Autor: Daniel Wolf
Laut den Marktforschern von IDC macht in diesem Jahr jeder zweite Mitarbeiter weltweit regelmässig Gebrauch von mobilen Begleitern wie Laptop, Blackberry oder iPhone. Das unbeschwerte Arbeiten vom mobilen Surfgerät aus kann jedoch zum unberechenbaren Sicherheitsrisiko für Unternehmen werden. Und die Bedrohungen verschärfen sich zunehmend, denn spätestens seit dem iPhone kommt das \'mobile Web\' inzwischen ohne WAP oder WML aus, für viele Zwecke reichen Standard-Webapplikationen. Doch genau dies macht Smartphones und Laptops anfällig für Gefahren aus dem Web wie etwa das so genannte Cross Site Scripting. Fast die Hälfte der von IDC befragten Unternehmen haben schon Angriffe auf die Sicherheit mobiler Endgeräte erlebt. Kein Wunder, denn je komplexer die Infrastruktur, desto grösser ist auch die Angriffsfläche. Um den mobilen Zoo sicherheitstechnisch in den Griff zu kriegen, stehen Administratoren vor einigen Herausforderungen.
Auch Stephan Krischke, Senior System Analyst beim Parfümhersteller drom fragrances aus Ottobrunn bei München, kennt dies nur zu gut. "Das Thema IT-Sicherheit wird bei drom naturgemäss gross geschrieben. Doch als mittelständisches Unternehmen ist es für uns wichtig, dass sich auch der Aufwand dafür in Grenzen hält. Bei einer Vielzahl mobiler Nutzer, internationalen Unterschieden in den Sicherheitsanforderungen und begrenzten Ressourcen in der IT-Administration war dieser Anspruch bisher nicht immer leicht zu realisieren."
Bis 2009 gab es vor allem für die zahlreichen mobilen Nutzer des Duftspezialisten keine zufriedenstellende Sicherheitslösung: Der Schutz durch die lokalen Firewalls reichte in den wenigsten Fällen aus. Aus Performance-Gründen wäre es auch nicht möglich gewesen, den Internetzugang der weltweit verteilten Mitarbeiter über die zentrale Appliance im Headquarter laufen zu lassen. Über dieses Problem hatte sich Krischke schon länger den Kopf zerbrochen. Die Lösung fand er schliesslich in einem Web Security Cloud Service des Anbieters Zscaler.
Weltweit verteilte Sicherheitsarchitektur für grenzenlose Mobilität
Mit dem flexiblen Sicherheitsdienst aus den Wolken können Unternehmen viele global verstreute Geräte sicher, effizient und ohne grossen Aufwand verwalten. Das Prinzip dahinter ist so simpel wie wirkungsvoll: Der Administrator leitet mit einer einfachen Routing- oder Proxy-Einstellung im System den Webverkehr der Nutzer über global verteilte Gateways. Damit der Zugriff auf die Webseite verzögerungsfrei geschieht, ist die Sicherheitsinfrastruktur weltweit direkt an den Internetknoten angesiedelt, über die der Traffic ohnehin geht. Dort scannen gleich mehrere Filter die Webinhalte dank Cloud-Technologie praktisch in Echtzeit. Bewegt sich ein Anwender in eine andere Region, leitet der Service den Webverkehr automatisch über das nächstgelegene Gateway.
BU: Der Nutzerkreis von Cloud Security Services reicht von mobilen Usern bis hin zu ISPs. Für jeden Anwender lassen sich individuelle, granulare Richtlinien festlegen – zum Beispiel im Umgang mit Web 2.0-Anwendungen. (Quelle: Zscaler)
Da Cloud Security auf einer weltweit verteilten Infrastruktur basiert, lassen sich damit auch mobile Geräte ohne Mehraufwand schützen. Die Netzverantwortlichen können auf diese Weise einen wesentlichen Teil des so genannten \'backhaul\'-Traffic vermeiden. Der entsteht, wenn mobile Clients ihre Netzzugriffe erst von aussen an die unternehmenseigene Infrastruktur senden müssen, um die firmeninternen Sicherheits-Gateways nutzen zu können. Sitzt die Security-Instanz hingegen im nächstgelegenen Internet-Knoten, entfällt dieser Umweg und die damit verbundenen Kosten und Verzögerungen.
