Simoit Logo  

Simoit

Um mobile Netze abzusichern, gibt es bereits verschiedene Lösungen. Diese sind aber meist auf eine Plattform (SymbianOS, BlackBerryOS oder Windows Mobile) beschränkt. So gibt es zwar eine Nokia-Lösung für mobile VPNs, welche aber nicht die anderen Plattformen unterstützt. Ähnliches gilt für Personal Firewall-Lösungen. Die Firma Research in Motion stellt zwar umfangreiche Sicherheitsmechanismen (von der Verschlüsselung bis hin zu Aspekten der Fernadministration) für die BlackBerry-Plattform zur Verfügung; auf der anderen Seite gibt es solche Sicherheitsmechanismen in dieser Durchgängigkeit nicht für die anderen Plattformen - die BlackBerry-Lösung ist mithin proprietär. Besonders wünschenswert wäre darüber hinaus ein Werkzeug zur sicheren Fernadministration von mobilen Netzen und eine Distributionsplattform, mit welcher Software an die einzelnen mobilen Endgeräte abgesichert verteilt wird. Bösartige Software (malware) kann auf diese Weise nicht einfach auf den mobilen Endgeräten installiert werden.

Zusammenfassend betrachtet, fehlen mithin noch immer ausgereifte und plattformunabhängige Werkzeuge, die zur Absicherung von mobilen Netzen eingesetzt werden können. Dies gilt insbesondere auch für einen Einsatz in mittelständisch geprägten Unternehmen. Im Gegensatz zu Großunternehmen können sich mittelständische Unternehmen oft keine speziellen Abteilungen für die IT-Sicherheit leisten. Mittelständische Unternehmen müssen oft mit einem sehr eingeschränkten Budget und Personal für die IT-Sicherheit auskommen. Insofern sind einfach zu bedienende, plattformübergreifende Sicherheitswerkzeuge erforderlich. Da mobile Netze immer komplexer werden, ist die Administration dieser Netze immer aufwändiger und fehleranfälliger (insbesondere hinsichtlich der IT-Sicherheit). Aus diesem Grunde sind Mechanismen, die eine zentrale Administration von mobilen Netzen ermöglichen, immer wichtiger.

Das SIMOIT-Projekt zielt auf die Entwicklung einer auf Standards basierten mobilen IT-Sicherheitsplattform, die sich in heterogenen mobilen Umgebungen einsetzen lässt. Die in diesem Projekt erarbeiteten Lösungen sollen in unterschiedlichsten mittelständischen Unternehmen einsetzbar sein.

Ziel ist es, technische und auch nicht technische Lösungen als Baukastensystem zu entwickeln, die herstellerunabhängig entwickelt werden. Die nicht technischen Lösungen zielen darauf ab die Unternehmensführung über die Notwendigkeit der mobilen IT-Sicherheit zu überzeugen und die Akzeptanz der Mitarbeiter bzw. Benutzer zu erlangen.

Aufgrund der obigen Bemerkungen soll eine offene und umfassende Sicherheitsplattform für mobile Endgeräte entwickelt werden. Diese Sicherheitsplattform soll die folgenden Merkmale aufweisen:

  1. Berücksichtigung verschiedenster Aspekte der mobilen Sicherheit wie z.B.
    • zentrale Fernadministration von Netzen mobiler Endgeräte:
      • sichere Verteilung und entfernte Installation von mobilen Anwen­dungen auf den Endgeräten (es existieren bereits Vorarbeiten für eine allgemeine Distributionsplattform innerhalb des Konsorti­ums, auf die zurückgegriffen werden könnte),
      • sichere Verteilung von Sicherheitsrichtlinien auf die Endgeräte (z.B. Security Policies, welche die Funktionalität von Anwendungen auf den Endgeräten einschränken),
      • Push-Verteilung (im Gegensatz zum Pull-Verfahren): Clients müs­sen nicht regelmäßig nach neuen/aktualisierten Inhalten fra­gen, sondern werden von der zentralen Plattform darauf auf­merksam gemacht,
      • sichere Bestätigung des Empfangs (z.B. zur Kontrolle bei Si­cherheits-Updates),
      • netzübergreifende Transportmechanismen (WLAN, Festnetz (Inter­net), GSM/UMTS, Bluetooth etc.),
      • entferntes Unbrauchbarmachen verloren gegangener bzw. gestoh­lener mobiler Endgeräte,
    • Identität: der Zugriff aufs Netz muss durch eine starke Authentisierungsmethode geschützt werden, um sich vor Identitätsattacken zu schützen,
    • Unbrauchbarmachen verloren gegangener bzw. gestohlener mobiler End­geräte bei mehrfach falsch eingegebener PIN, 
    • Absicherung der mobilen Kommunikation bzw. der Funkstrecke (WLAN, GPRS/UMTS), 
    • Absicherung des entfernten (remote) Zugriffs auf mobile Endgeräte und vom mobilen Endgerät auf das Backend (mobiles VPN), 
    • Verschlüsselung von Daten auf den Endgeräten selbst, 
    • Firewall-, Viren- und allgemein Malwareschutz-Funktionalität 
    • Eine mobiles Endgerät sollte sich beim Server/Backend als „vertrauenswürdig" authentifizieren können. Dies wird auch als Trusted Network Connect (TNC) bezeichnet. Dies dient zur Durchsetzung von Sicherheitsrichtlinien auf Endgeräten (Prüfung der Aktualität des Betriebssystem- Patchlevels, Virenscanners, Desktop Firewall, etc.). Im Falle, dass das Endgerät nicht konform der Sicherheitsrichtlinien ist, wird es in eine Quarantänezone isoliert mit der Möglichkeit die fehlenden Sicherheitspatches herunter zu laden. Dies stellt sicher, dass alle Endgeräte aktualisierte und die Sicherheitsrichtlinien entsprechende Sicherheits­software installiert haben.
  2. Herstellerunabhängigkeit (keine Abhängigkeit von bestimmten proprietären Lö­sungen wie z.B. Nokia Mobile VPN), 
  3. Auswahl der geeigneten Kommunikationsstrecke z.B. WLAN, UMTS/GPRS oder auch Festnetzverbindungen sind möglich 
  4. Modularer Aufbau (in verschiedenen Anwendungsszenarien werden unterschied­liche Sicherheitsmechanismen benötigt), 
  5. Bereitstellung geeigneter Benutzungsschnittstellen für die Werkzeuge der mobi­len Sicherheitsplattform (Aspekt der Usability).

