Während die Basisinfrastruktur für die Kommunikation durch die Telekommunikationsanbieter in der Schweiz selbst auch sehr zuverlässig in den öffentlichen Verkehrsmitteln mittels GMS/EDGE respektive UMTS/HSDPA bereitgestellt wird, ist es Aufgabe der Anwender, die erforderliche Access-Infrastruktur bereitzustellen. Wenn es zudem gilt, den Anforderungen an Daten- und Informationsschutz gerecht zu werden, sind jedoch nicht nur DMZ, Firewalls und Anmeldeverfahren in der Access-Infrastruktur zu betrachten, damit ungewollter Abfluss von Informationen (Data Leakage) vermieden werden kann. Die Sicherung der Infrastruktur und der Informationen erfordert vielmehr eine Gesamtbetrachtung, in welche die unterschiedlichen Technologien miteinbezogen werden. Anhand einer strukturierten Betrachtungsweise ist es empfehlenswert, die verschiedenen Aspekte der Sicherung entsprechend der Relevanz zu analysieren und somit auch zu lösen.
Wie in der IT-Sicherheit generell üblich, folgt die Analyse für die Integration mobiler Arbeitsplätze in die Firmeninfrastruktur einem schichtenweisen (Layered) Vorgehen: Einerseits wird ein Grundschutz benötigt, der dem aktuellen State-of-the-Art entspricht, anderseits ein spezifischer Schutz, der den speziellen Eigenheiten der jeweiligen Lösung gerecht wird.
Grundschutz
Heutzutage gehört zum Grundschutz einer Firma zum einen, dass ihre interne Infrastruktur klar vom Remote-Zugang getrennt wird. Dabei kommen klassische Firewalls zum Einsatz, die den Zugang nur auf bestimmte Netzwerkdienste – zum Beispiel zum Remote Desktop, FTP oder E-Mail – ermöglichen. Diese Filterung setzt im sogenannten OSI-Modell (Open Systems Interconnect) auf den Layern 3 (Netzwerk resp. IP) und 4 (Transport resp. ICMP, TCP und UDP) auf und kontrolliert die Quell- und Zieladressen ebenso wie die zugehörigen Ports, auf welchen die Netzwerkdienste auf Anfragen warten. Mittels dieser Filterung kann gesteuert werden, von wo aus auf welche Dienste zugegriffen werden kann. Eine feinere Unterteilung ist jedoch damit nicht möglich, da die entsprechenden Unterscheidungsmerkmale fehlen.
Um die feinere Unterteilung zu erreichen, ist es zum anderen für alle mobilen Arbeitsplätze sehr empfehlenswert, dass der Zugang zum Intranet nur über generell verschlüsselte Kanäle erlaubt wird, die eine vorgängige Benutzeranmeldung (Identifikation und Authentisierung des Benutzers) verlangt. Klassische VPN (Virtual Private Networks) mit vollständiger Verschlüsselung sind hierbei angezeigt, wie sie durch IPsec nach RFC 2401ff und SSL-VPN ermöglicht werden. Beide Protokolle bieten Vor- und Nachteile, die je nach Anwendungsfall beachtet werden müssen. IPsec basiert auf UDP und verlangt somit, dass die entsprechenden Ports auf den Firewalls aktiviert sind. Dabei kommt erschwerend zum Tragen, dass sehr viele Firmen, Restaurants und Bars ausgehende UDP-Verbindungen nicht gestatten oder ihre Firewalls die Fähigkeit nicht beherrschen, mit Änderungen der ausgehenden Adresse umgehen zu können (sog. IPsec NAT Traversal). Vorteilhaft bei IPsec ist jedoch klar die Verfügbarkeit von standardisierten Lösungen, bei welchen Produkte unterschiedlicher Hersteller eingesetzt werden können. Zugleich bietet IPsec Eigenschaften, die dank der Verwendung von UDP denjenigen von IP nahezu entsprechen und somit zu einer grösseren Robustheit der VPN-Verbindung führen.
SSL-VPN als zweiter dominanter Vertreter von sicheren Remote-Zugängen basiert auf dem TCP-Protokoll, das mittels TLS (Transport Layer Security) abgesichert wird. Dabei treten die Vor- und Nachteile von TCP direkt hervor. Ein wesentlicher Vorteil von SSL-VPN-basierten Verbindungen ist die Unabhängigkeit der dem Endgerät zugewiesenen IP-Adresse, indem SSL-VPN im Unterschied zu IPsec nur auf OSI-Layer 4 aufbauen. Auf Server- respektive Firewall-Seite erwartet der SSL-VPN-Server zudem Verbindungsanfragen oftmals auf dem HTTPS-Standard Port 443.
