In den letzten Jahren waren im Kommunikationsbereich grundlegende Änderungen zu beobachten, die aus anfänglichen Technologiegegnern mittlerweile versierte Technologiennutzer gemacht haben. So können Mitarbeiter nun etwa wahlweise von Ihrem Smartphone oder Tablet aus — oder auch an ihrem Desktop-PC — ihrer beruflichen Tätigkeit in Echtzeit nachgehen und die damit verbundenen Gespräche führen, ohne Effizienzeinbußen befürchten zu müssen.

"Build your own desaster" vermeiden
Doch damit aus BYOD nicht "Build your own disaster" wird, müssen sich IT-Verantwortliche zahlreichen Herausforderungen stellen. Lösungsansätze gehen von Device Fingerprinting, der automatische Erkennungen von Geräte-Typen und Zuweisungen von Sicherheitsprofilen im Netzwerk bis hin zu Gast-Management beziehungsweise Selbst-Registrierungsportalen für Mitarbeiter.

Generell sollte zwischen Gästen und Mitarbeitern unterschieden werden können. Sehr häuft sind Lösungen anzutreffen, die für Mitarbeiter und Gäste jeweils getrennte SSID im WLAN verwenden. Moderner geschieht dies jedoch mittels Login-Portalen, an denen sich die Mitarbeiter mit den zuvor erhaltenen Login-Credentials legitimieren. Hier wird sozusagen die Spreu vom Weizen getrennt. Moderne Lösungen verwenden nach Möglichkeit Zertifikate zur Geräte- oder Benutzer-Authentisierung. Anhand des installierten Zertifikats erkennt das Netzwerk das Gerät automatisch.

Zertifikate und Fingerabdruck für mehr Sicherheit
Der Vorteil an Zertifikaten ist, dass sie sich automatisch verteilen lassen. Noch besser, Zertifikate kann der Administrator von zentraler Stelle "revoken", das heißt für ungültig erklären und zurückziehen. Eine einmal vergebene Zugangsberechtigung lässt sich so wieder aufheben. Ein sehr häufig gemachter Fehler ist beispielsweise das Weitergeben von Verschlüsselung-Keys im WLAN. Es ist faktisch unmöglich, dieses wieder rückgängig zu machen. Im Endergebnis bedeutet dies die Neuvergabe von Verschlüsselungs-Keys für alle anderen Geräte, was einen erheblichen Aufwand bedeutet.

Device Fingerprinting ist ein eleganter Ansatz, um neu an das Netzwerk angeschlossene Geräte automatisch zu erkennen. Device Fingerprinting hilft auch zwischen privaten und firmeneigenen Endgeräten zu unterscheiden. Dabei werden von jedem Tablet, Smartphone, Laptop oder Printer verschiedene Attribute ausgelesen. Anhand von Gerätetyp, Modell, Betriebssystem oder MAC-Adresse erfolgt die Erkennung des Geräts und das anschließende automatische Zuweisen von Sicherheitsprofilen. Auf diesem Weg lässt sich sehr gut zwischen Laptops, Tablets oder Smartphones unterscheiden. Um die Erkennung genauer zu machen, werden verschiedene Technologien kombiniert. Am interessantesten sind vielleicht die behavioristischen Ansätze. Apple-Geräte etwa werden an ihrem typischen Verhalten im Netzwerk identifiziert (HTTP, DHCP, DNS et cetera).

Richtlinien sind das A und O
Ein weiterer Aspekt ist die Überwachung der Integrität der angeschlossenen Geräte. Wie integer ein Gerät ist hängt jeweils von den vorgegebenen Richtlinien im Unternehmen ab. Diese sind während der Online-Zeiten permanent zu kontrollieren. Zur Überwachung kommen verschiedene Konzepte in Betracht. Generellen zu unterscheiden sind Agentless- und Agenten-basierende Ansätze. Typische überwachte Parameter sind hierbei "Running Applications", sprich welche Applikationen laufen auf dem System oder welche Dateien sind auf ihr Vorhandensein zu überprüfen. Abhängig vom Ergebnis der Überprüfung lassen sich die Geräte dann isolieren oder eben nicht.

Ein Self Registration-Portal gibt dem Mitarbeiter die Möglichkeit, eigene Geräte selbstständig zu registrieren. Dabei ist jedem Nutzer beispielsweise erlaubt bis zu fünf eigene Geräte im Unternehmens-Netzwerk zu betreiben. Der Mitarbeiter loggt sich hierfür in ein spezielles Provisionierungs-Segment ein oder wird umgeleitet. Diese Website ermöglicht es dem Anwender nun, seine Geräte und deren Merkmale zu registrieren. Von diesem Zeitpunkt an dürfen sich die registrierten Geräte dann im Netzwerk abhängig von ihrem Security Profile frei bewegen. Der IT-Abteilung entstehen hierbei keine zusätzlichen Aufwendungen.

Unverzichtbares Mobile Device Managament
Traffic Anomalie Detection (TAD) schließlich überwacht den Datenverkehr im Netzwerk und sucht nach typischen Angriffs-Szenarien. Ein Beispiel hierfür wären Portscanner. Ein einmal identifizierter Hacker wird sofort vom Netzwerk getrennt und in einem Themenbereich isoliert. Gästeportal, Device Fingerprinting, Self Registration Portal, Host Integrity Check, Anti Virus und Traffic Anomalie Detection adressieren allesamt die Kontrolle über den Netzwerkzugang und die Regelung des Zugriffs auf das Medium selbst.

Ein weiterer elementarer Bestandteil eines BYOD-Konzepts ist das Mobile Device Management, also die Verwaltung des mobilen Geräts an sich. Dabei sollten die gängigsten Systeme unterstützt werden, neben Windows und Mac OS also alle Tablet- und Smartphone-Betriebssysteme wie Android, iOS, Symbian, Blackberry und Windows Mobile. Beim Device Management stehen die Konfiguration und die Provisionierung der Geräte im Vordergrund. Dies muss natürlich von der Ferne aus möglich sein. "Remote Configuration and Provisioning" heißt das Zauberwort. Wenn ein Mitarbeiter sein eigenes Geräte im Firmennetzwerk nutzen möchte, so ist das Einbuchen ins Unternehmensnetzwerk zu automatisieren. Dies hat massiven Einfluss auf die Betriebskosten einer solchen Lösung.

Ein Firmware-Check für integrierte Devices, ein Update Service sowie Backup- und Restore-Strategien sind beim Einbinden privater Geräte ein Muss und sollten in keinem Mobile Device Management fehlen. Fehlersuche und allgemeine Diagnose sind hier nicht zu vergessen. Die größte Herausforderung ist die zentrale Softwareverteilung und das Durchsetzen von Unternehmensrichtlinien mit Hilfe von Policy Management und Password Enforcement. Das Durchsetzen bedeutet hier auch die Möglichkeit zum Sperren oder gar Löschen des Gerätes von der Ferne aus.

Fazit
Das heutige enorme Innovationstempo bringt ständig neue technische Finessen hervor, die eine unendliche Vielfalt an Funktionen mit überzeugender Einfachheit kombinieren. Für IT-Verantwortlihe bedeutet dies im Umkehrschluss jedoch, für Sicherheit bei der Einbindung mobiler Geräte zu sorgen. Mit den hier vorgestellten Maßnahmen sollte der Schritt hin zu einem einfachen und reibungslosen Einbinden und das Management von mobilen Geräten aber nicht allzu groß sein.




René Princz-Schelter, Director Presales / Product Marketing bei Alcatel Lucent Enterprise/ln