Suchen

Authentifizierung und Compliance in der mobilen IT Client-Zertifikate fürs Mobile Device Management

Autor / Redakteur: Christof Baumgärtner, MobileIron / Stephan Augsten

Perimeter-Schutzmaßnahmen werden angesichts der zunehmenden Mitarbeiter-Mobilität immer unwirksamer. Die Mechanismen müssen deshalb an den Daten und Dokumenten selbst ansetzen. Eine Lösung besteht in (Client-) Zertifikaten, die eine Authentifizierung und Identifizierung sowie das Signieren ermöglichen.

Firma zum Thema

Digitale Zertifikate vereinfachen die Authentisierung für mobile Mitarbeiter erheblich.
Digitale Zertifikate vereinfachen die Authentisierung für mobile Mitarbeiter erheblich.
(Bild: violetkaipa - Fotolia.com)

Bei nicht zentral verwalteten Smartphones und Tablets ist der Gerätebesitzer von Haus aus mit vielen Rechten ausgestattet. Dies wird insbesondere dann sicherheitskritisch, wenn der Anwender mit dem mobilen Endgerät auf Unternehmensdaten zugreifen kann.

Eine effiziente und sichere Form der Authentifizierung ist bei „nomadisierenden“ Geräten wie Smartphones oder Tablets also dringlicher, als bei eher standorttreuen Geräten wie dem PC. Hier bietet sich eine Zwei-Faktor-Authentifizierung an, also die Frage nach der Identität von Nutzer und Gerät beziehungsweise nach der Berechtigung des Nutzers.

Sehr elegant und nutzertransparent lässt sich eine solche starke Authentifizierung mit Client-Zertifikaten umsetzen; vor allem weil dann das Mobilgerät auch im Unternehmensumfeld genauso gehandhabt werden kann, wie es die Nutzer aus dem privaten Umfeld gewohnt sind.

Zertifikat als Passwort-Träger

In einem Zertifikat steckt ein (geheimer) Schlüssel, der genau für den jeweiligen Benutzer und das jeweilige Gerät erzeugt wurde. Dieser geheime Schlüssel entspricht im Prinzip einem sehr sicheren Passwort, nur dass sich der Nutzer dieses Passwort nicht merken und händisch eingeben muss.

Eine so genannte Public-Key-Infrastruktur (PKI) verbindet den geheimen Schlüssel mit einem weiteren Schlüssel. Letzterer ist zusammen mit seinem Eigentümer in einem öffentlichen Verzeichnis abgelegt. Die Korrektheit wird durch den Betreiber der PKI beglaubigt.

Beide Schlüssel sind als Schlüsselpaar abwechselnd für Verschlüsselung und Entschlüsselung einsetzbar. Der Absender verschlüsselt mit dem öffentlichen Schlüssel des Empfängers, dieser wiederum kann mit seinem privaten Schlüssel die verschlüsselte Nachricht entschlüsseln. Auf die komplexen mathematischen Verfahren dieser asymmetrischen Verschlüsselung gehen wir aus Platzgründen nicht ein.

Die Vertrauenswürdigkeit eines Zertifikats beruht natürlich auf der Seriosität der Instanz, die hierfür bürgt. Da diese Instanz auch wieder zertifiziert werden kann und sollte, entstehen Zertifikatsketten, die idealerweise bei einem Trustcenter als Basiszertifizierungsstelle enden. Deren Root-Zertifikat wird durch die Institution selbst beglaubigt.

Da ein Trustcenter als Garant für das Root-Zertifikat nicht unerhebliche Kosten verursacht, setzen viele Unternehmen auf „leichtgewichtigere“ und preiswertere Zertifizierungsstellen (CAs, Certification Authorities). So enthält das Windows-Betriebssystem seit Windows Server 2003 eine eigene CA, gleiches gibt es im Mobilbereich. So ist beispielsweise das Mobile Device Management-System von MobileIron mit einer eigenen CA ausgestattet.

