Die Absicherung von Anwendungen macht mehr Sinn, als die Absicherung der gesamten Geräte.
Vieles hat sich verändert, seit ich meinen ersten richtigen Job im Bereich Netzwerk angetreten habe. Meine erstes Schreibtischtelefon war ein analoges Gerät mit Wählscheibe. Ich habe mich für meine Arbeit an einem grünen Bildschirm über eine 9600-Baud-Modem an einem PDP-11-Rechner angemeldet. Es gab keine Handys, keine E-Reader, kein Google und kein Microsoft-Word. Im Jahr 1984 hatten wir noch nicht einmal von Microsoft gehört.
Ich will jetzt nicht wie ein alter Knacker klingen, aber manchmal staune ich, wie schnell sich die Arbeitswelt verändert hat. Es ist nicht nur der Wandel der Technologie, der die Veränderung antreibt, sondern es hat sich auch unsere Arbeitsweise grundsätzlich geändert.
Die Arbeit fand an einem bestimmten Ort statt. Man fuhr aus diesem Grund am frühen Morgen in die Arbeit. Wenn mein Auto aus unerfindlichen Gründen wieder einmal nicht ansprang, konnte ich nicht arbeiten. Wenn die Straßen vereist waren, blieb man aus Sicherheitsgründen zu Hause. Zu Hause konnte man jedoch nicht arbeiten. Wenn ich zu Hause bleiben musste, weil ich auf den Kaminfeger warten musste, konnte ich ebenfalls nichts arbeiten. Ich hätte natürlich ein Stück Papier nehmen und ein Stück Basic-Code (meine erste Programmiersprache) von Hand notieren können, aber das wäre unpraktisch gewesen. Damals war die Arbeit fest mit einem bestimmten Ort verbunden. Heute arbeite ich zu Hause. Ich arbeite von Flughäfen und von meinem Hotelzimmer aus. Ich arbeite im Garten und im morgendlichen Stau auf dem Weg zur Arbeit. Immer öfter arbeite ich auch von meiner Ferienwohnung im Schwarzwald aus.
Erinnern wir uns noch an die Krankheitstage der Vergangenheit? Heute stütze ich mich irgendwie im Bett ab und bezeichne den Ort meiner Arbeit als „mein Büro“. Egal wo ich bin, habe ich sofort Zugriff auf E-Mails, Instant-Messages, Video- und die Unternehmenstelefonie. Die Präsenzfunktion in meinem Skype-for-Business-Client sagt jedem in meinem Unternehmen, dass ich momentan zur Verfügung stehe.
Natürlich ist das einzige, was sich konstant ändert, der Wandel selbst. Inzwischen habe ich mich von einem Büroarbeiter zu einem „Überallarbeiter“ gewandelt. Die größte Veränderung für mich lässt sich mit drei Worten beschreiben: Virtual-Private-Network. Mit Hilfe eines virtuellen privaten Netzwerks (VPNs) wird ein Tunnel zwischen einem entfernten Gerät und dem Unternehmensnetzwerk aufgebaut. Wenn ich das VPN auf meinem PC starte, ist es als wäre ich im Büro an die Ethernet-Buchse unter meinem Schreibtisch angeschlossen. Es besteht kein Unterschied in der Art und Weise wie meine Anwendungen ausgeführt werden.
Ich erinnere mich noch genau an den Tag, als ich nach Hause ging, meinen PC startete und über mein VPN mich an die Arbeit machte. Ab diesem Tag ging ich nie wieder ohne meine Laptop-Tasche nach Hause. Aber auch diese Zeiten gingen ihrem Ende entgegen. Heute stelle ich meine PC-Tasche unter meinem Schreibtisch, ziehe mein iPhone aus der Tasche und greife ohne den Einsatz eines VPNs auf meine E-Mails, Instant-Messages und Telefongespräche zu. Nur manchmal nutze ich den Laptop noch – hauptsächlich wegen des größeren Bildschirms und der Tastatur.
Der König ist tot
Eine VPN-Verbindung sichert ein Gerät – ich meine: das gesamte Gerät. Es sorgt für einen verschlüsselten Datentunnel zwischen meinem PC und dem VPN-Konzentrator am Firmensitz. Im Wesentlichen sogt das VPN dafür, dass mein PC frei agieren kann, wie wenn dieser über ein sehr langes Ethernet-Kabel mit der Firma verbunden wäre. Der Vorteil dieser Lösung besteht darin, dass die Anwendungen meines PCs im Büro wie auch zu Hause gleich aussehen und sich gleich bedienen lassen. Nachteilig ist jedoch, dass nicht nur Microsoft-Office vollen Zugriff auf mein Firmen-LAN hat, sondern auch alle anderen Anwendungen auf meinem PC. Auch die Viren oder unerwünschte Anwendung, die sich auf meinem PC geschlichen haben, erhalten denselben ungehinderten Zugang.
