georgejmclittle - Fotolia

Cloud-Dienste und Cloud-Apps sicher auf mobilen Geräten im Unternehmen nutzen

Die sichere und kontrollierte Nutzung von Cloud-Angeboten sowie der Datenaustausch erfordern besonders bei mobilen Geräten zusätzliche Maßnahmen.

Die Nutzung von Cloud-Services wie etwa Salesforce, Google Drive und Office 365 über mobile Endgeräte ist für Unternehmen und Mitarbeiter gleichermaßen attraktiv und produktiv. Doch Vorsicht: Nur wenn ein leistungsfähiges Cloud-Gateway im Rahmen einer ausgereiften EMM-Lösung (Enterprise Mobility Management) eingesetzt wird, sind die Unternehmen vor bösen Überraschungen sicher.

Cloud-Dienste sind mittlerweile ein zentrales Instrument in der Unternehmens-IT. Die Vorteile sind vielfältig: die Flexibilität des IT-Einsatzes und damit die Produktivität der Mitarbeiter werden erhöht, weil letztere auf wichtige Arbeits-Ressourcen von überall zugreifen können; gleichzeitig sparen die Unternehmen Geld, weil die IT-Ressourcen besser ausgenutzt werden und fixe zu variablen Kosten werden. Das Cloud-Modell verändert die Unternehmens-IT vielerorts erheblich. Aufwändige eigene Rechenzentren verschwinden und die Unternehmens-IT besteht nur noch aus einer Vielzahl von Endpoints: Desktops, Tablets, Smartphones.

Diese scheinbar übersichtlichere Endpoint-Landschaft hat es jedoch in sich. Durch die Zugriffsmöglichkeiten von überall und zu jeder Zeit wird einerseits ein großes persönliches Produktivitätspotenzial bei den Mitarbeitern aktiviert, andererseits ergeben sich neue Gefahrenherde für die Unternehmensdaten, die treuhänderisch in der Cloud verwaltet werden, aber gerade durch die Vielzahl an Zugriffsmöglichkeiten leicht in unbefugte Hände kommen können. Unternehmen benötigen deshalb ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud: Wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu?

Mobile IT benötigt spezielle Cloud-Sicherheit

Aus der komplexen Fragestellung ergibt sich, dass eine bloße Prüfung der Identität derjenigen, die auf Unternehmensdaten in der Cloud zugreifen wollen, nicht genügt. Benutzerkennung und Passwort reichen in der Cloud-Welt sicherheitstechnisch nicht mehr aus. Die Problematik lässt an einigen wenigen Beispielen erklären, die vermutlich tausendfach in der Geschäftswelt vorkommen: ein Vertriebsmitarbeiter mit Abwanderungsgedanken benutzt das (natürlich) nicht unter der Kontrolle der Unternehmens-IT stehende Tablet eines Freundes, um Kundendaten von Salesforce herunterzuladen, und lädt diese dann auf das Konto seines persönlichen Cloud-Speichers hoch. Damit stehen kritische Unternehmensdaten in Speichermedien in der Cloud und sind unter Umständen weltweit allgemein einsehbar. Unbefugte können unter diesen Umständen mit relativ wenig Aufwand auf diese Daten zugreifen, sie manipulieren oder auch entwenden.

Eine andere Gefahrenquelle ist die Nutzung einer leicht bedienbaren (coolen) App eines Drittanbieters für den Zugriff auf Unternehmensdaten. Auch eine solche Operation können traditionelle Sicherheitsmechanismen, die nur auf die Credentials Benutzername und Passwort ausgelegt sind, nicht verhindern.

Und ein drittes und letztes Beispiel: Ein Unternehmensmitarbeiter verwendet die native E-Mail-App von iOS oder irgendeine andere E-Mail-App, die mit den beiden Parametern Benutzername und Passwort funktioniert. Die benutzte E-Mail setzt auf dem ActiveSync-Protokoll auf und nicht auf HTTP. Damit verlässt die geschäftliche E-Mail mit sensiblen Daten die geschützten Unternehmensgrenzen und kann sogar in andere Clouds hochgeladen werden. Die Unternehmens-IT hat keinerlei Kontrolle mehr über den Zugriff auf die in der E-Mail enthaltenen Daten.

Die Schlussfolgerungen aus diesen Beispielen sind klar: Es muss nicht nur geprüft werden, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist, sondern auch, ob das Endgerät, das er oder sie benutzen wollen, nicht manipuliert ist (durch Jailbreak oder Rooting), aus welcher Weltregion er oder sie sich einwählen wollen und womöglich spielt es auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt. Nicht zuletzt muss geprüft werden, ob das Gerät unter der Kontrolle eines EMM-Systems verwaltet wird oder es freischwebend ist und die IT in keiner Weise Zugriff darauf hat. Mit anderen Worten: Das Gerät, mit dem auf sensible Unternehmensdaten zugegriffen werden soll, darf nicht ins immer größer werdende Schattenreich der IT gehören, sondern muss für die IT-Administration des Unternehmens sichtbar und administrierbar sein.

