Rubrik: Fachbeiträge/Grundlagen

Datensicherheit für mobile Mitarbeiter

Wie können wertvolle Daten in Zeiten geschützt werden, in denen Mitarbeiter häufig außerhalb der Reichweite herkömmlicher Sicherheitsmechanismen von Rechenzentren arbeiten?

(04.05.10) - Eine erhöhte Mitarbeitermobilität bedeutet für Unternehmen, dass der Aufbau von klassischen Sicherheitsmechanismen mit einem Schutz nach Außen nicht mehr ausreicht. Dies gilt insbesondere, wenn die Mitarbeiter nicht mehr an einem im Unternehmen befindlichen Computer-arbeitsplatz arbeiten, der fest mit dem LAN (Local Area Network) verbunden ist.

Von Heiko Schrader, Regional Sales Director Germany bei Brocade

Autor Heiko Schrader: "Manche CIOs und ihre Teams haben immer noch Zweifel hinsichtlich der Sicherheit drahtloser Netzwerktechno-logien", Bild: Brocade

Mobiles Arbeiten bietet Unternehmen neue Freiheiten und erlaubt den Mitarbeitern den Zugriff auf Informationen von unterwegs. Es bringt neue Flexibilität im Hinblick auf Arbeitszeit und Arbeitsweise und macht die Mitarbeiter damit produktiver. Und es gibt keine Leerlaufzeiten, in denen die Mitarbeiter eine Aufgabe nicht abschließen können, weil sie sich nicht an ihrem Computerarbeits-platz im Büro befinden.

Wo auch immer Personen einer zunehmend mobileren Belegschaft sich befinden, die Prioritäten für CIOs und deren Teams bleiben dieselben: sie müssen die Integrität der Daten sichern, dafür sorgen, dass diese nicht in falsche Hände geraten und gleichzeitig gewährleisten, dass Sicherheitsmaß-nahmen die Applikations-Performance und das Arbeiten des Anwenders nicht beein-trächtigen.

Aus diesen Gründen kann man CIOs keinen Vorwurf dafür machen, wenn sie ihre bestehenden Sicherheitssysteme und -praktiken neu beurteilen und dabei zu dem Ergebnis kommen, dass ein neuer Ansatz nötig ist, wenn sie die Herausforderungen der mobilen Telearbeit meistern wollen. Dabei geht es um einen ganzheitlichen Ansatz, der rigorose Datensicherheitsvorkehrungen nicht nur im Core des Unternehmensnetzwerks vorsieht, sondern auch an dessen Edge und darüber hinaus bis zu den am weitesten entfernten Endpunkten wie Laptops und Smartphones.

Der Kern eines Rechenzentrums bietet jedoch immer noch den besten Ansatzpunkt für Sicherheitslösungen. Unabhängig vom Speicherort der Daten ist die Datensicherheit immer von größter Bedeutung. Und die wichtigsten geschäftskritischen Daten eines Unternehmens befinden sich im Storage Area Network (SAN). Diese Struktur ist eine zentrale Einheit für fast alle Komponenten im Rechenzentrum - von der Serverumgebung und den Workstations über Edge Computing bis hin zur Backup-Umgebung. Damit ist dies der ideale Ort für die Standardisierung und Konsolidierung einer ganzheitlichen Sicherheitsstrategie. Der Schlüssel besteht darin, sich von diesem Punkt aus vorzuarbeiten, um robuste und wenig störende Sicherheitsrichtlinien zu entwickeln, welche die Bedürfnisse der unterschiedlichen Benutzer berücksichtigen.

Aus diesem Grund wird bei CIOs eine Fabric-basierte Sicherheitslösung, die den Schutz sensibler Kunden- und Mitarbeiterdaten und des wertvollen geistigen Eigentums eines Unternehmens sicherstellt, immer beliebter. CIOs suchen nach einem architektonischen Ansatz mit einem intelligenten Sicherheits-Layer, der über eine zentralisierte Administrationskonsole verwaltet werden kann.

Die Vorteile solcher Lösungen liegen auf der Hand. Sie erlauben IT-Verantwortlichen, Sicherheits-richtlinien nach Bedarf zu erstellen und durchzusetzen, zu aktualisieren oder in Reaktion auf neue Bedrohungen neue Richtlinien zu entwickeln. Sie ermöglichen es, Systeme zu überwachen und regelmäßige Sicherheitsüberprüfungen der Unternehmensinfrastruktur vorzunehmen, um potenzielle Schwachstellen bereits im Vorfeld zu erkennen. Die richtige Lösung schließt auch eine leistungsfähige Verschlüsselungstechnologie ein - bevorzugt mit AES-256 -, damit sensible Daten während der Übertragung zwischen Systemen zusätzlich geschützt sind.

