Sichere Nutzung von Cloud-Diensten und Cloud-Apps auf Mobilgeräten

Cloud-Services sind für einzelne Mitarbeiter und das Unternehmen gleichermaßen attraktiv. Werden sie allerdings über Smartphone oder Tablet genutzt, ist Vorsicht geboten. Benutzername und Kennwort reichen dann für den sicheren Zugang nicht aus.

Es ist ja so einfach: wenn das eigene Tablet gerade nicht zur Hand ist, weil man bei einem Freund ist, erbittet man als allzeit mobiler Vertriebler dessen Mobilgerät und lädt schnell mal am Wochenende einen Packen Kundendaten von Salesforce herunter und dann auf das Konto des persönlichen Cloud-Speichers wieder hoch. Man muss für die anstehenden montäglichen Telefonate einiges nachschauen und überhaupt kann man ja nie wissen, wozu solche Daten noch gut sind. Schließlich ist man mit dem jetzigen Arbeitgeber nicht verheiratet.

Christof Baumgärtner, der Autor dieses Gastbeitrags für ZDNet.de, ist Vice President EMEA und General Manager bei MobileIron (Bild: MobileIron)Christof Baumgärtner, der Autor dieses Gastbeitrags für ZDNet.de, ist Vice President EMEA und General Manager bei MobileIron (Bild: MobileIron)

Ein Szenario, wie es wohl tausendfach vorkommt. Die Motivation kann dabei jeweils durchaus variieren. Was an diesem Szenario sicherheitsmäßig entscheidend ist: das Tablet des Freundes steht natürlich nicht unter der Kontrolle des eigenen Unternehmens und das persönliche Speichermedium in der Cloud ist vermutlich nicht besonders sicher. Schnell stehen in einem solchen Fall vertrauliche Unternehmensdaten leicht einsehbar in der Cloud.

Sicherheit neu organisieren

Unbefugte können auf diese Daten zugreifen, sie manipulieren oder auch entwenden. Gewiss, dazu gehört einiger Aufwand, aber für interessante Daten von der Konkurrenz lohnt sich ein solcher Aufwand allemal. Und moralisch zwielichtige Gesellen gibt es zuhauf. Die Sicherheit von Unternehmens-Datenbeständen sieht jedenfalls anders aus.

Unternehmen müssen daher verstehen, dass der Zugriff von einem mobilen Endgerät beziehungsweise einer mobilen App fundamental anders ist, als der über einen Browser auf einem traditionellen PC oder Laptop. Letzterer steht vollständig unter der Kontrolle der Unternehmens-IT. Die Browser-Sitzungen sind nur temporär und es werden keinerlei Daten auf Speichermedien abgezogen. Folglich können entsprechende Inhalte nicht einfach anderen Apps zur Verfügung gestellt werden.

Im Falle mobiler Apps ist die Situation deutlich anders: solche Apps können sowohl auf nicht-administrierte als auch auf administrierte Geräte heruntergeladen werden. App-Sitzungen sind dauerhaft und auf dem Endgerät lassen sich Daten speichern. Damit ist es relativ einfach, Inhalte anderen Apps zur Verfügung zu stellen beziehungsweise sie irgendwo in der Cloud zu speichern.

Identitätsprüfung nicht ausreichend

Mit der gängigen Authentifizierung über Benutzername und Kennwort allein lässt sich die Cloud-Herausforderung nicht lösen. Unternehmen benötigen vielmehr ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud.

Die von Mobileiron vorgeschlagene Architektur für den sicheren Cloud-Access von Mobilgeräten aus (Grafik: MobileIron)Die von Mobileiron vorgeschlagene Architektur für den sicheren Cloud-Access von Mobilgeräten aus (Grafik: MobileIron)

Die zentrale Frage lautet: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu? Mit anderen Worten: Es muss die gesamte Gestik (im Englischen „posture“) eines Endgeräts auf den Prüfstand gestellt werden, bevor dieses mit Apps auf Unternehmens-Datenbestände zugreifen darf.

Dazu muss nicht nur geprüft werden, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist. Es muss auch kontrolliert werden, ob das Endgerät, das er benutzen will, manipuliert ist (durch Jailbreak oder Rooting), aus welcher Weltregion es sich einwählen will und was für eine IP-Adresse es hat. Womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt: 3 Uhr nachts Ortszeit ist eventuell verdächtig. Nicht zuletzt muss abgeprüft werden, ob das Gerät unter der Kontrolle eines Systems für Enterprise Mobility Management (EMM) steht, sodass die Unternehmens-IT bei Bedarf vollen Zugriff auf den Unternehmensteil des Geräts hat.

