VPNs schützen mobile Endgeräte vor Spionage – Sicher mit jedem Medium

VPNs schützen mobile Endgeräte vor Spionage

Daten auf Smartphone und Tablet zu schützen, ist mittlerweile zu einer Basisanforderung an die Unternehmens-IT geworden. Doch die Geräte müssen nicht nur bei Verlust und Diebstahl sicher sein, sondern auch neugierigen Mitlesern unterschiedlichster Herkunft, ob privat oder staatlich, Paroli bieten. Schlüssige VPN-Konzepte können dem Administrator einen großen Teil der Sorge abnehmen.

An mobilen Endgeräten kommt niemand mehr vorbei. Auch im Unternehmensalltag sind Handys und Tablets mit Android oder iOS-Betriebssystem mittlerweile Standard, ob es den IT-Abteilungen nun passt oder nicht. Und natürlich werden damit auch Daten verarbeitet, die schützenswert sind. Seien es persönliche Informationen von Kunden oder Lieferanten, Konstruktionspläne, Umsatzzahlen oder anderes. Ganz abgesehen davon, dass auf vielen mobilen Endgeräten die Zugangsdaten für E-Mail-Accounts und andere Firmenressourcen gespeichert sind. Smartphone und Co haben dadurch nicht nur den gleichen Bedarf an Sicherheit, wie ein PC im Unternehmen, sondern sind sogar noch höher schutzwürdig.

Klare Gründe für Datenschutz. Der Druck auf IT-Abteilungen, die digitalen Kronjuwelen besser zu schützen, ist durch die mittlerweile öffentliche bekannte Schnüffelwut der Geheimdienste nicht geringer geworden. Niemand wird daran zweifeln, dass abgefangene Daten in den Archiven der NSA bei Bedarf auch für wirtschaftliche Interessen herangezogen werden. Nach wie vor schützen starke Kryptoverfahren am Besten vor solchen Bedrohungen. Relevante Daten auf mobilen Endgeräten sollten entweder sicher verschlüsselt sein oder gar nicht erst auf die Endgeräte gelangen. Es kommt vor allem darauf an, die Informationen während der Übertragung abzusichern. Genau diese Anforderung wird schon seit vielen Jahren zuverlässig und beherrschbar von virtuellen privaten Netzen (VPN) erfüllt. Selbstverständlich muss auch die Infrastruktur im LAN vor Angriffen sicher sein. Das VPN ist nur ein Bestandteil der Unternehmenssicherheit, für ein hohes Sicherheitsniveau darf es keine Versäumnisse in anderen Bereichen geben.

Die VPN zugrunde liegenden Konzepte und Techniken sind ausgereift und werden von den Anwendern verstanden. Wer Mitarbeiter hat, die von außerhalb des Firmengeländes auf das Unternehmensnetz zugreifen, und sich um die Sicherheit von Daten während der Übertragung sorgt, hat vermutlich bereits ein VPN im Einsatz. Die Mitarbeiter sind damit vertraut, die Infrastruktur ist etabliert und zuverlässig. Dann geht es vor allem darum, die neuen Endgeräte möglichst nahtlos in das vorhandene VPN-Framework zu integrieren.

Ein VPN verschlüsselt die übermittelten Datenpakete mit einer von zwei Methoden: IPsec-VPNs setzen auf Layer-2 des OSI-Layers auf und verschlüsseln die Daten transparent für die Anwendungen. Es gibt also keine Kompatibilitätsprobleme zwischen Applikation und VPN. Allerdings wird dafür ein Client auf dem Endgerät benötigt, der auch konfiguriert werden muss. Das ist gerade in größeren Umgebungen mit vielen Hundert PCs aufwendig, lässt sich aber mit entsprechenden professionellen Managementlösungen regeln.

Die zweite Methode, SSL, kann mit einer einfacheren Konfiguration punkten. SSL-VPNs nutzen aufseiten des Clients entweder vorhandene Komponenten des Browsers oder laden ad hoc ein Java- oder ActiveX-Applet herunter. Das ist auch bei fremden Endgeräten möglich, für die der Anwender keine Administrationsrechte hat oder bekommt. Allerdings liegt hierin auch eine Schwachstelle, denn solche Endgeräte lassen sich nicht kontrollieren und könnten Schadsoftware enthalten, die Passwörter für den VPN-Zugang mitlesen. Im Unternehmenseinsatz nutzen SSL-VPNs meist eine Zwei-Faktor-Authentisierung. Per SSL sind zunächst nur Web-Anwendungen direkt nutzbar, beispielsweise Outlook Web-Access. Über Zusatzfunktionen des Gateways und Thin- oder Fat-Client-Technologie können auch andere Anwendungen sicher genutzt werden.

Erstes Kriterium: Betriebssystemunterstützung. Beide Technologien sind heute bei vielen Anbietern nicht mehr strikt getrennt. Hybride VPNs akzeptieren Anfragen sowohl von IPsec- als auch von SSL-Clients. Wichtiger ist inzwischen, dass die zahlreichen Betriebssysteme der heute gebräuchlichen Endgeräte unterstützt werden. Apple hat iOS, bei Microsoft sind es Windows Phone oder Windows 8.1. RIM nutzt Blackberry OS und den größten Marktanteil besitzen die vielen mobilen Endgeräte mit Android-Betriebssystemen. Dazu kommen (in Zukunft) im schlimmsten Fall noch kleinere Plattformen wie Ubuntu for Phones, Tizen, Firefox OS, Sailfish oder MeeGo. Eine aktuelle VPN-Lösung sollte im Moment zumindest Windows, Android, Blackberry und die Bordmittel von iOS als Clients unterstützen. Und damit mobile Anwender beständig über den geschützten Tunnel kommunizieren können, egal, ob sie sich noch mit dem Firmennetz, einem WLAN-Hotspot oder per 3G verbunden sind, muss das VPN auch nahtloses Roaming ohne Neuverbindungen erlauben.

Einfach zu bedienender VPN Client für Android Smartphones.

Einfach zu bedienender VPN Client für Android Smartphones.

Viele Betriebssysteme, besonders bei Tablets und Smartphones, kümmern sich zwar selbst darum, den Apps möglichst immer die beste Netzverbindung anzubieten und schalten selbstständig zwischen WLAN und 2G/3G/4G um. Doch nicht alle Betriebssystemversionen beherrschen das gleich gut und mit akzeptablen Latenzzeiten, dann sollte der VPN-Client diese Aufgabe übernehmen. Die nächste Problematik sind grundsätzlich verschiedene Nutzungsprofile von Tablets, Smartphones und PCs. Schon früher mussten VPN-Lösungen mit mobilen Endgeräten wie Laptops und Notebooks klarkommen. Doch während ein Computer in der Regel für längere Zeitspannen im Einsatz ist, wird ein Tablet möglicherweise an einem Tag benutzt, dann zur Seite gelegt und für einige Minuten oder auch für Stunden oder Tage nicht mehr in die Hand genommen. Was passiert mit dem bis dahin aufgebauten VPN-Tunnel? Wie lange hält das System den Tunnel aktiv und riskiert damit erhöhten Stromverbrauch beim Endgerät und einen möglichen Vertraulichkeitsverlust, wenn ein Dritter das Tablet benutzt?

Sicherheit auf Risikoprofil abstimmen. Wird der Tunnel beendet, sobald der Rechner den Energiesparmodus meldet, nötigt man dem Benutzer unter Umständen häufige Einlog-Vorgänge auf. Das wird über kurz oder lang zu Abwehrmaßnahmen gegen die Sicherheitseinstellungen führen, zum Beispiel eine auf endlos gestellte Wartezeit, bevor der Energiesparmodus ausgelöst wird. Damit hat jeder andere, der physikalischen Zugang zum Tablet erhält, Zugang zu den Anwendungen auf der anderen Seite des VPN-Tunnels. Administratoren müssen eine Balance zwischen Sicherheit und Benutzerkomfort finden, das ist in erster Linie eine Aufgabe der Risikoabschätzung. Die eingesetzte VPN-Plattform muss aber auch die technischen Möglichkeiten bieten, die verschiedensten notwendigen Vorgaben umzusetzen. Das hat viel mit der Auswahl der passenden VPN-Lösung zu tun.

Gerade im Hinblick auf die enthüllten Überwachungsanstrengungen verschiedener Geheimdienste gehören Fragen nach der Herkunft des Produkts und etwaigen Verbindungen – ob gewollt oder ungewollt – zur dortigen Regierung in die Auswahlliste der Kunden. Amerikanische Firmen unterliegen amerikanischem Recht und sind der amerikanischen Regierung weit stärker verpflichtet als beispielsweise ein deutsches Unternehmen. Die meisten US-amerikanischen Firmen dürfen nicht einmal Auskunft darüber geben, welche Daten sie an welche Regierungsstelle auf Anfrage weitergeben müssen. Ein deutscher Hersteller ist nicht völlig immun gegen solche Anfragen, kann sich aber aufgrund des erheblich besser ausgestalteten Datenschutzrechts in Deutschland eher dagegen wehren. Darüber hinaus läuft die Kommunikation mit einem deutschen Hersteller unkomplizierter, vor allem, wenn es um technische Details oder Änderungswünsche geht.

Fazit: Sicherheit ist ein Prozess. Am Ende bleibt nach wie vor der Appell an alle Anwender: Sicherheit ist ein Prozess und kein Produkt. Es ist wichtig, passende Produkte auszuwählen und korrekt zu implementieren. Ein VPN gehört dazu, wenn der Zugriff auf Unternehmensdaten von Außen erforderlich ist. Doch lange vor der Produktauswahl müssen zahlreiche Informationen erfasst, Prozesse analysiert und auf deren Basis ein Sicherheitskonzept formuliert werden. Wer nicht weiß, welche Daten wo liegen und welchen Wert diese haben, weiß nicht, was er mit welchem Aufwand schützen soll. Ob das VPN in dieses Sicherheitskonzept passt, hat auch mit dem passenden Hersteller zu tun. Deutschen Anbietern traut man eher zu, ihre Produkte ohne verräterische Hintertüren ausliefern zu dürfen. Wenn dieser Vertrauensbonus durch sinnvolle Features und einwandfreie Technik unterstützt wird, steht dem sicheren VPN für alle mobilen Endgeräte nichts mehr im Weg.


autor_juergen_hoenigJürgen Hönig, 
NCP engineering GmbH

www.ncp-e.com

 

Titelbild: Shutterstock.com/VLADGRIN

 

 

Weitere Artikel zu