Auf diesem soliden Fundament lassen sich Netzwerkinfrastruktur-produkte, die von mobilen Mitarbeitern genutzt werden, mit dem Backbone verbinden. Betrachtet man beispielsweise das Edge des Unternehmensnetzwerks: Aufgrund technologischer Fortschritte kann ein WLAN das Unternehmensnetzwerk auf Bereiche ausdehnen, die zuvor nicht mit der Infrastruktur des Unternehmens verbunden waren. Dies gilt insbesondere für Bereiche auf dem Firmengelände, an denen die Verlegung einer Kabelinfrastruktur schwierig oder übermäßig teuer wäre.

Auf diese Weise können Mitarbeiter an jedem Ort auf dem Firmengelände von Laptops, Tablet PCs und PDAs aus auf die von ihnen benötigten Applikationen zugreifen. Dabei kann es sich um Lagermitarbeiter handeln, die den Versand von Waren von einer Ladebucht aus protokollieren, um medizinisches Personal, das Patientendaten in einer ambulanten Klinik aufnimmt, oder Bibliotheksmitarbeiter, die einen mobilen Buchabholdienst auf einem Universitätscampus anbieten.

Manche CIOs und ihre Teams haben immer noch Zweifel hinsichtlich der Sicherheit drahtloser Netzwerktechnologien. Dies ist möglicherweise ein Überbleibsel aus den frühen Tagen des 21. Jahrhunderts, als die Schwächen des WEP-Protokolls (Wired Equivalent Privacy) öffentlich bekannt wurden. Doch moderne Produkte für Funknetzwerke können bei Anbindung an einen sicheren Fibre Channel Backbone im Rechenzentrum einen ebenso sicheren End-to-End-Schutz bieten wie ein verdrahtetes Netzwerk. WPA2 (Wi-Fi Protected Access) auf der Basis des Sicherheitsstandards IEEE 802.11i verwendet beispielsweise AES-basierte Algorithmen. Wireless-Intrusion-Detection-Systeme ermöglichen es inzwischen, nicht autorisierte Geräte zu erkennen und zu lokalisieren. Und Techniken wie 'Geofencing‘ erlauben die Beschränkung des Zugriffs auf Backend-Systeme abhängig vom physischen Standort von Wireless-Geräten.

Zudem bringt ein sicherer Fibre Channel Backbone im Rechenzentrum die Endgeräte mobiler Mitarbeiter näher zu den Netzwerkadministratoren und damit unter deren Kontrolle. Unabhängig vom physischen Standort müssen Laptops und Smartphones, mit denen viele mobile Mitarbeiter wesentlich produktiver arbeiten können, gesichert werden. Es gilt, die Risiken durch deren Verlust oder Diebstahl für das Unternehmen zu verringern. Dabei geht es nicht nur darum, die Integrität der Daten auf den Laptops zu schützen. Ebenso wichtig ist der Schutz der Daten im Backend, auf die mit den Laptops zugegriffen werden kann.

Eine robuste ganzheitliche Sicherheitsstrategie, welche eine erweiterte Mobilität berücksichtigt, sollte diese Geräte sowohl lokal als auch zentral sichern. Zu den lokalen Maßnahmen gehören Hardwaresperren (Passwortschutz, so dass Unbefugte nicht auf die Geräte zugreifen können) und Vorkehrungen auf Softwareebene (Verschlüsselung, so dass auch bei Kompromittierung des Geräts die darauf enthaltenen Daten ohne den korrekten Authentifizierungsschlüssel nutzlos sind). Gleichzeitig müssen Netzwerkadministratoren auf zentraler Ebene Netzwerkzugriffskontrollen (Network Access Controls, NAC) und Überwachungssysteme gegen unbefugtes Eindringen in die Sicherheitsstruktur des Unternehmens einbinden. Damit wird der Datenverkehr von und zu diesen Geräten an der Schnittstelle zwischen Unternehmensnetzwerk und öffentlichem Internet kontrolliert.

Auf einem soliden Fundament lässt sich heute eine Architektur errichten, welche die Daten in einem Unternehmen gegen böswillige Aktivitäten, Datenschutzverletzungen, unbefugten Netzwerkzugriff und Verletzungen von Richtlinien schützt. Dies ist auch möglich, wenn sich die Daten auf Geräten von mobilen Mitarbeitern innerhalb oder außerhalb des Firmengeländes befinden. Laut der IT-Analystenfirma Forrester Research werden etwa 40 Prozent der Unternehmen ihre Ausgaben für neue IT-Sicherheitstechnologien im Jahr 2010 bedeutend erhöhen. Doch ohne ein starkes und sicheres Rechenzentrum sind Daten am Edge des Netzwerks oder an entfernten Endpunkten schwer zu schützen. (Brocade: ma)