Smartphones sind mittlerweile Grundausstattung in Unternehmen; immer mehr Anwender nutzen sie. Sie wollen E-Mail-Anbindung, Internetzugang, WLAN und andere Funktionen des Smartphones auch in der Firma nutzen. Auch SharePoint, Exchange, Kalender und Aufgaben sowie Dokumente synchronisieren immer mehr Nutzer zwischen PC und Smartphone.
Die gleichen Smartphones finden aber auch im Privatleben Einsatz. Die Mitarbeiter installieren private Apps, binden die Geräte im heimischen Netzwerk und an öffentlichen Hotspots an. Ein Sicherheitsbewusstsein wie bei PCs gibt es bei Smartphones nicht oder zumindest nur sehr eingeschränkt. Geht ein solches Gerät verloren, besteht die Gefahr, dass Unbefugte Zugriff auf die abgespeicherten Daten, E-Mails und das Unternehmensnetzwerk erhalten, da die Zugriffsinformationen im System gespeichert sind.
Aus diesem Grund ist es notwendig, dass sich Administratoren Gedanken über die Sicherheit der Geräte und deren Anbindung an das Netzwerk machen. Neben den Standardmitteln, die Android, iPhone, iPad, Windows Phone 7, BlackBerry, Symbian und Co. bieten, können spezielle Verwaltungsapplikationen ebenfalls für Sicherheit sorgen, da diese zentral alle Plattformen verwalten und absichern können. Ein solches Beispiel ist Juniper Pulse Mobile Security.
Unterstützte Systeme und Smartphones
Juniper Pulse Mobile Security unterstützt die meisten Smartphone-Systeme, aber nicht alle Funktionen durchgehend in allen Systemen. Das liegt daran, dass die einzelnen Anbieter selbst bestimmen können, welche Funktionen externe Anwendungen auf den Smartphones steuern können. Vor allem Apple ist mit iOS hier absolut restriktiv und lässt fast keine Änderungen oder Zugriffe zu. Die Anbindung an das Firmennetzwerk über SSL-VPN unterstützen iOS 4.x und 5.0, Google Android ab 2.0, Windows Mobile ab 6.0 - allerdings noch kein Windows Phone 7 - sowie Nokia Symbian und BlackBerry. Letzteres erlaubt aber nur webbasierten Zugriff. Bei iOS sind die meisten Funktionen derzeit noch für iOS 4 optimiert. Teilweise kann es zu Problemen und Abstürzen kommen wenn Sie iOS 5 und/oder das iPhone 4S einsetzen.
Der Antivirenschutz lässt sich für alle Systeme nutzen - mit Ausnahme von iOS, hier sperrt Apple externe Anwendungen komplett aus. Das gilt auch für Personal Firewall, Anti-Spam, Überwachung, Datensicherung und Wiederherstellung sowie Diebstahlschutz. Alle diese Funktionen sind nicht mit iPhones und iPads möglich. Das heißt, falls Sie auf Apple-Systeme setzen, ist Juniper Pulse Mobile Security nur eine passende Lösung, wenn Sie die VPN-Funktionalität nutzen wollen. Zusätzlich müssen Sie beim Einsatz von iPhones und iPads auf weitere Lösungen oder Bordmittel setzen.
Google Android unterstützt alle Funktionen, aber nur sehr eingeschränkt die Firewall und den Spamschutz. Windows Mobile, Nokia Symbian und BlackBerry sind ebenfalls universell einsetzbar, wogegen BlackBerry nicht alle Möglichkeiten der Firewall und des Spam-Schutzes nutzen kann. Windows Phone 7 findet sich aktuell nicht auf der Liste der unterstützten Geräte. Da sich das System deutlich von Windows Mobile 6.5 unterscheidet, ist zu erwarten, dass die Systeme mit dem neuen System nicht kompatibel sind. Auch eine entsprechende App für Windows Phone 7 findet sich nicht im Marktplatz.
