Dieses Strategiepapier beleuchtet eine konzeptionelle Lösung für den sicheren Einsatz von mobilen Arbeitsgeräten in Firmennetzwerken.
Die ruhigen alten Zeiten, in denen die Vielzahl der Mitarbeiter an unbeweglichen Workstations gearbeitet hat, sind (leider) vorbei. Heutzutage möchten nicht nur die Führungsetage oder der Vertrieb mobil per Laptop arbeiten. Vielmehr greift der Mitarbeiter (und sei es aufgrund von Home-Office-Tagen) gerne zum mobilen Laptop anstatt zur klobigen Workstation.
Dieses veränderte Benutzerverhalten in der Masse der Mitarbeiter bedingt eine grundlegende Änderung der Sicherheitsstrategie. Während sich die Workstations aufgrund ihrer eingeschränkten Mobilität immer im geschützten und von der IT überwachten Firmennetzwerk befanden, ist das bei den Laptops nicht mehr der Fall.
Das Problem – zu wenig Perimeterschutz
Laptops sehen durch ihre Benutzer viel von der Welt und werden zum Leidwesen der IT-Sicherheit in allen möglichen noch so unsicheren Netzwerken eingesetzt. Die Einsatzszenarien heutiger Laptops als Arbeitsgeräte sind vielfältig – angefangen von der Benutzung in Bahnen (jeder kennt die ICE-Telekom-Hotspots), über die Verwendung in Internet-Cafés, auf Tagungen bis hin zum heimischen Familiennetzwerk.
Bei all diesen Netzwerken tummeln sich die zu schützenden Geschäftslaptops urplötzlich zusammen mit wildfremden IT-Geräten fremder Personen in ein und demselben – bezüglich eines Firmen-Sicherheitsstandards völlig undefinierten – Netzwerk. Einige Access-Points erlauben es zwar, die direkte Kommunikation zwischen den IT-Geräten im gleichen WLAN zu verbieten, aber wer weiß schon, ob diese Funktion im Internet-Café oder auf der Tagung XY verfügbar und auch aktiviert ist. Ist sie das nicht, bestehen folgende Angriffsvektoren, die auch dann bestehen, wenn dem Betreiber des Netzwerks nicht vertraut werden kann (z.B. im Internet-Café oder im Ausland):
- Ausnutzen von Sicherheitslücken im Betriebssystem und Software
- Ausspähen vertraulicher Daten durch Man-in-the-middle-Attacken oder Mitlesen unverschlüsselter Daten
Punkt 1 kann durch die Verwendung einer Client-Firewall erschwert werden. Ich möchte aber darauf aufmerksam machen, dass dann die Client-Firewall den einzigen Schutz vor der „bösen weiten Welt“ darstellt. Dieser Single-point-of-failure entspricht damit nicht den Anforderungen des BSI, sich durch eine zweistufige Perimeter-Firewall vor der Außenwelt zu schützen. Fällt die Client-Firewall aus (Absturz oder Deaktivierung durch den Benutzer) stellt dies einen großen Sicherheitsvorfall dar.
Es kommt ein zweites Problemfeld hinzu – die Nichterreichbarkeit der Laptops von unterwegs
Jemand, der heutzutage im Client-Management tätig ist, weiß, dass es sehr oft über Tage hinweg Zero-day-Attacken gibt. Für den Flash-Player gibt es z.B. fast wöchentlich sehr gravierende Sicherheitslücken, die erst Tage später vom Hersteller durch einen Patch geschlossen werden. In dieser – ich nenne es einmal – Inkubationszeit bestehen nur zwei Schutzmaßnahmen:
- Deaktivierung oder Löschung von stark fehleranfälligen Softwares
- Blockieren des Traffics dieser Applikation
Aber wie soll man diese Schutzmaßnamen für Laptops anwenden?
Punkt 1 lässt sich bei Laptops kaum durchsetzen, da das mobile Gerät teilweise über Tage hinweg nicht mit dem Firmennetzwerk verbunden ist, um diese Policy anwenden zu können. Es bleibt also nur die 2. Schutzmaßnahme. Aber auch diese Schutzmaßnahme lässt sich nicht schnell und flexibel steuern und anwenden, wenn sich der Laptop nicht im Netzwerk der Firma befindet.
Gibt es eine konzeptionelle Lösung?
Eine gute einfache Lösung der unterschiedlichen Probleme ist der Aufbau einer einheitlichen Schutzzone – auch für Laptops! Baut man eine einheitliche Schutzzone für Laptops auf, die unabhängig vom physischen Ort des Laptops ist, erreicht man folgende Ziele:
- Konsequentes zweistufiges Perimeter-Firewall-Konzept für die Clients durch die Firmen- und Client-Firewall
- Damit BSI-konformes Sicherheitskonzept
- Blockieren des Traffics von stark fehleranfälliger Applikation während der Inkubationszeit möglich
- Schutz vor Man-in-the-middle-Attacken in unsicheren Netzwerken
- Schutz vor dem Ausspähen unverschlüsselter Daten in unsicheren Netzwerken
- Deaktivierung oder Löschung von stark fehleranfälligen Softwares während der Inkubationszeit möglich
Die konsequente Umsetzung einer einheitlichen Schutzzone für alle Clients (unabhängig vom physikalischen Standort) ermöglicht die Einhaltung des benötigten Schutzbedarfs. Außerdem lassen sich durch die Gleichbehandlung aller Clients der Konfigurationsaufwand auf Netzwerkebene und die IT-Support-Prozesse auf ein Minimum reduzieren.