ANZEIGE

Samsung Knox für Dummies

In dem Buch „Samsung Knox für Dummies“ bekommen Sie einen grundlegenden Überblick über die Funktionen und Möglichkeiten von Samsung Knox in Unternehmen. Bewerben Sie sich hier, um das Buch „Samsung Knox für Dummies“ als Hardcopy zu erhalten.

Eine Zugangskontrolle jenseits der bloßen Identitätsprüfung ist im Bereich des Netzwerkzugangs schon länger über Mechanismen für Network Access Control (NAC) möglich. Jetzt hat MobileIron mit dem Cloud-Zugangs-Gateway MobileIron Access eine vergleichbare Kontrollinstanz für den Cloud-Zugriff auf den Markt gebracht. Sie prüft im Zusammenspiel mit dem EMM-System von MobileIron genau, „wer mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zugreifen will.“

Ein derartiges Tool füllt eine echte Lücke. Zwar haben auch Produkte der sogenannten Cloud Access Security Broker (CASB) „Cloud Access“ im Namen, sie arbeiten aber völlig anders. Auch sind die CASB-Systeme derzeit noch weitgehend auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich wenig skalierbar. Vor allem aber überwachen sie nicht die „Gestik“ des Endgeräts, sondern kontrollieren in erster Linie den Traffic. Sie verfügen über keinerlei Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinien-Konformität (sind sie unter Kontrolle der IT oder nicht?) und ihres Sicherheitszustands (ist das Betriebssystem manipuliert?) zu beurteilen.

Zusätzliche Authentifizierungsmechanismen

Das Abprüfen des Gerätezustands ist in Zeiten der mobilen IT ein wesentlicher Faktor, insofern liegt es nahe, von den Mechanismen eines Enterprise-Mobility-Management-Systems auszugehen, wenn man Zugriffe von mobilen Geräten und Apps auf Unternehmensdatenbestände sicher und richtlinienkonform steuern will.

Funktionsweise des Cloud-Zugangs-Gateways MobileIron Access (Grafik: MobileIron)Funktionsweise des Cloud-Zugangs-Gateways MobileIron Access (Grafik: MobileIron)

Ein solches EMM-System muss so erweitert werden, dass Apps und Mobilgeräte, die auf Unternehmensdatenbestände zugreifen, auf die oben geschilderten Sicherheitsparameter hin überprüft werden können. Das EMM-System allein kann nämlich nicht verhindern, dass Nutzer mit nicht verwalteten Apps oder einem nicht verwalteten Browser, die von irgendwoher geladen wurden, auf Cloud-Services wie Dropbox zugreifen und auf diese Cloud-Speicher Unternehmensdaten verschieben.

Andererseits garantiert auch ein Identity-und Access-Management-System (IAM) allein nicht für ausreichende Sicherheit in den genannten Fällen. Vielmehr müssen zusätzliche Authentifizierungsmechanismen geschaffen werden (Überprüfung von IP-Adresse, Geräte-Compliance, Zugriffszeitpunkt etc), die über den ohnehin schon vorhandenen „Türwächter“ (Proxy) des EMM-Systems geleitet werden. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette, zum Beispiel der Security Assertion Markup Language (SAML), sorgt dafür, dass dabei keine Anpassungen der Cloud-Apps erforderlich sind.

Ein derart gestaltetes Cloud-Access-System liefert nicht zuletzt Auditoren und Compliance-Verantwortlichen in Unternehmen die notwendigen Werkzeuge, damit sie einen umfassenden Blick auf Benutzer, Apps und Geräte, die auf Cloud-Services zugreifen, erhalten. Ist ein effizientes und sicheres Cloud-Access-System im Einsatz, können Unternehmen und Mitarbeiter von den Produktivitäts- und Usability-Vorteilen der mobilen Cloud-Services profitieren ohne fürchten zu müssen, dass dabei vertrauliche Unternehmensdaten in die falschen Hände gelangen.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Registrieren Sie sich für das Webinar am 10. Oktober um 11 Uhr und erfahren Sie, wie Technologien und Services rund um die Neuerungen der HPE Server der Generation 10 die Sicherheit, aber auch Agilität und Wirtschaftlichkeit auf ein höheres Niveau heben. Aussagestarke Beispiele beleuchten den HPE Wertbeitrag im Einzelnen und wo sich für Sie Chancen ergeben.

Themenseiten: EMM, MobileIron, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sichere Nutzung von Cloud-Diensten und Cloud-Apps auf Mobilgeräten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *