„Bring Your Own Device“: Fremdgeräte im Netz

Kommentieren Drucken

Unter dem Schlagwort Bring Your Own Device (BYOD) hat die Anforderung zur Nutzung privater bzw. fremder Endgeräte im Unternehmensnetz seit geraumer Zeit einen erheblichen Wirbel verursacht. Dabei ging es in zunächst um Externe (z.B. Consultants), denen die Erlaubnis erteilt werden soll, sich an das LAN oder WLAN einer Institution anzuschließen und einen strikt kontrollierten und eingeschränkten Zugang zu Infrastrukturressourcen zu erhalten, oder um Externe (z.B. Gäste), denen ein Internet-Zugang über LAN oder WLAN der Institution bereitgestellt werden soll.

Geht man einen Schritt weiter, landet man jedoch automatisch bei den eigenen Mitarbeitern, denen man ebenso erlauben könnte, ihre privaten Geräte in einem gewissen Umfang in der Infrastruktur zu nutzen. Dahinter stecken natürlich auch wirtschaftliche Erwägungen. Die Idee könnte sein, dass Mitarbeiter künftig einen gewissen zusätzlichen Geldbetrag im Jahr erhalten und sich dafür selbst um die Anschaffung und Wartung eines Notebooks kümmern müssten. Dieses Notebook ist dann zwar für die dienstliche Nutzung vorgesehen, darf aber auch privat genutzt werden. Dann würde dem Mitarbeiter jedoch kein konventioneller Arbeitsplatz-PC mehr gestellt werden.

Für die dienstliche Nutzung des privaten bzw. externen PCs werden natürlich konsequent Server-based Computing und Desktop Virtualisierung mit zentral im Rechenzentrum bereitgestellten virtuellen Desktops vorgesehen. Das Endgerät des Mitarbeiters/Externen mutiert also praktisch zum Thin Client mit ausgesprochen eingeschränkten Rechten. Anwendungen und Desktops werden zentral vorgehalten und administriert.

Das ist doch offensichtlich sicher und spart Betriebskosten. Ein angenehmer Seiteneffekt wäre außerdem eine Einsparung bei der Abteilung, die bisher für Aufbau, Wartung und Abbau von PCs zuständig war.

Nur, was ist mit Multifunktionsdruckern und IP-Telefonen, die ihrerseits immer mehr zu Fat Clients werden? Außerdem wird auch auf längere Sicht der traditionelle Fat Client auf dem Schreibtisch nicht schnell genug verdrängen lassen. Des Weiteren ist die strikte netztechnische Trennung von Clients und Servern im Intranet durch den Einsatz von Firewall-Techniken längst nicht überall in ausreichender Form umgesetzt.

Mit dem Anschluss eines Fremdgeräts an das LAN sind also auch künftig die klassischen Risiken verbunden, die sich am besten mit folgendem Szenario verdeutlichen lassen: Ein auf das Schlimmste mit Malware verseuchtes Fremdgerät wird an das LAN angeschlossen und versucht alle erreichbaren Systeme zu kompromittieren.

Damit Spreu von Weizen getrennt werden kann, ist die zwingende Konsequenz von BYOD eine mandantenfähige LAN-Infrastruktur.

Während man im WLAN eine solche Mandantenfähigkeit durch das Controller-basierte WLAN-Design mit Leichtigkeit implementieren kann, sind im kabelbasierten LAN im Campus-Bereich spezifische, durchaus komplexe Techniken erforderlich. Eine typische Vorgehensweise ist hier die Unterteilung des Netzes in einen internen und in einen externen (unsicheren) Bereich und die Nutzung von Virtual Routing and Forwarding (VRF) zur logischen Trennung beider Gruppen auf Layer 3. Die Zuordnung eines Geräts zum internen oder externen Bereich kann dann mit den Mitteln einer Netzugangskontrolle (IEEE 802.1X) erfolgen.

Das Konzept, BYOD über WLAN zu realisieren, kann sofort auf die Integration von Smartphones und Tablets (insbesondere iPhones und iPads) übertragen werden. Wenn z.B. für iPads (unabhängig, ob eigene Geräte oder private Geräte) eine Nutzung der eigenen WLAN-Infrastruktur gewünscht wird, werden die iPads wie Fremdgeräte behandelt und erhalten im einfachsten Fall nach entsprechender Authentisierung einen Internetzugang über den in gewohnter Weise auch der abgesicherte Zugriff auf interne Ressourcen realisiert werden kann.

zugeordnete Kategorien: IT-Sicherheit, LAN, Web-Techniken
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.