Sie sind hier: HomeTelekommunikation

Authentifizierungsmechanismen: Cloud-Sicherheit ist Endpoint-Sicherheit

Fortsetzung des Artikels von Teil 1.

Zugangskontrolle jenseits der reinen Identitätsprüfung

Die Sicherheitslücken der herkömmlichen Authentifizierungsmechanismen sind bei Zugriff auf Unternehmensdaten mit mobilen Apps offensichtlich. Das trifft ganz besonders zu, wenn darüber hinaus mobile Cloud-Services im Spiel sind. Diese Sicherheitslücken können von Unternehmensseite nur dann beseitigt werden, wenn das Authentifizierungssystem grundlegend geändert wird.

Geprüft werden muss nicht nur, ob derjenige, der Einlass begehrt, dazu berechtigt ist. Im Fokus stehen notwendigerweise  auch weitere Fragen: Ist das Endgerät, das er benutzen will, zum Beispiel durch Jailbreak oder Rooting manipuliert? Aus welcher Weltregion will sich das Mobile Device einwählen? Was für eine IP-Adresse hat es? Und womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt. So kann eine Aktivität um drei Uhr nachts verdächtig sein. Darüber hinaus sollte stets geprüft werden, ob das Gerät unter der Kontrolle eines Enterprise-Mobility-Management (EMM-)-Systems steht. Dieses ermöglicht der IT-Abteilung Zugriff auf den Unternehmensteil des jeweiligen Endgeräts.

Der skizzierte Forderungsrahmen für eine Zugangskontrolle jenseits der bloßen Identitätsprüfung ist aber durchaus ambitioniert. Es kommt bei der Umsetzung auf viele kleine Details an. Bei dieser Herausforderung können sogenannte Cloud Access Security Broker (CASB), sozusagen die Türwächter für die Cloud, in Hinblick auf die Absicherung von Cloud-Services durchaus von Nutzen sein. Sie überprüfen den Traffic, der in die Cloud geht, auf Anomalien – ähnlich den Netzwerkkontrollsystemen (Network Access Control, NAC). Beispiele für CASBs sind „IBM Cloud Security Enforcer“ oder „MS Adallom“ von Microsoft.

Die CASB-Systeme sind jedoch oft noch stark auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich kaum skalierbar. Zudem verfügen sie nur über wenige Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinien-Konformität und ihrem Sicherheitszustand zu beurteilen: Sind die Geräte also unter Kontrolle der IT? Ist das mobile Betriebssystem manipuliert?

Die CASB-Modelle überwachen insofern nicht die gesamten Eigenschaften eines mobilen Endgeräts, das sicherheitstechnisch ganz anders zu beurteilen und zu behandeln ist als ein traditioneller Desktop-Endpoint.

Endpoint-Sicherheit ist machbar, aber arbeitsintensiv

Tatsächlich geht es bei den Sicherheitsfragen im Zusammenspiel von Mobile-IT und Cloud-Services letztlich nicht um die Cloud-Sicherheit. Es muss um Zugangssicherheit gehen – also die Sicherheit der einzelnen Endpunkte. Es gilt, diese Endpunkte rigoros abzusichern. Das ist machbar, wenn auch sehr arbeitsintensiv. Denn die Cloud löst die traditionellen Netzwerkgrenzen auf, viele lokale Rechenzentren verschwinden. Es bleibt eine Vielzahl an Endpunkten: Desktops, Tablets, Smartphones und immer mehr kommunizierende Maschinen, die ihrerseits wieder ganz unterschiedliche Charakteristika aufweisen und vom Bewegungsmelder über den Einzelhandels-Kiosk bis zu komplizierten medizinischen Geräten reichen.

Ein EMM-System ist in diesem sich verändernden Umfeld ein notwendiger, aber noch kein gänzlich hinreichender Mechanismus, um den jeweiligen Endpunkt „sauber“ zu halten. Ein Cloud-Gateway kann das EMM-System daher um weitere Prüfpunkte  mit Blick auf die Aktivitäten des Endgeräts ergänzen. Die Zugriffs-versuche des Mobile Device werden dabei über den Proxy des EMM-Systems geleitet. Erst wenn dieser Türwächter seine Zustimmung gibt, darf der Zugriff erfolgen. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel die Security Assertion Markup Language (SAML) sollen darüber hinaus dafür sorgen, dass bei diesem Prozess keine Anpassungen der Cloud-Apps erforderlich sind. Der Single-Sign-On-Ansatz für solche nativen Anwendungen baut dabei erstens auf einem Zertifikat für den gesicherten Übertragungstunnel auf, mit dem die Identität beglaubigt wird. Zweitens auf der Überprüfung der Gestik des mobilen Endgeräts. Erst wenn beides in Ordnung ist, darf das jeweilige Smartphone oder Tablet auf sensible Daten zugreifen.

Diese Vorgehensweise gibt auch den Auditoren und Compliance-Verantwortlichen Werkzeuge an die Hand, um einen umfassenden Blick auf Nutzer, Apps und Geräte zu erhalten, die auf Cloud-Services zugreifen, sodass die Vorgänge revisionssicher abbildbar sind.

Peter Machat ist Vice President EMEA Central bei MobileIron