Da es sich um meinen Arbeit-PC handelt, ist die Sicherheitsbedrohung genauso hoch wie zu Hause. Allerdings kann man nicht das Gleiche über mein iPhone behaupten. Mein iPhone gehört nicht meinem Unternehmen, sondern mir und meine Firma hat keine Kontrolle über die Dinge, die auf meinem iPhone ablaufen. Es ist ein bisschen so, wie wenn ich auf meinem Firmenrechner Administrationsrechte hätte. Ich könnte meinen persönlichen PC einrichten. Könnte eine VPN-Verbindung in mein Unternehmen aufbauen und meine Kinder könnten über das Firmennetz jede Anwendung herunterladen und auf meinem PC installieren.
Die Sicherheitslücken
Wir alle haben von den Sicherheitsverletzungen gehört und wurden bestimmt schon mehrmals in Sachen Sicherheit unterwiesen. Hacker installieren Malware auf Point-of-Sale- (POS-)Geräten und stehlen damit die Kreditkartennummern und PINs zum Zeitpunkt des Einkaufs. So eine Malware kann sich zwischen der PoS-Anwendung und der Verschlüsselungs-Software des Geräts dazwischenschieben. Die Daten werden dabei bis ins Zielnetzwerk gesichert, jedoch gibt es bei dieser Lösung einen Moment in dem die Eingabedaten unverschlüsselt gelesen und abgegriffen werden können.
Die meisten VPN-Software-Lösungen funktionieren wie ein Gerätetreiber, der nur aufgerufen wird, wenn Datenflüsse über eine PC-Netzwerkschnittstelle übermittelt werden. Wie beim PoS-Gerät, entsteht eine Sicherheitslücke über die unverschlüsselte Daten leicht abgegriffen werden können. Diese Lücken in der PC-VPN-Lösung nutzen Malware und andere unerwünschte Anwendungen. Die meisten Anwendungen bemerken diese Sicherheitslücken nicht, denn diese erwarten, dass sich eine andere Instanz im PC um die notwendige Sicherheit kümmert.
Was müssen Teleworker für ihre Sicherheit tun?
Die Antwort ist eigentlich ganz einfach. Anstelle der Absicherung des gesamten Geräts müssen wir uns nur mit der Absicherung der Anwendungen kümmern. In Bezug auf SIP und Unified-Communications wird die Sicherheit von drei weiteren Worten erledigt: Session-Border-Controller (SBC). Ein SBC stellt einen sicheren Netzwerkzugang bereit, der nur die SIP-Signalisierung und die RTP-Medienströme weiterleitet. Ich konfiguriere beispielsweise den Avaya-SIP-Communicator auf meinem iPhone und weise dabei den SBC meines Unternehmens zu … und die Unternehmenstelefonie auf meinem iPhone startet ohne vorher ein VPN aufzubauen. Es spielt keine Rolle, welche Anwendungen ich sonst noch auf meinem mobilen Gerät installiert habe. Der SBC stellt sicher, dass nur der SIP-Datenverkehr übermittelt wird.
Dies ähnelt sehr der Absicherung von Web-Anwendungen. Wenn sie das nächste Mal Outlook-Web-Access (OWA) verwenden, sollten sie wissen, dass ihr Browser die Daten mit Secure-HTTP (HTTPS) überträgt. Ähnlich wie bei den SIP-Nachrichten in meinem iPhone, sichert der Browser den Datenstrom und nicht das Gerät auf dem der Browser ausgeführt wird.
Die Vorteile der Sicherung der Anwendung anstelle des Gerätes sind signifikant. Mein Unternehmen kann mir bedenkenlos den Zugang zu den SIP-Kommunikationssystemen zur Verfügung stellen, ohne sich um bösartige Codes oder Hacker kümmern zu müssen. Ich kann auf meinem iPhone so viele Spiele laden wie ich will und nicht ein Spiel wird die Barriere des SBCs überspringen. Dies gilt auch für andere Geräte. Ein SBC sichert die SIP-Datenverkehre von Android-Handys, iPads, PCs, Macs oder jedem anderen Gerät, das die SIP-Kommunikation verwendet.
Fazit
Gibt es noch Einsatzgebiete für VPNs in der Zukunft? Ja, aber mehr im Sinne von Modems. Die Unternehmen benötigen weit mehr Sicherheit als noch vor wenigen Jahren. Die Absicherung von Anwendungen macht inzwischen mehr Sinn, als der Versuch ganze Geräte abzusichern. Dies gilt insbesondere dann, wenn die IT-Abteilung die Kontrolle über das, was ihre Nutzer auf diesen Geräten installieren und nutzen, verloren hat. Da die Geräte bzw. die Benutzer nicht zu kontrollieren sind, sorgen zusätzliche Werkzeuge, wie beispielsweise die SBCs, für die gezielte Kontrolle der Anwenderdaten. (mh)