Ergebnis des Projektes ist also eine mobile „Software-Sicherheitsplattform", die eine Absi­cherung mobiler Netze ermöglicht, die aus verschiedenen Arten mobiler Endgeräte bestehen. Diese Sicher­heitsplattform stellt insbesondere diverse Werkzeuge zur Verfügung, um die o.g. ver­schiedenen Aspekte der mobilen Sicherheit abdecken zu können. Die Werkzeuge werden dann für einzelne Anwendungsfälle bewertet und sind auf einen Einsatz in KMU zugeschnitten. Ein typisches Szenario eines mittelständisch geprägten Unternehmens soll nun näher erläutern, mit welchen Problemen KMU in Bezug auf die IT-Sicherheit konfrontiert werden.

Anwendungsszenario des mobilen Mitarbeiters

Die Grafik zeigt einen hochmobilen Mitarbeiter, der sich unterwegs im Auto oder Zug befindet, sich im Hotel aufhält oder sich in den Räumlichkeiten des Kunden aufhält.

Das Mobile Security Gateway erlaubt den hochmobilen Mitarbeiter einen gesicherten und transparenten Zugriff auf die Dienste (z.B. E-Mail, Datenbank etc.) im Unternehmensnetz. Dazu ist eine angemessene Authentisierung über einen AAA-Server (Authentisierung, Autorisierung und Accounting) notwendig. Weiterhin soll sich das mobile Endgerät als „vertrauenswürdig" authentifizieren (TNC = Trusted Network Connect). Hierdurch wird geprüft, ob auf dem mobilen Endgerät die vereinbarten Sicherheitsrichtlinien eingehalten werden. Die Verbindung ist über einen VPN-Tunnel (Virtual Private Network) verschlüsselt, um ein Mithorchen zu verhindern.

Die Firewall soll das Mobile Security Gateway vor unerlaubten Zugriffen von außen schützen. Diese Firewall kann das Risiko eines Einbruchs stark reduzieren, jedoch nicht eliminieren. Daher sollen Netzüberwachungswerkzeuge (IDS = Intrusion Detection System) eingesetzt werden, die einen möglichen Einbruch durch Überwachung des Netzverkehrs und relevanter Dienste erkennen können. Das IPS (Intrusion Prevention System) soll im Falle eines Einbruchs eine geeignete Gegenmaßnahme starten. Der Malware Scanner soll den Netzverkehr nach Schadsoftware durchsuchen und falls es fündig wird entfernen.

Die optimale Übertragungsstrecke, z.B. über UMTS/GPRS, WLAN oder Festnetz, wird je nach Aufenthaltsort und Zugriffsmöglichkeiten ausgewählt. Die Telefonkosten für den hochmobilen Mitarbeiter sollen durch eine geeignete VoIP-Lösung stark reduziert werden.

Die sichere und zentrale Fernadministration der mobilen Endgeräte ermöglicht z.B. die abgesicherte Verteilung von Software, Patches, Virenschutz und Security Policies über die Distributionsplattform. Außerdem können einzelne verloren gegangene Endgeräte entfernt unbrauchbar gemacht werden. 

Die DECOIT GmbH besitzt u.a. als Kernkompetenz Sicherheitslösungen zu beraten und zu entwickeln bzw. zu implementieren. Dies möchte sie durch dieses Projekt weiter ausbauen. Aufsetzend auf den bereits vorhandenen Forschungsprojektergebnissen der eigenen Projekte sowie der Partner soll das Produktportfolio entscheidend erweitert werden. Hinzu kommt, dass neue Förderprojekte national und international angegangen werden sollen, um weitere Fördergelder nach Bremen zu holen. Dies wird ebenfalls sehr eng mit den Kooperationspartnern erfolgen.

 

Zufallsbild