Von: Dr. Thomas Hafen
In den nächsten Jahren soll das Angebot an Endgeräten mit integrierter Mobilfunktechnik stark zunehmen. Laut einer Studie des Wireless-Spezialisten ARC Group gehören 2006 bereits 48 Prozent aller weltweit verkauften Notebooks und Handhelds zu diesem Typ, das Marktvolumen beträgt demnach 56 Milliarden Dollar.
Mit dem größeren Angebot und der erhöhten Leistungsfähigkeit wird die Integration solcher Geräte in Firmennetze immer attraktiver. Die Analysten von Berlecon Research sehen denn auch für mobile Business-Lösungen ein "rasantes Wachstum" voraus. Im Jahr 2005 werden laut Berlecon alle Großunternehmen in Deutschland den Zugriff auf ihre IT-Struktur über mobile Endgeräte ermöglichen, bis 2008 sollen 40 Prozent der kleinen Betriebe nachgezogen haben. Das Marktvolumen soll 2005 zwischen 1,5 und 2 Milliarden Euro betragen, bei einer durchschnittlichen jährlichen Wachstumsrate von 56 Prozent (siehe folgendes Bild).
Die Einbindung der Wireless Devices in die Firmen-IT wird wohl hauptsächlich über Virtuelle Private Netze erfolgen, die auf dem Internet Protocol aufsetzen (IP-VPN, zur Definition siehe Glossar). Alle Analysten sagen diesem Typ der Kommunikationsstruktur große Wachstumspotenziale voraus. Europäische Unternehmen sollen bis 2005 mit rund 16 Milliarden Dollar etwa 3,5-mal mehr für VPN-Produkte und Services ausgeben als 2001, so eine Prognose des Marktforschungsinstituts Infonetics Re-search. 82 Prozent der 300 befragten Unternehmen wollen außerdem Handhelds im VPN nutzen. Die Unternehmensberatung Frost & Sullivan kommt zu ähnlichen Ergebnissen: Der Markt habe gute Zukunftsperspektiven, 45 Prozent der befragten 200 westeuropäischen Großunternehmen nutzten bereits ein IP-VPN, 85 Prozent der restlichen Konzerne planen dessen Einführung in den nächsten zwei Jahren. Auch IDC-Analyst Peter Hulleman erwartet enorme Steigerungen: Im Jahr 2005 sollen in Westeuropa für IP-VPN-Equipment 2,2 Milliarden Dollar ausgegeben werden, zirka dreimal so viel wie 2000. Bei den Services beträgt die prognostizierte Steigerungsrate sogar 600 Prozent.
GPRS und HSCSD bieten akzeptable Bandbreiten
Wer mit der Einbindung mobiler Geräte ins Firmennetz nicht auf UMTS (Universal Mobile Telecommunications System) warten will, hat derzeit die Wahl zwischen drei Übertragungsarten. Die klassische GSM-Verbindung (Global System for Mobile Communications) erlaubt zwar nur Datenraten von 9,6 kBit/s, doch für einfache Anwendungen wie das Lesen von E-Mails oder das Herunterladen von Textdateien ist dies ausreichend. Schneller geht es mit den Verfahren High Speed Circuit Switched Data (HSCSD) und General Packet Radio Service (GPRS). Hier sind derzeit Bandbreiten von 40 bis 60 kBit/s möglich. Damit lässt sich auch schon mal eine Word- oder Excel-Datei bearbeiten.
Bei der Integration mobiler Nutzer in ein VPN gelten im Prinzip dieselben Regeln wie beim Zugang über leitungsgebundene Anschlüsse: Zum einen muss die Identität eines Teilnehmers über geeignete Authentifizierungs-Verfahren zweifelsfrei festgestellt werden können. Zum anderen müssen Tunneling-Verfahren wie PPTP (Point to Point Tunneling Protocol) oder besser IPSec (IP Security Protocol) die Vertraulichkeit und Integrität der Daten schützen. Dritte dürfen also weder mitlesen, noch die Daten verändern können. Zusätzlichen Schutz bietet eine Verschlüsselung, üblicherweise nach dem 3-DES-Verfahren (Data Encryption Standard).
Die Authentifizierung eines Nutzers ist bei mobilen Zugängen relativ einfach, da mit der SIM-Karte (Subscriber Identity Module) des Mobiltelefons bereits eine sichere Identifikation möglich ist. Wenn allerdings ein - womöglich noch eingeschaltetes - Handy oder ein Notebook mit GSM-Modul, beispielsweise dem "Nokia Card Phone", gestohlen wird, ist dem Missbrauch Tür und Tor geöffnet. Besser ist deshalb eine Authentifizierung über Smartcards mit eigenem Cryptoprozessor, wie sie beispielsweise von Gemplus, Siemens oder Schlumberger angeboten werden, oder über so genannte "Token" wie "Secure ID" von RSA oder "E-Token R2" von Aladdin.
Kaum Clients für Handhelds und PDAs
Für den Zugriff auf das Unternehmensnetz wird ein VPN-Client verwendet. Neben Microsoft selbst liefern auch Gateway-Hersteller wie Cisco, Nokia oder Watchguard Software für mobile Endgeräte. Diese ist meist in Ausführungen für die gängigen "Windows"-Versionen sowie "Mac OS" erhältlich.