Junos Pulse Mobile Security Gateway
Damit Sie zentral auf den Clients über die entsprechende Junos-App die Smartphones absichern können, müssen Sie im Unternehmen ein Junos Pulse Mobile Security Gateway einsetzen. Voraussetzung dafür ist, dass Sie einen eigenen Server betreiben; Sie können ein solches Gateway aber auch direkt bei Juniper über die Cloud als Software-as-a-Service (SaaS) buchen.
Verwaltung und Überwachung der Endgeräte steuern Administratoren über eine webbasierte Oberfläche. Über das Gateway laufen Sicherheitsrichtlinien, Virenschutz und Anti-Spam. Auch Berichte über Infektionen, Angriffe, Firewall, Updates und andere Bereiche rufen Sie an dieser Stelle ab.
Unabhängig von den eingesetzten Systemen können Sie überprüfen, welche Apps installiert und welche davon nicht erlaubt sind. Auch das Lokalisieren, Sperren, Löschen, Sichern oder Wiederherstellen nehmen Sie über diese Verwaltungsoberfläche vor. Sie können an dieser Stelle zudem steuern, ob Geräte, die nicht den Sicherheitsvorschriften entsprechen, über das VPN eine Verbindung zum Netzwerk aufbauen können, oder diese Geräte sperren. Der Schutz besteht also aus einer Client-Komponente und einem Servergegenstück, über das Sie die Endgeräte verwalten.
Sicherheit für Smartphones zentral verwalten
Juniper Pulse Mobile Security bietet eine Firewall, Anti-Spam, einen Diebstahlschutz, sowie Überwachungsmöglichkeiten für Smartphones. Die Möglichkeit der Datensicherung und Wiederherstellung über das Internet besteht ebenfalls. Auch die Funktion der Fernlöschung (Remote Wipe) unterstützt die Suite, allerdings nicht für alle Geräte.
Ein Bestandteil der Suite ist ein Client, der auf den Smartphones installiert werden muss. Juniper unterstützt aktuell Apple iOS (iPhone/iPad), Google Android, Windows Mobile, Nokia Symbian und BlackBerry. iOS wird dagegen nur sehr rudimentär unterstützt, Sie können bei den Apple-Systemen nur die SSL-VPN-Verbindung nutzen. Installation und Einsatz sind allerdings recht kompliziert, Administratoren sollten für den Umgang mit der Lösung geschult werden. Sie benötigen zusätzlich zur Client-App noch eine Anbindung an ein Security Gateway. Dieses bietet Juniper auch als Cloud-Dienst an. Den jeweiligen Client für Juniper Pulse können Sie direkt im entsprechenden App-Store der Smartphone-Lösung kostenlos herunterladen und installieren.
Durch den Client ist es möglich, dass sich die Smartphones über eine gesicherte VPN-Verbindung mit dem Unternehmensnetzwerk verbinden, um Daten abzurufen. Diese Funktion läuft auch problemlos auf iPhones und iPads. Stellen Sie als Administrator im Unternehmen oder als Cloud-Lösung das Gateway zur Verfügung, können Anwender auch selbst den Juniper-Pulse-Client aus dem App-Store (Android, iOS), Marketplace (Windows Mobile 6, nicht Windows Phone 7) oder Ovi-Store (Nokia) herunterladen und installieren. Dank einer einfach gehaltenen Anleitung kann der Client problemlos eingerichtet werden. Generell müssen Anwender nur die URL für die Verbindung zum Gateway selbst eintragen; alle anderen Einstellungen nehmen Administratoren über die Verwaltungsoberfläche durch.
