Gastbeitrag
16.05.2019, 08:00 Uhr
Sicherheit geht vor
Zutrittskontrolle und Zeiterfassung finden nicht mehr nur am Werkstor, sondern auch im Aussendienst statt – sei es im Lastwagen, auf der Baustelle oder beim Patientenbesuch.
Mit mobilen Zeiterfassungssystemen sparen Firmen Zeit und Geld und steigern die Zufriedenheit ihrer Mitarbeiter. Wichtig ist ein hochwertiges Sicherheitskonzept
(Quelle: Shutterstock/Sashkin, GaudiLab)
Doch Unternehmen sollten wissen, wie sie mobile Lösungen sicher und effizient an das Firmennetzwerk koppeln.
Mobile Zeiterfassungssysteme gehen inzwischen weit über die reinen Zeitbuchungen von «Kommen » und «Gehen» hinaus. Dabei wird das Mobiltelefon folglich nicht nur zum Terminalersatz, sondern erlaubt neben der Eingabe von Fehlgründen auch einen sogenannten Employee-Self-Service. In diesem Rahmen informiert beispielsweise ein Kurzjournal den Mitarbeiter jederzeit über seine Kontostände und die letzten Buchungen. Mitarbeiter können von unterwegs Fehlzeiten nachtragen oder Anträge auf Urlaub oder Freizeitausgleich stellen. Die Vorgesetzten können auf derselben Ebene reagieren und auf mobilem Weg eine Genehmigung erteilen. Auf diese Weise können Unternehmen letztlich Zeit und Geld sparen.
Wann ist ein System sicher?
Die Anforderung, in einer sicheren Art und Weise über ein unsicheres Netzwerk wie das Internet zu kommunizieren, betrifft nicht nur die mobile Zeitwirtschaft. Bei der Nutzung von Laptops von ausserhalb, beim Online-Einkauf und beim Online-Banking wickeln wir alle heute Transaktionen ab, bei denen es nicht nur um sensible Daten, sondern unter Umständen auch um viel Geld geht.
Prinzipiell gibt es drei Möglichkeiten, wie eine solche Kommunikation abgesichert werden kann. Man unterscheidet hierbei zwischen einem Virtual Private Network (VPN), der serverzertifikatsbasierten Kommunikation und der clientzertifikatsbasierten Kommunikation. So sind VPNs beispielsweise bei vielen Unternehmen im Einsatz, um etwa Laptops von ausserhalb den sicheren Zugang in das Firmennetzwerk zu gewähren. Den Nachteil haben viele von uns schon erlebt: Man muss immer zuerst den VPN-Tunnel aufbauen, bevor man die Applikationen nutzen kann. Die serverzertifikatsbasierte Kommunikation wird zum Beispiel beim Online-Banking genutzt. Bei vielen Firmen kommt diese Technik auch schon auf normalen Internetseiten zum Einsatz. Die clientzertifikatsbasierte Kommunikation ist aus Kostengründen eher unüblich. Den optimalen Kompromiss zwischen Sicherheit und Komfort schafft die serverzertifikatsbasierte Kommunikation.
Daten per VPN übermitteln
Ein Virtual Private Network (VPN) wird zwischen dem Mobiltelefon und dem Unternehmensnetz gespannt. Das ist dann so, als ob sich das Mobiltelefon innerhalb des sicheren Unternehmensnetzes befindet. Der Datenverkehr wird vom Mobiltelefon über einen VPN-Tunnel verschlüsselt ins Firmennetz übertragen. Diese Art der Absicherung macht vor allem zwischen den Standorten von Unternehmen Sinn, bei denen nicht jedes Endgerät einzeln gesichert werden soll. Dabei kommen auf beiden Seiten der Netze sogenannte VPN-Gateways zum Einsatz, die den gesamten Verkehr zwischen den Standorten verschlüsseln und übertragen. Steht im Unternehmen bereits ein VPN-Gateway, so kann dieses genutzt werden. Häufig sind auch schon mobile Endgeräte mit einem VPN-Client ausgestattet. Der Benutzer loggt sich einmal auf dem Laptop ein und startet dann den VPN-Client durch Eingabe von Benutzername und Passwort. So ist eine sichere Kommunikation möglich – für alle Applikationen, die auf dem Laptop genutzt werden.
Zertifikatsbasierte Kommunikation
Jeder, der online einkauft oder Home-Banking nutzt, kommuniziert über die serverzertifikatsbasierte Kommunikation. Alle Daten, die mit einer HTTPS-Seite ausgetauscht werden, werden über eine verschlüsselte Verbindung übertragen. Entweder über «Transport Layer Security» (TLS) oder seinen Vorgänger «Secure Sockets Layer» (SSL). HTTPSVerbindungen werden durch ein kleines Vorhängeschloss in der Adresszeile des Browsers symbolisiert oder einfach durch das «s» nach «http» bei der Adresse der Seite. Damit ist sichergestellt, dass niemand den Datenverkehr mitlesen kann – dank guter Verschlüsselung.
Bei der Vergabe und Prüfung von Zertifikaten stellt sich die Frage: Mit wem tausche ich denn hier Daten aus? Ist es wirklich die Hausbank oder beispielsweise ein mobiles Zeiterfassungssystem, wie es unter anderem der deutsche Spezialist für Zutrittskontrolle und Zeiterfassung Interflex Datensysteme GmbH anbietet? Dreh-und Angelpunkt der Kommunikation sind «Signierte Zertifikate» oder «Öffentliche Zertifikate». Diese werden von einer «Root CA» – CA steht dabei für Certification Authority – gegen eine Gebühr ausgestellt. In dem digitalen Zertifikat stehen Informationen, die den Anbieter identifizieren. Dazu gehört eine einzigartige algorithmische Signatur. Diese Signatur bestätigt, dass man mit dem Adressaten spricht, mit dem man auch wirklich sprechen will. Der Vorteil für den Benutzer ist, dass dieses Verfahren im Hintergrund abläuft. Er muss nichts tun oder bestätigen. Der Benutzer identifiziert sich mit seinem Benutzernamen und Passwort (PIN) gegenüber der jeweiligen Anwendung.
Gestaltung der Netzwerktopologie
Hat man einen Webserver mit einem gültigen, signierten Zertifikat aufgesetzt, stellt sich die Frage, wer darf von wo darauf zugreifen. Hierzu empfiehlt es sich, einen entsprechenden Server in die DMZ, die Demilitarisierte Zone, zu stellen. Eine DMZ ist vom eigentlichen Firmennetz durch eine entsprechend konfigurierte Firewall geschützt.
Während normalerweise Kommunikation nur von innerhalb eines Firmennetzes nach aussen initiiert werden kann, weil Anfragen von aussen als Angriffe gewertet und abgeblockt werden, nimmt ein Server in einer DMZ auch externe Anfragen an. Experten raten übrigens zum Einsatz zweier Firewalls. Die eine befindet sich vor dem DMZ-Server, die zweite hinter dem DMZ-Server vor dem eigentlichen Firmennetz. Die eingesetzten Firewall-Appliances sollten nach Möglichkeit von jeweils unterschiedlichen Herstellern sein, um eventuelle Schwachstellen ausgleichen zu können.
Verbindung mit mobiler Zeiterfassung
Um einen mobilen Zeiterfassungsservice sicher und komfortabel ohne VPN nutzen zu können, muss ein Betreiber je nach System beispielsweise Folgendes tun: Auf dem DMZ-Server wird ein IIS-Webserver von Microsoft Internet Information Services installiert und mit einem gültigen signierten Serverzertifikat versehen.
Bei Nutzung des mobilen Zeiterfassungssystems wird hier das Frontend installiert. Dieses kommuniziert nach intern mit dem Applikationsserver über Webservices über die Ports 6040, 6041 oder 6042. Nach extern wird der Port 443 genutzt. Die Benutzer sind in der jeweiligen Anwendung angelegt und können sich einloggen, als ob sie sich innerhalb des Firmennetzes befinden würden. Die Sicherheit der Verbindung wird dabei durch HTTPS (Authentifizierung und Verschlüsselung) gewährleistet.
Bewährter Ansatz
Dieses Konzept ist sicher und wird von vielen Firmen weltweit eingesetzt. Damit kann der Abteilungsleiter von unterwegs Anträge seiner Mitarbeiter genehmigen, während er im Taxi zum Flughafen sitzt. Der Schutz sensibler Daten wird dabei nicht nur durch die Beschränkungen der Firewall gewährleistet, sondern auch dadurch, dass zum Beispiel der DMZ-Server zwei Netzwerkadapter besitzt. Die Kommunikation nach extern und intern findet über unterschiedliche Ports mit verschiedenen Protokollen statt. Dieser Protokollbruch erhöht nochmals die Sicherheit. Es wird keine direkte Verbindung hergestellt.
Der Autor
Andreas Anton Bloom ist Leiter des Produktmanagements bei der Interflex Datensysteme.
www.interflex.de
www.interflex.de