Zusammenspiel von Certification Authority und MDM-System

Der Aufbau einer PKI gehört in Zeiten der mobilen IT zum Pflichtprogramm. Konnten die Unternehmen zu PC-Zeiten Zertifikate noch von einschlägigen Lieferanten wie Verisign zukaufen, kommen sie heute um Know-how im Zertifikate-Management nicht herum.

Ganz gleich, ob die CA des Mobile Device Management-Systems benutzt wird oder die schon vorhandene unternehmenseigene CA: die digitalen Zertifikate für Tausende oder zuweilen auch zehntausende von mobilen Clients müssen nicht nur erstellt und verteilt, sondern regelmäßig auf ihre Echtheit beziehungsweise zeitliche Gültigkeit geprüft werden,

Gefälschte Zertifikate müssen erkannt und in Widerrufslisten gesammelt werden, auf die dann zu Prüfzwecken zugegriffen wird. Nicht zuletzt hat eine solche Infrastruktur die Zertifizierungshierarchie bis hin zur Basiszertifizierungsstelle (Root CA) klar abzubilden.

Automatische Zertifikatsverwaltung

Im praktischen Unternehmenseinsatz wird eine manuelle Verwaltung von Zertifikaten schnell zu aufwändig. Nach der Erzeugung der Zertifikate durch die Basiszertifizierungsstelle würde bei manueller Verwaltung ein PKCS#12- Container (pfx-Datei) erzeugt und an den Nutzer übermittelt werden.

Für das Lesen der Datei ist aus Sicherheitsgründen ein eigenes Passwort ratsam. Schon dadurch wird der Workflow im Unternehmen empfindlich gestört. Die danach anstehende (händische) Übernahme der Datei in das Mobile Device Management (MDM-System) erhöht noch einmal die Störungsanfälligkeit der Abläufe.

Der Personal- und Zeitaufwand bei einer manuellen Zertifikatsverwaltung dürfte schon bei 50 zu verwaltenden mobilen Endgeräten betriebswirtschaftlich kaum noch sinnvoll sein. Bei mehreren Hundert oder gar Tausenden von Geräten ist auf jeden Fall automatisches Handling angesagt.

Dabei beantragt das MDM-System die Zertifikate – beispielsweise für die Anmeldung am Exchange Server – automatisch über das Simple Certificate Enrollment Protocol (SCEP) bei der CA. Diese werden dann heruntergeladen, innerhalb des automatischen Workflow auf die mobilen Endgeräte ausgerollt und mit Konfigurationen und den Sicherheitsrichtlinien des Unternehmens verknüpft.

Entsprechende Abläufe gelten auch bei der Konfiguration von WLAN (Wi-Fi), VPN oder ActiveSync und sind mittlerweile bei vielen MDM-Anbietern standardmäßig in das Mobile Device Management integriert. Zertifikate-Management ist also weit mehr als das Erzeugen und Ausbringen von Zertifikaten; letztlich geht es um sichere und intuitiv gestaltete Prozesse zur Authentifizierung, zur Verschlüsselung oder zum Aufbau von sicheren Datenübertragungsverbindungen (VPN).

MDM vereinheitlicht das Zertifikate-Handling

„Mobile Device Management“-Systeme haben bei der Vereinheitlichung des Zertifikate-Managements eine wichtige Funktion. Denn die mobilen Betriebssysteme – von Blackberry über iOS und Android bis zu Windows Phone 7 und 8 – sind beim Einsatz und beim Management von Zertifikaten alles andere als homogen.

Ein Mobile Device Management-System sorgt für Ordnung in der Plattformvielfalt, indem es für das Zertifikate-Management als Proxy-Server fungiert, der die erste und einzige Schnittstelle für die CA bildet und das unterschiedliche Funktionsangebot der Betriebssysteme für den Administrator und Benutzer transparent macht.

Über den Autor

Christof Baumgärtner ist Director Zentral- und Osteuropa und Leiter der deutschen MobileIron-Niederlassung in München.

(ID:42275107)