Praxisbeispiel: Mobile IT mit Zertifikaten verwalten

Zertifikate sind eine wichtige Komponente für die sichere Integration von Smartphones und Tablets in die Firmen-IT. Sie gelten jedoch als sperrig und komplex. Der Versicherungsverbund Continentale macht vor, wie man sie effizient einsetzt.

Zertifikate sind schon lange als Instrument für sichere Kommunikation im digitalen Raum im Einsatz. Sie konnten aber nie die Verbreitung finden, die sie eigentlich verdienen. Zu schwerfällig schienen sie in der Handhabung zu sein – man denke nur an die Kontrolle ihrer Gültigkeit und ihrer Echtheit – und für viele Einsatzfelder auch zu teuer.

Die mobile IT verändert auch hier vieles, denn wenn die Endgeräte immer weniger standorttreu sind, rund um die Welt nomadisieren und oft für eine gemischte privat-geschäftliche Nutzung ausgelegt sind, dann wird die Frage nach der Identität von Nutzer und Gerät noch einmal dringlicher. Das gilt zumindest dann, wenn mit derart “fluiden” Geräten auf verschiedene sensible Unternehmensdaten zugegriffen wird und noch viel mehr, wenn auch privat genutzte Smartphones für einen solchen Zugriff zugelassen sind – also wenn Firmen “Bring Your Own Device” (BYOD) erlauben.

Nick McQuire, Research Director, Mobile Enterprise Strategies bei IDC in Europa (Bild: IDC).
Nick McQuire, Research Director, Mobile Enterprise Strategies bei IDC in Europa (Bild: IDC).

Zertifikate sind sehr gut geeignet, in solchen Szenarien die Identität von Geräten und Nutzern zu beglaubigen und damit eine sichere Kommunikation zu gewährleisten. “Die Bedeutung von Zertifikaten bei der Absicherung und Verwaltung von Smartphones und Tablets kann nicht hoch genug eingeschätzt werden. Wir sehen, dass viele unserer Kunden gerade diesem Funktionselement beim Mobile Device Management Priorität einräumen”, berichtet Nick McQuire, Research Director, