mit Ausnahme des Internetzugriffs (Gast) über Intranet und Mail (Mitarbeiter) bis hin zu Businessapplikationen mit unternehmenskritischen Daten (oberes Management mit Geräten, die der Kontrolle der Unternehmens-IT unterliegen).

Die Firma muss dafür zu allererst ein durchgängiges und flexibel handhabbares Identity-Management betreiben, in der Regel fußt es auf einem Verzeichnisdienst wie Active Directory, LDAP oder E-Directory. Ein Provisionierungsmodul erteilt Benutzern automatisch und aufgrund ihrer jeweiligen Rolle in der Organisation individuelle Berechtigungen. Zur BYOD-Lösung fehlt “nur noch” die logische Verbindung zwischen nachgefragten Zugangspunkten, meist Ethernet, WLAN und VPN, und deren Zugangskontrolle.

Mobiles IAM – ein hoher Anspruch

Praktisch betrachtet kommen hier Produkte von Cisco ([1], Abbildung 1), Aruba Networks [2] oder Enterasys Networks [3] ins Spiel, die versuchen, den Schutz auf der Ebene des Netzwerks zu realisieren. Letztes beleuchtet und bewertet dieser Artikel beispielhaft, da es für diese Art Produkte recht typisch und einigermaßen preisgünstig ist.

Enterasys, ein Unternehmen von Siemens Enterprise Communications, kategorisiert seine BYOD-Appliance als “Mobile IAM” – ein sehr hoch gesteckt Anspruch. Denn ein “Identity und Access Management” umfasst alle Funktionen zum Verwalten von Identitäten und Zugriffsberechtigungen. Dazu gehören Verzeichnisdienste, die Provisionierung auf andere Systeme und Directories (Änderungen verteilen), der Schutz vor dem Missbrauch durch privilegierte Benutzer, Single Sign-On und ein dynamisches, granulares Autorisierungsmanagement beispielsweise auf Basis des Standards XACML (“Extensible Access Control Markup Language” für Autorisierungs-Policies).

Abbildung 1: Cisco Identity Services Engine (ISE 1.1MR) ist ähnlich wie das Enterasys-Produkt eine kontextsensitive Identitätsplattform, die in Echtzeit Informationen vom Netzwerk, Benutzern und Geräten sammelt. Anhand derer fallen Verwaltungsentscheidungen für die gesamte Infrastruktur.

Attribute als Grundlage

Geliefert bekommt der Enterasys-Kunde in erster Linie eine Art kontext-sensitives Autorisierungssystem, das für IAM-Verhältnisse recht grobkörnig arbeitet. Es trifft Entscheidungen darüber, ob und worauf der Benutzer Zugriff erhält, anhand von Informationen über das Device (agentenlos) und über den Benutzer. Weitere Einflussfaktoren – Enterasys nennt sie Attribute – sind der Ort des Endgeräts sowie der Zugangspunkt (WLAN, Ethernet, VPN), die Zeit, Informationen über den “System Health Status”, also den korrekten und sicheren Konfigurationszustand, oder Rolleninformationen.

Diese Attribute – es sind bis zu 50 – bezieht die Software von verschiedenen Quellen: Dem Gerät selbst, LDAP-Servern, vorhandenene “Next Generation Firewalls” (NGFW) von Palo Alto Systems oder durch die Integration mit MDM-Lösungen verschiedener Anbieter (Mobile Device Management, siehe MDM-Artikel hier im Schwerpunkt). Der im System enthaltene Radius-Server entscheidet auf dieser Basis und mit einem gut per GUI definierbare Regelwerk über den Netzwerkzugang von Geräten, auch bezüglich der Bandbreite, die das Device zur Verfügung gestellt bekommt. Aber schon um Einschränkungen auch auf Anwendungsebene zu realisieren, bedarf es einer NGFW-Lösung von Palo Alto.

Letztlich ist der Ansatz ein Konzept der Perimeter-Sicherheit, also für den Schutz beim Zugang von außen in ein geschütztes Netzwerk. Eine wirklich granulare Steuerung von Zugriffen, die pro Anwendung im Detail entscheidet, bei welchen Kontextinformationen welche Zugriffe durch wen zulässig sind, fehlt jedoch. Damit ließe sich beispielsweise entscheiden, dass bestimmte Finanztransaktionen in SAP-Systemen nur mit sicheren Geräten und von sicheren Standorten aus erlaubt sind. Ebenso fehlt ein Ansatz, der steuert, welche Dokumente – basierend auf einer Klassifizierung oder anderen Kriterien – überhaupt an mobile Endgeräte weitergegeben werden dürfen.

Es gibt aber durchaus auch ein paar interessante Funktionen. So übernimmt Enterasys auf Wunsch Benutzer aus bestehenden Verzeichnisdiensten und authentifiziert sie über Radius. Die Software kooperiert zudem mit diversen im Ausbildungssektor gängigen Registrierungsdiensten und hat eine Webauthentifizierung, Schnittstellen zu Kerberos und anderen Protokollen.

Kann ein Schutz per Netzwerk funktionieren?

Stellt sich nun die Frage ob eine über Richtlinien gesteuerte Perimeter-Sicherheit wie die Enterasys dazu taugt, die BYOD-Problematik im Großen und Ganzen zu lösen. Zum einen existiert der Perimeter dieser Lesart heute nicht mehr vollumfänglich. Gerade betrieblich genutzte Clouddienste oder externe Mailserver höhlen das Schutzkonzept für autonome Geräte aus. Immer öfter lässt es überhaupt nichts mehr definieren.

Eine Schutzebene realisiert der Admin, indem er den Datenverkehr zwingt, über das Mobile-IAM-Gerät zu laufen, beispielsweise weil die Zugangskontrolle es verlangt. Wohl deshalb tauchen unter den Erfolgsbeispielen des Herstellers der Healthcare-Bereich (US-Kliniken) und die Lehre (Universitäten) besonders oft auf. Deren Infrastruktur muss tatsächlich viele Connects wechselnder Endgeräte bewältigen, im Gegenzug sind die angebotenen Dienste nicht sehr zahlreich und simpel (zu kontrollieren). In der IT-Struktur der meisten Unternehmen sieht das aber komplett anders aus, sodass es fraglich ist, ob man die wirklich kritischen Herausforderungen damit abgedeckt bekommt.

Das bewusste Abgrenzen vom Mobile Device Management ist beim Mobile-IAM-Ansatz Konzept (siehe Abbildung 2), lässt den Endgeräten aber auch Raum für destruktives Verhalten. Schädliche (“Malicious”) Apps interessiert Enterasys nicht, weil das Device konzeptbedingt nicht im Fokus ist und die Kommunikation zwischen dem Gerät und solchen Apps erstmal keinen Berührungspunkt mit dem Unternehmensnetzwerk hat – erst wenn Angriffe vom Endgerät auf das Netzwerk ausgehen, kann ein vorhandenes Intrusion Detection System dies merken und als Attribut in Mobile IAM Eingang finden. Ob und wie eventuell auf den mobilen Endgeräten gespeicherte unternehmensnahe Informationen zu schützen sind, bleibt auch außen vor.

Abbildung 2: Die Eckpunkte von Mobile IAM im Vergleich zu denen gängiger MSM-Lösungen.

Es bleiben Lücken

Wer die Realität mit den Marketing-Versprechungen vergleicht, entdeckt klaffende Lücken. Das betrifft sowohl das Thema “BYOD Done Right” – das hat sich Enterasys Networks sogar als Handelsmarke gesichert – als auch das Thema IAM. Beides bedingt ein funktionierendes Identity Management, dessen Anbindung aber, von der Authentifizierung abgesehen, eher dürftig ausfällt.

Das heißt nicht, dass Enterasys Mobile IAM keinerlei Sinn ergibt. In manchen Szenarien – die vergleichsweise offenen Netzwerken in der Lehre gehören dazu – reicht das Schutzkonzept aus. Auch in Unternehmen, die wesentliche IT-Funktionen noch on-premise abwickeln, oder für den Zugriff auf weniger sensitive Bereiche von Unternehmensnetzwerken lohnt es, das Angebot von Enterasys zu prüfen. In allen anderen Fällen dagegen werden Zutrittskontrollen dieser Art dem BYOD-Problem nicht gerecht – und IAM-Anforderungen sowieso nur zum Teil.

@KT:Mogelpackungen mit BYOD

Auch wenn Anbieter wie Cisco, Aruba oder Enterasys nicht jede beworbene Eigenschaft ihrer BYOD-Produkte umfassend und zur allseitigen Zufriedenheit implementiert haben, bekommen Kunden doch etwas in Haus gestellt, das einen mehr oder minder schützenden Schirm über die gesamte Firmen-IT breitet. Der Leidensdruck vieler Anwender einerseits und der Hype um das Thema problematische Mitbringsel andererseits, ruft offenbar auch das Marketing von Anbieterfirmen auf den Plan, über dessen Lauterkeit Zweifel berechtigt sind. Die kleben auf den kleinsten Zugriffsschutz das Pickerl “Löst Ihr BYOD-Problem”.

