Sichere Nutzung von Cloud-Diensten und Cloud-Apps auf Mobilgeräten
Es ist ja so einfach: wenn das eigene Tablet gerade nicht zur Hand ist, weil man bei einem Freund ist, erbittet man als allzeit mobiler Vertriebler dessen Mobilgerät und lädt schnell mal am Wochenende einen Packen Kundendaten von Salesforce herunter und dann auf das Konto des persönlichen Cloud-Speichers wieder hoch. Man muss für die anstehenden montäglichen Telefonate einiges nachschauen und überhaupt kann man ja nie wissen, wozu solche Daten noch gut sind. Schließlich ist man mit dem jetzigen Arbeitgeber nicht verheiratet.
Ein Szenario, wie es wohl tausendfach vorkommt. Die Motivation kann dabei jeweils durchaus variieren. Was an diesem Szenario sicherheitsmäßig entscheidend ist: das Tablet des Freundes steht natürlich nicht unter der Kontrolle des eigenen Unternehmens und das persönliche Speichermedium in der Cloud ist vermutlich nicht besonders sicher. Schnell stehen in einem solchen Fall vertrauliche Unternehmensdaten leicht einsehbar in der Cloud.
Sicherheit neu organisieren
Unbefugte können auf diese Daten zugreifen, sie manipulieren oder auch entwenden. Gewiss, dazu gehört einiger Aufwand, aber für interessante Daten von der Konkurrenz lohnt sich ein solcher Aufwand allemal. Und moralisch zwielichtige Gesellen gibt es zuhauf. Die Sicherheit von Unternehmens-Datenbeständen sieht jedenfalls anders aus.
Unternehmen müssen daher verstehen, dass der Zugriff von einem mobilen Endgerät beziehungsweise einer mobilen App fundamental anders ist, als der über einen Browser auf einem traditionellen PC oder Laptop. Letzterer steht vollständig unter der Kontrolle der Unternehmens-IT. Die Browser-Sitzungen sind nur temporär und es werden keinerlei Daten auf Speichermedien abgezogen. Folglich können entsprechende Inhalte nicht einfach anderen Apps zur Verfügung gestellt werden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Im Falle mobiler Apps ist die Situation deutlich anders: solche Apps können sowohl auf nicht-administrierte als auch auf administrierte Geräte heruntergeladen werden. App-Sitzungen sind dauerhaft und auf dem Endgerät lassen sich Daten speichern. Damit ist es relativ einfach, Inhalte anderen Apps zur Verfügung zu stellen beziehungsweise sie irgendwo in der Cloud zu speichern.
Identitätsprüfung nicht ausreichend
Mit der gängigen Authentifizierung über Benutzername und Kennwort allein lässt sich die Cloud-Herausforderung nicht lösen. Unternehmen benötigen vielmehr ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud.
Die zentrale Frage lautet: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu? Mit anderen Worten: Es muss die gesamte Gestik (im Englischen „posture“) eines Endgeräts auf den Prüfstand gestellt werden, bevor dieses mit Apps auf Unternehmens-Datenbestände zugreifen darf.
Dazu muss nicht nur geprüft werden, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist. Es muss auch kontrolliert werden, ob das Endgerät, das er benutzen will, manipuliert ist (durch Jailbreak oder Rooting), aus welcher Weltregion es sich einwählen will und was für eine IP-Adresse es hat. Womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt: 3 Uhr nachts Ortszeit ist eventuell verdächtig. Nicht zuletzt muss abgeprüft werden, ob das Gerät unter der Kontrolle eines Systems für Enterprise Mobility Management (EMM) steht, sodass die Unternehmens-IT bei Bedarf vollen Zugriff auf den Unternehmensteil des Geräts hat.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Eine Zugangskontrolle jenseits der bloßen Identitätsprüfung ist im Bereich des Netzwerkzugangs schon länger über Mechanismen für Network Access Control (NAC) möglich. Jetzt hat MobileIron mit dem Cloud-Zugangs-Gateway MobileIron Access eine vergleichbare Kontrollinstanz für den Cloud-Zugriff auf den Markt gebracht. Sie prüft im Zusammenspiel mit dem EMM-System von MobileIron genau, “wer mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zugreifen will.”
Ein derartiges Tool füllt eine echte Lücke. Zwar haben auch Produkte der sogenannten Cloud Access Security Broker (CASB) “Cloud Access” im Namen, sie arbeiten aber völlig anders. Auch sind die CASB-Systeme derzeit noch weitgehend auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich wenig skalierbar. Vor allem aber überwachen sie nicht die “Gestik” des Endgeräts, sondern kontrollieren in erster Linie den Traffic. Sie verfügen über keinerlei Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinien-Konformität (sind sie unter Kontrolle der IT oder nicht?) und ihres Sicherheitszustands (ist das Betriebssystem manipuliert?) zu beurteilen.
Zusätzliche Authentifizierungsmechanismen
Das Abprüfen des Gerätezustands ist in Zeiten der mobilen IT ein wesentlicher Faktor, insofern liegt es nahe, von den Mechanismen eines Enterprise-Mobility-Management-Systems auszugehen, wenn man Zugriffe von mobilen Geräten und Apps auf Unternehmensdatenbestände sicher und richtlinienkonform steuern will.
Ein solches EMM-System muss so erweitert werden, dass Apps und Mobilgeräte, die auf Unternehmensdatenbestände zugreifen, auf die oben geschilderten Sicherheitsparameter hin überprüft werden können. Das EMM-System allein kann nämlich nicht verhindern, dass Nutzer mit nicht verwalteten Apps oder einem nicht verwalteten Browser, die von irgendwoher geladen wurden, auf Cloud-Services wie Dropbox zugreifen und auf diese Cloud-Speicher Unternehmensdaten verschieben.
In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.
Andererseits garantiert auch ein Identity-und Access-Management-System (IAM) allein nicht für ausreichende Sicherheit in den genannten Fällen. Vielmehr müssen zusätzliche Authentifizierungsmechanismen geschaffen werden (Überprüfung von IP-Adresse, Geräte-Compliance, Zugriffszeitpunkt etc), die über den ohnehin schon vorhandenen “Türwächter” (Proxy) des EMM-Systems geleitet werden. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette, zum Beispiel der Security Assertion Markup Language (SAML), sorgt dafür, dass dabei keine Anpassungen der Cloud-Apps erforderlich sind.
Ein derart gestaltetes Cloud-Access-System liefert nicht zuletzt Auditoren und Compliance-Verantwortlichen in Unternehmen die notwendigen Werkzeuge, damit sie einen umfassenden Blick auf Benutzer, Apps und Geräte, die auf Cloud-Services zugreifen, erhalten. Ist ein effizientes und sicheres Cloud-Access-System im Einsatz, können Unternehmen und Mitarbeiter von den Produktivitäts- und Usability-Vorteilen der mobilen Cloud-Services profitieren ohne fürchten zu müssen, dass dabei vertrauliche Unternehmensdaten in die falschen Hände gelangen.