Sicherer Webzugang zu Unternehmensdaten | Artikel aus INFOLINE 2/2006

Sicherer Webzugang zu Unternehmensdaten | Artikel aus INFOLINE 2/2006
Der Homo Mobilis, der mobile Information Worker, ist auf dem Vormarsch. Der mobile Zugang zu Unternehmensdaten wird immer wichtiger. Zugleich steigen die Anforderungen an die Sicherheit. Die INFOLINE zeigt eine Weg, beide Ziele zu erreichen. Produkte von Microsoft und anderen Anbietern integrieren sich dabei hervorragend in die vorhandene IT-Infrastruktur.

Anforderungen

Der Zugriff auf E-Mails unterwegs und aus dem Home-Office ist heute in vielen Unternehmen bereits Alltag. Outlook Web Access (OWA) erlaubt dem Homo Mobilis schon seit vielen Jahren den Zugriff auf den Posteingang aus dem Internet Browser. Spätestens seit der Einführung von Exchange Server 2003 unterscheidet sich dabei die Funktionsumfang von OWA für den mobilen Benutzer kaum noch von der Vollversion.

Mit der Kombination aus Outlook 2003 und Exchange 2003 lässt sich der HTTPS-Zugriff aber auch für den vollen Outlook-Client nutzen. Mit nur wenig Änderungen an der Infrastruktur kann der Homo Mobilis seinen Outlook Client mobil synchronisieren und online arbeiten. Die Funktion ist dank HTTPS-Standard auch in fremden Unternehmensnetzen gegeben, die Technik RPC über HTTPS arbeitet zuverlässig und für den Anwender verborgen im

Hintergrund

Mobile Endgeräte wie SmartPhones und PocketPCs werden inzwischen von Exchange Server 2003 direkt unterstützt. Ohne Zusatzsoftware ist der Homo Mobilis in der Lage seine E-Mails und Termine synchronisieren. Mit Exchange 2003 SP2 ist sogar die auomatische Weiterleitung der Mails auf das Endgerät (“Push-Mail”) möglich. Vor einiger Zeit wurden hier noch kostenextensive Zusatzprodukte wie BlackBerry benötigt.

Zunehmend ist aber auch der Bedarf zu verzeichnen, ERP-Portale oder das Intranet nach extern zu veröffentlichen. So können Anwender auch außerhalb der Büroumgebung vollwertig arbeiten. Die besondere Sensibilität dieses Daten bedingt aber natürlich verstärkte Sicherheitsanforderungen der Unternehmen.

Sichere Veröffentlichung

Herzstück einer Veröffentlichung von Serveranwendungen ist selbstverständlich ein auf die Sicherheitsanforderungen Ihres Unternehmens abgestimmtes Firewall-System. Bei der Produktauswahl kommt es dabei vor allem auf die Intelligenz dieser zentralen Komponente an. Hier werden spezielle Anwendungsfilter benötigt, die die Art des Zugriffs verstehen und bewerten, um Anwender und Angreifer voneinander unterscheiden zu können.

Neben den klassischen Anbietern wie CheckPoint oder Cisco hat Microsoft mit seinem Internet Security & Acceleration Server ein durchaus wettbewerbsfähiges Produkt auf den Markt gebracht. Der von BSI und TÜViT mit Höchstnoten bewertete “ISA Server”, so die gängige Bezeichnung, eignet sich aufgrund des integrierten Proxy auf der Anwendungsebene ideal für die sichere Veröffentlichung von Unternehmensdaten. Ob der ISA Server dabei wie bei Microsoft selbst die einzige Firewall ist oder wie bei der COMLINE AG in eine vorhandene Firewall-Topologie integriert wird, hängt dabei ausschließlich von den Unternehmensanforderungen ab.

Authentifizierung

Während viele Unternehmen auf die Authentifizierung mit Benutzernamen und Kennwort setzen, ist auch hier ein Trend zum Wechsel zu erkennen. Umfragen ergeben, dass 70% der Büroangestellten ihr Kennwort gegen einen Schokoriegel preisgeben. Daher sollte man sich hier nach ergänzenden Authentifizierungsmechanismen umsehen. Über auf dem Client gespeicherte Benutzerzertifikate lässt sich eine kostenlose Zertifizierungsstufe zuschalten. In Active Directory Netzwerken lassen sich diese Zertifikate automatisch generieren und verteilen, so dass die Betriebsführung kostengünstig gestaltet werden.

Alternativ können auch Token-Systeme wie RSA SecurID in die Serververöffentlichung integriert werden. Hierbei wird von einem elektronischen Schlüsselanhänger ein zusätzliches Kennwort generiert. Dieses ist je nach Anbieter entweder ähnlich einer Online-Banking-TAN nur einmal verwendbar oder es ist zeitlich auf wenige Minuten begrenzt. Damit wird die Sicherheit nochmals deutlich erhöht.

Erhöhte Sicherheitsanforderungen

Beim Zugriff auf Unternehmensdaten über das Internet muss selbstverständlich auch das Endgerät als Angriffspunkt betrachtet werden. Eine Absicherung des Systems durch einen lokalen Virenscanner und eine Desktop Firewall gehört hier zum Standard. Die im Client bereits integrierte Windows Firewall lässt sich dabei über das Active Directory zentral verwalten.

Alternativen zur Veröffentlichung

Neben der Veröffentlichung von Servern lässt sich der Zugriff auf Unternehmensdaten auch über ein Citrix Secure Gateway oder die Implementierung eines VPN-Zugangs ermöglichen. Auch hier kann ein sicherer Zugang über alternative Authentifizierungswege und eine Integration in die Firewall-Topologie gewährleistet werden. Die konkreten Anforderungen an Funktionalität und Sicherheit entscheiden ebenso wie das Budget über die Implementierung.

Serververöffentlichung in der Praxis

Aufgrund der vielfältigen Möglichkeiten bietet es sich an, zunächst mit einem Workshop in ein konkretes Projekt einzusteigen. Hier müssen die Wünsche der Homos Mobilis in Ihrem Unternehmen mit den Anforderungen Ihrer IT-Sicherheitsrichtlinien abgeglichen werden. Daraus können die Sicherheitsexperten der COMLINE AG ein optimales Konzept erstellen und in Ihrer Infrastruktur umsetzen.