IT-Sicherheit und mobile Geräte

Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden

25. Juli 2008, 18:48 Uhr | Bernd Reder

Tragbare Endgeräte machen Anwender räumlich unabhängig. Andererseits ist jedes System, das von außen auf das Corporate Network zugreift, ein Sicherheitsrisiko. Wir zeigen, wie sich Notebooks, digitale Assistenten (PDAs) und Smartphones in ein Firmennetz einbinden lassen, ohne dass sich dadurch Sicherheitslöcher auftun.

Wer über mobile Geräte (hier das HP iPAQ 914) auf das Firmennetzzugreift, sollte eine Zwei-Faktor-Authentifizierung verwenden.
Wer über mobile Geräte (hier das HP iPAQ 914) auf das Firmennetzzugreift, sollte eine Zwei-Faktor-Authentifizierung verwenden.

Mit der wachsenden Anzahl an externen mobilen Mitarbeitern verändert sich auch die IT-Infrastruktur für diesen Bereich. Die Firmennetze müssen für den externen Zugriff geöffnet werden, was die IT-Verantwortlichen vor größere Probleme stellt. Das ist vor allem dann der Fall, wenn interne Security-Policies den Handlungsspielraum einschränken.

Am Anfang steht die Inventarliste. Die IT-Abteilung muss wissen, welche Geräte externe Mitarbeiter überhaupt einsetzen. Dazu muss sie eine Auflistung der unterschiedlichen Geräte erstellen, die von den Nutzern eingesetzt werden. Diese Systeme lassen sich in drei Kategorien einteilen:

  • Notebooks, meist mit UMTS/EDGE/GPRS-Zugang ins Internet,
  • PDAs und Handys sowie
  • keine eigenen Geräte, sondern Zugriff via Browser, beispielsweise von einem Kiosksystem, Internet-Cafe oder einer Fremdfirma aus.

Diese unterschiedlichen Geräte müssen über ein zentrales VPN-Gateway sicher mit dem Firmennetz verbunden werden. Dabei sollte bei den ersten beiden Gerätekategorien (Notebooks, PDAs, Handys) immer eine Geräte-Authentifiizierung implementiert werden.

Starke Authentifizierung notwendig

Bei allen drei Kategorien ist zudem eine starke Benutzerauthentifizierung erforderlich, um die Identität des externen Mitarbeiters eindeutig festzustellen.

Der Einsatz von statischen Kennwörtern verbietet sich aus Sicherheitsgründen. Es sollte stattdessen sollte immer eine starke Zwei-Faktor-Authentifizierung des Benutzers durchgeführt werden, bei der - ähnlich wie bei der EC-Karte - der Besitz eines Authentifizierungsgerätes (Token, Smartcard) und das Wissen einer PIN erforderlich sind.

Bei der Benutzerauthentifizierung unterscheidet man generell zwischen einer zertifikatsbasierten Authentifizierung mit Smartcard oder USB-Token und einer Einmalkennwort-Authentifizierung mit OTP-Token (»One Time Password«) oder ähnlichen Devices.

Eine Alternative sind biometrische Verfahren. Sie spielen aber derzeit nur eine untergeordnete Rolle, weil Fingerprint-Reader nur in sehr wenigen Endgeräten integriert sind und die Verlässlichkeit oft noch zu wünschen übrig lässt. Welche Authentifizierungsmethode eingesetzt wird, hängt von dem verwendeten Endgerät und den benötigten Applikationen ab.

Zertifikatsbasierte Authentisierung

Das Grundprinzip der zertifikatsbasierten Authentifizierung besteht darin, dass der Benutzer eine Smartcard oder einen USB-Token besitzt, auf dem der Private-Key seines Zertifikats sicher abgelegt ist. Dazu gibt es immer einen Public-Key, der, wie der Name schon sagt, öffentlich ist.

Versucht sich der externe Mitarbeiter dann am VPN-Gateway in der Firma anzumelden und gibt die richtige PIN ein, kann das Gateway mittels entsprechender kryptographischer Verfahren prüfen, ob der Benutzer in Besitz eines gültigen Zertifikats mit dem passenden privaten Schlüssel ist. Erst wenn das der Fall ist, gewährt das System den Zugriff.

Einmalkennwort-Authentifizierung

Bei dieser Authentifizierungsart verfügt der Benutzer über einen OTP-Token oder etwas Ähnliches, mit dem ein Einmalkennwort erzeugt werden kann. Im Unternehmensnetz ist einein Authentifizierungsserver vorhanden.

Dieser kennt den Algorithmus des OTP-Tokens und berechnet das nächste zu erwartende Einmalkennwort. Stimmt das vom Benutzer am Anmeldefenster eingegebene Kennwort damit überein, darf der Benutzer auf die Informationen im Firmennetz zugreifen.

Dies kann zum einen eine spezielle Applikation sein, die nach Überprüfung der Anmeldedaten freigegeben wird, oder ein Webportal, auf das man mit einem Browser zugreift.

Ein Beispiel hierfür ist die oben aufgeführte dritte Kategorie »keine eigenen Geräte«. Dort kommt nur die OTP-Authentisierung in Frage, da man auf Fremdgeräten nicht mit Zertifikaten arbeiten kann. Für diese müssten entsprechende Treiber auf dem Gastsystem installiert werden, wofür man in der Regel Administratorrechte benötigt.


  1. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden
  2. Authentifizierung von Endgeräten
  3. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)
  4. Safety first - Notebooks, PDAs und Handys sicher ins Firmennetz einbinden (Fortsetzung)

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+