Cloud-Services eng mit EMM-System verknüpfen

Die hier formulierten Anforderungen einer Zugangskontrolle jenseits der bloßen Identitätsprüfung sind im Bereich der Netzwerkzugangskontrolle bereits verwirklicht. NAC- Mechanismen (Network Access Control) machen genau dies und entsprechend gibt es auch Sicherheitsmechanismen für den Cloud-Zugang. Das sind die so genannten Cloud Access Security Broker (CASB), sozusagen die Türwächter für die Cloud.

Derzeit sind diese Systeme aber zum Beispiel laut Gartner-Report How to Evaluate and Operate a Cloud Access Security Broker aber Insellösungen, die entweder auf eine ganz bestimmte Systemwelt (Microsoft, IBM) oder sehr stark noch auf das traditionelle Desktop-Computing-Modell zugeschnitten sind. In den derzeitigen CASB-Systemen spiegelt sich noch kaum die Revolution wider, die durch den Paradigmenwechsel von traditionellen Desktop-Betriebssystem à la Windows 7 hin zu dem Sandboxing-Modell der EMM-Systeme ausgelöst wurde. Erst Windows 10 hat das Betriebssystem-Modell à la EMM auch für die Desktop-Welt übernommen.

Beispiel für ein aktives Logon zu Office 365: (1) Der Mitarbeiter klickt auf den nativen iOS-Client, geht über den Mail-Proxy Sentry zu Office 365 und gibt Benutzername und Passwort ein. (2) Office 365 sendet diese Angaben über ein SAML-ECP-Profil an das Access-Gateway auf dem Sentry-Proxy. (3) Das Access-Gateway führt eine WS-Trust-Authentifizierung für den Active Directory Federated Service (ADFS) durch. (4) Nach erfolgreicher Zulassung wird das an ADFS gesendete SAML-Token an Office 365 gesandt und der Mitarbeiter kann den nativen iOS-Mail-Client benutzen.

Derzeit sind CASB-Systeme also noch unzureichend auf die speziellen Notwendigkeiten ausgerichtet, die sich daraus ergeben, dass in vielen Unternehmen Smartphones und Tablets zu den primären Endgeräten aufgerückt sind. Die IT-Gegenwart vieler Unternehmen heißt nicht nur verstärkt Cloud, sondern vor allem auch Mobile IT. Die oben angeführten Beispiele machen dies deutlich.

Eine enge Verknüpfung der Welt der EMM-Systeme mit den Cloud Services ist also dringend erforderlich. Ein ausgereifte EMM-System bildet hierzu eine gute Basis, denn es enthält bereits alle Komponenten, die für ein Cloud-Access-Security-Modul vorhanden sein müssen: Ein ausgereiftes EMM-System ist nämlich ganz dahingehend ausgelegt, die Daten bei der Speicherung und bei der Übertragung gleichermaßen sicher zu verwalten. Diese EMM-Komponenten müssen jetzt nur noch auf die Spezifika der Cloud ausgerichtet werden und mit existierenden IAM-Systemen verknüpft werden. Dabei sollten Standards bei der Authentifizierungs- und Autorisierungskette wie SAML (Security Assertion Markup Language) selbstverständlich sein. Auch sollte das Cloud-Zugangsverfahren keine Anpassungen der Cloud-Apps erfordern.

„Zugang zu Cloud-Apps dürfen nur vertrauenswürdige Benutzer auf vertrauenswürdigen Geräten mit vertrauenswürdigen Apps haben.“

Peter Machat, MobileIron

Ein solches Cloud-Zugangssystem sollte nicht zuletzt Auditoren und Compliance-Verantwortlichen die notwendigen Werkzeuge liefern, damit sie einen umfassenden Blick auf Benutzer, Apps und Geräte, die auf Cloud-Services zugreifen, erhalten. Ist ein effizientes und sicheres auf mobile Endgeräte ausgerichtetes Cloud-Access-System im Einsatz, können Unternehmen und Mitarbeiter von den Produktivitäts- und Usability-Vorteilen der mobilen Cloud-Services profitieren, ohne dass dabei sensible Unternehmensdaten in falsche Hände kommen. Tenor entsprechender Sicherheitsmaßnahmen muss dabei sein: Zugang zu Cloud-Apps haben nur vertrauenswürdige Benutzer auf vertrauenswürdigen Geräten mit vertrauenswürdigen Apps!

Über den Autor:
Peter Machat ist Director DACH und Osteuropa bei MobileIron. Der studierte Wirtschaftsinformatiker ist durch die jahrelange Zusammenarbeit mit den Vertriebsteams der Carrier, lokalen und globalen Systemhäusern sowie den gemeinsamen Aufbau der mobilen Infrastrukturen bei Kunden ein geschätzter Partner und Experte auf vertrieblicher und technischer Ebene.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse.

EMM als Teil einer umfassenderen mobilen Strategie.

IAM, NAC und SNS: Enterprise Mobility erfordert ganzheitliche Sicherheit.

Wichtige Fragen zur Datensicherheit bei Apple iOS.

 

Artikel wurde zuletzt im August 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close