Die Auswahl bei Handheld-Betriebssystemen wie "Palm OS" oder "Windows CE" ist dagegen weit kleiner. Einer der wenigen Anbieter ist der kalifornische Softwarehersteller Certicom. Sein Produkt "Movian VPN" ist für den PDA-Einsatz konzipiert und belegt beispielsweise in der Palm-Version nur 300 KByte Arbeitsspeicher. Außerdem soll ein spezieller Algorithmus (Elliptic Curve Diffie-Hellman, ECDH) die Performance erhöhen. Der Client ist auch für die Smarthpone-Plattform "Epoc" von Symbian erhältlich und kann in den Nokia-Geräten der "Communicator"-Serie eingesetzt werden. Seit kurzem bietet auch der amerikanische Sicherheitsspezialist Safenet einen VPN-Client für Palm OS. "Soft Remote PDA" unterstützt IPSec und ist damit kompatibel zu praktisch allen marktgängigen VPN-Lösungen. Sowohl für Palm- als auch für Windows-Geräte bietet V-One seinen Client "Smart Pass". Diese Software ist sogar für Linux-Handhelds erhältlich. Wer das neueste PDA-Betriebssystem von Microsoft, "Pocket PC 2002", einsetzt, muss nicht auf fremde Software zurückgreifen, sondern kann den bereits integrierten VPN-Client nutzen.
Da bei der drahtlosen Verbindung meist geringere Bandbreiten und leistungsschwächere Endgeräte zur Verfügung stehen, spielt der schonende Umgang mit den vorhandenen Ressourcen eine große Rolle. Außerdem verändert sich der Zugangspunkt zum Internet ständig, weshalb der Einsatz von "Mobile IP" sinnvoll ist. Dieser Ansatz des IETF (Internet Engineering Task Force) erlaubt es, einem mobilen Knoten, der sich in fremden Netzen aufhält, eine feste IP-Adresse zuzuweisen (siehe NetworkWorld 1-2/02, Seite 34). Gerade die VPN-typische Kombination aus 3-DES-Verschlüsselung und IPSec-Protokoll erfordert einen erheblichen Rechenaufwand. Durch den IPSecHeader können kleine Pakete um bis zu 20 Prozent vergrößert werden. Außerdem stehen bei IPSec über Mobile IP Filterung NAT (Network Address Translation) oder TCP Session Splitting nicht zur Verfügung. Beim IETF ist deshalb derzeit ein Entwurf in der Diskussion, der einen effizienteren Zugang zu VPNs über Mobile IP bringen soll.
Service fürs mobile VPN
Wer nach Unterstützung beim Aufbau seiner drahtlosen Infrastruktur sucht, wird bei Mobilfunkbetreibern und Serviceprovidern fündig. Diese verstehen unter "Mobile VPN" aber oft nur die Integration von Handys in das Telefonnetz einer Firma. Angebote wie "T-D1 VPN", "D2 Corporate VPN" oder "Professional Group VPN" von E-Plus ermöglichen es, Komfortfunktionen, beispielsweise Kurzwahl, Rückruf oder Weiterleitung, auch für Mobilfunknummern zu nutzen (siehe dazu NetworkWorld 13/01, Seite 36).
Aber auch für die Einbindung mobiler Endgeräte in ein Datennetz gibt es Angebote. Die Telekom-Töchter T-Data und T-Mobil vermarkten GPRS-Zugänge unter den Produktnamen "LAN to LAN GPRS" und "Mobile IP VPN". Viag Interkom hat seinen Dienst "GPRS Net Company" getauft. Bei D2-Vodafone gibt es kein spezielles VPN-Produkt, wohl aber die Möglichkeit, sich über eine sichere Verbindung ins Firmennetz einzuwählen. "Corporate Data Access" nennt sich diese Variante. Neben GPRS lässt sich hierfür auch der kanalvermittelte Highspeed-Service HSCSD nutzen. E-Plus-Netz und Quam bieten ebenfalls GPRS und HSCSD.
Auf kleine und mittlere Unternehmen zugeschnitten ist "Mobile Network Access" des Serviceproviders Talkline. Für 5 bis 40 Teilnehmer integriert das Elmshorner Unternehmen mobile Endgeräte in VPN-Lösungen. Auch UMTS-Lizenzhalter Mobilcom hat ein spezielles Angebot im Portfolio. Mit "MVPN" sollen Firmenmitarbeiter über GPRS einen sicheren und verschlüsselten Zugang im Unternehmensnetz erhalten.
Besonders auf mobile Anwender hat sich Elaborated Networks spezialisiert. Der Münchner Dienstleister bietet mit "Rent a VPN Shared Mobile Edition" und "Advanced Mobile Edition" Komplettpakete für kleine und mittlere Unternehmen. Die Einwahl erfolgt allerdings in der Regel über Modem- oder ISDN-Verbindungen. Ein Zugang über Mobilfunkverbindungen ist aber möglich.
Fazit
Obwohl sich ein mobiler Zugang zum VPN prinzipiell nicht von dem über ein Festznetz unterscheidet, ist die Integration vor allem kleiner Endgeräte wie Handys oder PDAs nicht ganz einfach. Die Hilfe eines spezialisierten Serviceproviders kann hier unter Umständen Fehlentscheidungen vermeiden und Geld sparen helfen. Besonderes Augenmerk sollte man bei der Kalkulation auf die Verbindungskosten legen. Wer beispielsweise GPRS zur Übertragung nutzt, zahlt zwischen 5 Euro und 35 Euro für ein MByte Datenvolumen. Bei reger Nutzung des Anschlusses kommen so leicht mehrere Tausend Euro pro Monat und Mitarbeiter zusammen.