Integrierter Virenschutz
Der integrierte Virenschutz scannt Dateien auf dem Smartphone, sobald ein Anwender darauf zugreift. Dabei spielt es keine Rolle, ob der Anwender die Datei per FTP, HTTP, SharePoint, Mail, SMS oder Dateifreigabe verwendet. Smartphone-Systeme mit SD-Karten sind ebenfalls geschützt, da Juniper auch diese scannen kann. Auch den Datenstrom zwischen Server und Smartphone scannt die Software auf verdächtigen Code und Viren. Neben dem Echtzeitschutz lassen sich zudem installierte Anwendungen, Dateien oder das ganze Smartphone nach Viren durchsuchen. Die Definitionsdateien aktualisieren sich automatisch, lassen sich in der Software aber auch manuell herunterladen und aktualisieren.
Der Virenschutz lässt sich allerdings nicht in iOS-Geräten nutzen, dafür aber auf Android-Geräten, die ohnehin anfälliger für Viren sind, sowie in Geräten mit Windows Mobile und BlackBerry. Während Apple sehr streng kontrolliert, welche Apps im App-Store verfügbar sind, ist der Google-App-Store wesentlich offener und damit auch stärker gefährdet, Apps zur Verfügung zu stellen, die virenverseucht sind. Viren für Smartphones sind aktuell noch dünn gesät. Allerdings gibt es durch die steigende Verbreitung solcher Geräte auch immer mehr Viren. Hier sollten Unternehmen daher besser agieren als nur zu reagieren.
Personal Firewalls für Smartphones
Neben der sicheren SSL-VPN-Datenleitung und dem Virenschutz enthält Juniper Pulse auch eine Firewall für Smartphones. Diese filtert und blockiert mit entsprechenden Regeln den TCP/IP-Verkehr von Smartphones. Die Regeln unterstützen bidirektionale Verbindungen, Ports oder IP-basiertes Filtern des Datenverkehrs. Die Lösung kann dazu eingehenden und ausgehenden Datenverkehr überwachen.
Anwender können die Firewall auf zwei Stufen einstellen. In der hochsicheren Stufe darf der Anwender nur erlaubten Netzwerkverkehr nutzen, der in einer speziellen Whitelist integriert ist. Alle anderen Ports und Daten blockiert die Anwendung. Umgekehrt darf das Smartphone in der niedrigen Stufe den ganzen Netzwerkverkehr nutzen mit Ausnahme des Verkehrs, der in der Blacklist festgelegt ist.
Die Firewall kann Datenverkehr auch von bestimmten IP-Bereichen zulassen oder auf Wunsch blockieren. Auch hier sind Anwender mit iPhones/iPads ausgesperrt, da Apple die Netzwerkkommunikation nicht von externen Anwendungen überwachen lässt.
Spam-Schutz
Selbst wenn Sie auf dem E-Mail-Server im Unternehmen einen Spam-Schutz betreiben, ist ein weiterer Schutz auf dem Endgerät durchaus sinnvoll. Vor allem wenn Anwender zusätzlich zur Unternehmensanbindung einen privaten E-Mail-Anschluss auf dem Smartphone konfiguriert haben, ist dieser meistens nicht vor Spam und auch nicht vor Viren geschützt.
Auch hier hilft Juniper Pulse. Mit dem Spam-Schutz können Anwender unter anderem Sprachanrufe blockieren, zum Beispiel während einer Besprechung, und SMS-Spam verhindern. Es lassen sich wieder schwarze und weiße Listen definieren. Mit den Standardmitteln von Smartphones können Anrufe zwar generell blockiert oder Klingeltöne abgestellt werden, über Juniper können Anwender aber bestimmte wichtige Nummern und Kontakte durchlassen und andere blockieren.
Der Spam-Schutz reagiert bei dieser Funktion intelligent und fragt ab, ob Nummern von Anrufen, die Sie abweisen, zu einer der Listen hinzugefügt werden sollen. Der Nutzer kann steuern, ob alle Nachrichten oder Anrufe von Nummern aus der schwarzen Liste blockiert werden sollen oder nur einzelne Anrufe und Nachrichten. Auch der Speicherort blockierter Nachrichten lässt sich festlegen. Diese Funktion steht in iPhones/iPads nicht zur Verfügung.
