Saubere Notebooks für sichere Netzwerke
Die Anzahl der mobilen IT-User nimmt in ungebremstem Maß zu. Eine der wichtigsten Ausprägungen mobiler IT-Nutzung sind die mittlerweile allgegenwärtigen Notebooks. Ihr Einsatz ist heute keineswegs nur mehr Außendienstmitarbeitern und Top-Executives vorbehalten. Mehr und mehr Mitarbeiter nützen den Komfort eines mobilen Geräts, mit dem man rasch auch einmal im Hotel, beim Kunden oder von zuhause aus in der gewohnten Umgebung arbeiten kann. So ist es auch kein Wunder, dass IDC explosionsartige Wachstumsraten von bis zu 30% bei den Notebook-Absätzen meldet. Entwicklungen wie diese zeigen, dass der ortsgebundene Client von den vielseitigeren Notebooks verdrängt wird.
Risiko Notebook
Im gleichen Maß, in dem Notebooks Annehmlichkeiten und neue Anwendungsgebiete mit sich bringen, stellen sie ein Sicherheitsrisiko dar. Denn Notebooks werden naturgemäß nicht nur im Unternehmen verwendet. Die größte Gefahr ergibt sich aus dem Umstand, dass oft von irgendwo eine Internetverbindung aufgebaut wird, zum Beispiel in einem Hotel via WLAN, unterwegs mittels GPRS/UMTS oder von zuhause über den privaten Breitbandanschluss. Das Notebook kann dann in kürzester Zeit mit Spyware und Malware verseucht sein. Das wirkt sich in erster Instanz unangenehm auf den mobilen User aus, da er unter Umständen sein Gerät nicht weiterverwenden kann. In vielen Fällen muss ein Befall des Notebooks aber nicht einmal sofort sichtbar werden. Die wirkliche Gefahr droht dann, wenn das Notebook das nächste Mal an das Firmennetzwerk angeschlossen wird. Es entlädt seine gefährliche Fracht und binnen kurzem könnte das ganze Unternehmensnetzwerk verseucht sein - ein Szenario, das für viele Sicherheitsbeauftragte und IT-Leiter den Alptraum schlechthin darstellt.
Neuer Ansatz schützt zuverlässig
Um die Annehmlichkeiten der Notebooks zu erhalten und gleichzeitig das Horrorszenario einer unternehmensweiten Verseuchung abzuwenden, hat Bacher Systems einen neuen 3-stufigen Lösungsansatz entwickelt (siehe Abbildung):
- 1. Stufe: Die erste Stufe schützt sofort, sobald mit einem Notebook eine Internet-Verbindung aufgebaut wird. Mit Hilfe einer Personal Firewall werden Angreifer erfolgreich abgewehrt und ein Zugriff über den VPN-Client auf das Unternehmensnetzwerk verhindert.
- 2. Stufe: Die Maßnahmen der zweiten Stufe verhindern, dass mobile Clients mit potenziell gefährlichen Webseiten in Berührung kommen. Mittels URL-Filter werden Seiten ausgeblendet, von denen bereits bekannt ist, dass sie eine Gefahr darstellen. Das Verfahren arbeitet mit einer Blacklist, die automatisch laufend aktualisiert wird.
- 3. Stufe: Die dritte Stufe rundet das System ab und schützt das interne Netzwerk vor mobilen Clients, die auf irgendeinem Weg - trotz der ersten beiden Stufen - verseucht wurden. Mit einem Client-Check wird vor dem Aufbau jeder VPN-Verbindung festgestellt, ob das Notebook auch wirklich sauber ist. Darüber hinaus beinhaltet diese Stufe eine Variante der Application Control, die nur vorher festgelegten Notebook-Applikationen den Zugriff auf das Unternehmensnetzwerk gestattet. Damit wird die Verbreitung von neuen (noch unbekannten) Würmern im Netzwerk verhindert. Sollte ein Notebook direkt im Firmennetzwerk angeschlossen werden und nicht den geforderten Sicherheitsrichtlinien entsprechen, so kann es automatisch in ein geschütztes virtuelles LAN "gepatcht" werden. Dort hat es nur Zugriff auf vordefinierte Updateserver.
In Summe ergeben die Maßnahmen der drei Stufen einen höchst zuverlässigen Schutzmechanismus, der sowohl die mobilen Clients als auch das Unternehmensnetzwerk vor schädlichem Code schützt. Die konkrete Lösung baut auf neuen Produkten von Surfcontrol und Check Point auf, die erstmals einen durchgängigen Lösungsansatz dieser Art möglich machen. Die Administration der auf den mobilen Clients installierten Komponenten erfolgt bequem mit einem zentralen Management-System.