Ein Beispiel aus einer Pressemitteilung: “Der Freiburger Softwarehersteller United Planet hat eine neue Softwarelösung veröffentlicht, die den IT-Verantwortlichen eine strukturierte Vorgehensweise beim Thema BYOD ermöglicht. […] Anhand der Angaben zu Hersteller, Modell, Betriebssystem und Version wird sofort eine Sicherheitseinstufung angezeigt. Nach Wahl der gewünschten Dienste […] erhält der Mitarbeiter ein Dokument zu Sicherheit und Datenschutz angezeigt, das er lesen und bestätigen muss.Sollte das Gerät abhandenkommen, kann der Zugriff auf sensible Daten unterbunden werden. Auf diese Weise erhöht die Applikation die Sicherheit und vereinfacht das Clientmanagement privater Devices. Indem die Nutzung privater Geräte in sichere und transparente Bahnen gelenkt wird, können die Unternehmen künftig von den Vorzügen von BYOD profitieren.”

Die “smarte App von United Planet” kostet gerade mal 100 Euro. Wer beim Anbieter nachbohrt und die Mitteilung anhand der gesammelten Erkenntnisse abermals liest, erkennt, dass die Server-App allein den Zugang zum Hauptprodukt des Unternehmens, einem Intranetportal, reguliert. Der Zugriff auf den Rest der Firmen-IT ändert sich nicht. Schlimmer noch: Die Sicherheitseinstufung des Mobilgerätes, die von Gerätetyp, Betriebssystem und Nutzungsabsicht abhängt, beruht rein auf den Angaben des Gerätebesitzers (Abbildung 3). Im Kern handelt es sich um eine primitive Inventarisierungsfunktion mit Login-Anbindung und Benutzer-Ermahnungsgenerator.

Abbildung 3: OS-Fingerprinting aus der Klamottenkiste – denn hier entscheiden die Besitzer von Geräten selbst, was sie auf dem Firmenserver tun dürfen und womit.

Ein Mix als Ausweg

BYOD bleibt selbst nach ausführlicher Betrachtung ein komplexes Thema. Die theoretische Ideallösung, Informationen überall dort zu schützen, wo sie entstehen, transportiert werden und lagern, scheitert mangels geeigneter Lösungen. Das Konzept des Information Rights Management (IRM) erlaubt zwar, Daten bei der Speicherung und beim Transfer zu verschlüsseln und sie nur mit Anwendungen zu bearbeiten, die die definierten Berechtigungen durchsetzen. Nur: Für mobile Endgeräte fehlt es an praktischer Unterstützung. Dazu kommen die geringe Sicherheit der Geräte und deren schwache Authentifizierungsverfahren.

Am Ende reift die Erkenntnis, dass auch ein ambitioniert implementierter Schutz auf der Ebene des Netzwerks nicht die Löcher schließt, die mitgebrachte Endgeräte reißen. Deshalb muss man bei den Wertversprechen von Herstellern (“Mobile IAM”) vorsichtig sein und analysieren, welche Anforderungen es im eigenen Unternehmen gibt und welche Produkteigenschaften dem entgegenstehen.

Denkbar ist es, mit einer individuellen Risikoanalyse zu beginnen. Anhand derer lässt sich ein Mix bilden aus bestehenden Lösungen wie Firewalls, den unternehmensweiten IAM-Lösungen, IPS- und IDS-Systemen sowie anderen Sicherheitskomponenten und aus neuen Ansätzen wie MDM, virtuellen Desktops und Webapplikationen (siehe Thin-Client-Artikel) oder eben Policy-basierten Schutzmechanismen wie Enterasys Mobile IAM.

Dazu gehören aber auch Vereinbarungen mit den Nutzern und deren Information über mögliche Risiken, Einschränkungen für den Zugriff auf besonders sensitive Systeme. Wer ein solches Setup noch um sichere verschlüsselte Speicher auf den Mobilgeräten und eine starke Authentifizierung, beispielsweise mit Einmal-Kennwörtern, unter Umständen auch um spezielle Apps anstelle der Standardprogramme ergänzt, erreicht definitiv ein höheres, vielleicht sogar ein hohes Maß an Sicherheit.