Diebstahlschutz für Smartphones
Eine weitere Funktion in Juniper Pulse ist der Diebstahlschutz. Die Suite ermöglicht die Lokalisierung von Smartphones über GPS und der Anzeige auf einer Online-Karte.
Sowohl Anwender als auch der Admin im Unternehmen können verloren gegangene Geräte über das Internet sperren, löschen oder einen lauten Alarm abspielen lassen, sodass sich das Gerät orten lässt. Das kann zum Beispiel auf Messen sehr hilfreich sein, da eine reine Lokalisierung dann nicht ausreicht. Neben diesen Funktionen können Anwender die Daten auf dem Gerät auch remote sichern und auf einem neuen Gerät wiederherstellen. Dazu muss das verloren gegangene Gerät natürlich eine Verbindung zum Internet haben. Auch die Wiederherstellung über das Internet ist auf diesem Weg möglich.
Smartphones und installierte Apps überwachen
Junos Pulse ermöglicht es, Sicherheitsrichtlinien auf Endgeräten durchzusetzen. Natürlich ist es hier nur möglich, diejenigen Funktionen zu nutzen, die die Endgeräte auch zulassen. Vor allem iOS ist hier sehr restriktiv, Android dagegen sehr offen.
Administratoren können auch die Apps steuern, die auf den Endgeräten installiert werden dürfen. Auch kann der Systemverwalter schwarze Listen pflegen und so festlegen, welche Apps Anwender nicht installieren dürfen. Auch die Aktionen des Anwenders bezüglich E-Mail-Verkehr, SMS, MMS, Kontakte und Fotos lassen sich überwachen. Somit hat der Admin immer die Kontrolle darüber, welche Apps auf dem Gerät installiert sind, unabhängig vom eingesetzten System.
Im Rahmen der Überwachung kann der Junos-Client dem Systemverwalter Bescheid geben, wenn der Anwender die SIM im Gerät wechselt. Mit iPhones/iPads ist das nicht möglich.
Fazit
Der Smartphone-Markt ist auf Wachstumskurs. Da aber die Anwender die Geräte nicht nur privat, sondern auch im Unternehmen nutzen, steigen die Gefahren für die Sicherheit mit dem Nutzungsgrad der Smartphones. Aus diesem Grund sollten Administratoren diese Systeme nicht ignorieren, da erhebliche Gefahr besteht, dass über Smartphones Viren ins Netzwerk eingeschleust oder wichtige Unternehmensdaten verloren gehen.
Da es auf diesem Markt hauptsächlich um iOS, Android, BlackBerry, Symbian und Windows Mobile/Phone geht, muss eine Anwendung zum zentralen Verwalten der Smartphones auch alle Systeme unterstützten. Hier fängt allerdings das Problem an: Vor allem Apple ist mit iOS sehr restriktiv und lässt nahezu keine Eingriffe in das Betriebssystem zu. Das ist auf der einen Seite sicher, aber auf der anderen Seite sperrt Apple dadurch Sicherheitsanbieter aus.
Im Falle von Juniper können Sie für iOS-Geräte, also iPhone und iPad, nur die SSL-Funktion nutzen. Windows Mobile 6.0/6.5 ist am Aussterben, und Microsoft bietet mit Windows Phone 7 ein neues System an. Dieses ist noch nicht auf der aktuellen Liste der unterstützten Smartphones von Juniper Pulse Mobile Security zu finden, doch bereits im Herbst soll mit Mango (Windows Phone 7.5) eine aktualisierte Version kommen.
Aktuell lässt sich also festhalten, dass Juniper Pulse Mobile Security vor allem für Android und BlackBerry sowie das alte Windows-Mobile-System optimiert ist. Die Preise der Software liegen bei etwa 2.600 Euro für 50 Benutzer. Die Apps im entsprechenden Store stehen kostenlos zur Verfügung. (cvi)