Durch klare Regeln geschützt
Mit dieser Vorgehensweise lassen sich mobile Anwender nicht nur vor Würmern, Viren und Co. schützen. Die meisten mobilen Geräte können über eine simple Konfigurationseinstellung auch die Security-Richtlinien eines Unternehmens automatisch einhalten – und zwar von jedem Ort weltweit. Dadurch lassen sich fahrlässige oder absichtliche Sicherheitsverletzungen durch Mitarbeiter deutlich eindämmen. Die Voraussetzung: Laptops oder Smartphones müssen über einen Browser verfügen, um auf der gleichen Sicherheitsstufe wie die PCs innerhalb des Unternehmens zu operieren. Mit ein paar Klicks kann der Administrator darüber hinaus auch individuelle Nutzungsrichtlinien festlegen, zum Beispiel je nach Endgerät oder Position des Mitarbeiters.
Diese Möglichkeit weiss auch drom-Manager Krischke zu schätzen: Denn statt alle privaten Anwendungen per se zu blocken, will drom seinen Mitarbeitern die Freiheit geben, auf Geschäftsreise mit dem Firmennotebook auch privat zu surfen, Bankgeschäfte übers Internet zu erledigen oder mal eben bei Facebook reinzuschauen. Durch flexibel einstellbare Policies lässt sich einfach unterscheiden, welche spezifischen Richtlinien der Benutzer einhalten muss, wenn er unterwegs oder vor Ort im Unternehmen ist. Im Rahmen übergeordneter Regeln, wie zum Beispiel das Blocken von extremen Seiten, kann das Unternehmen so die Freiräume für die mobilen Mitarbeiter weiter fassen als innerhalb des Unternehmensnetzwerks – und das bei gleichem Schutzlevel. "Mit einer Appliance wäre diese getrennte Einstellung gar nicht so einfach möglich gewesen. Bei dem Zscaler-Dienst haben wir für die Konfiguration der Policies gerade einmal zwei Stunden gebraucht", erinnert sich Krischke.
Für einen Cloud Service spricht neben den flexiblen Schutzfunktionen auch der geringere Aufwand für die Administration und das Reporting. Dadurch können vor allem kleinere Firmen ihre Infrastruktur auch mit wenig eigenen IT-Ressourcen umfassend schützen. Denn die verteilte Architektur ist darauf ausgelegt, sämtliche administrativen Funktionen zentral zugänglich zu machen. Auch Logging und Reporting wickelt der Cloud-Dienst für alle Aussenstellen und mobilen Nutzer zentral ab. In der Praxis bedeutet dies für den Netzwerk-Verantwortlichen, dass sich beispielsweise die Einstellung und Überwachung der Sicherheitsrichtlinien für alle Clients zentral erledigen lässt. Auch um Updates, Patches, Maschinenwartung und Betriebskosten muss sich das Unternehmen nicht mehr kümmern.
Sicherheitsdienst mit Potenzial
Noch steht die Websicherheit aus den Wolken hierzulande erst am Anfang. Doch wegen des zunehmenden Kostendrucks und dem Trend zu mehr Flexibilität schreiben Marktanalysten wie IDC Security as a Service ein grosses Potenzial zu: Denn Unternehmen sparen sich nicht nur die Kosten für die Anschaffung und Wartung eigener Sicherheitssysteme, sie können auch das Schutzlevel individuell anpassen. So benötigt in der Regel etwa die Forschungsabteilung eine höhere Sicherheitsstufe als ein normaler Sachbearbeiter. Gezahlt wird dabei nur, was genutzt wird, überdimensionierte Systeme sind obsolet. Deshalb lassen sich zum Teil bis zu 50 Prozent der Kosten gegenüber herkömmlichen Webfiltern und Proxy-Systemen einsparen.
Bei allen Vorteilen weiss auch Krischke, dass es immer eine Frage der eigenen Philosophie ist, welchen Weg man bei der Internetsicherheit einschlägt: "Natürlich mag es noch den einen oder anderen Cloud-Skeptiker geben, für den nichts über die eigene Infrastruktur geht. Doch gerade die Internetsicherheit ist ein sehr abgegrenzter Bereich, in dem man gut mit neuen, vielversprechenden Möglichkeiten experimentieren kann, ohne dabei gross in andere Teile der Unternehmens-IT einzugreifen. Für uns hat sich dieses Experiment gelohnt, denn wir sind mit dem Cloud Service von Zscaler rundum zufrieden. Und hinsichtlich der Sicherheit von internen Daten vertraue ich für meinen Teil dem Unternehmen mehr als zum Beispiel Google." |
So manch einer, dessen seelische Not grösser war als seine Nüchternheit, fand sich plötzlich als Ehemann wieder. 
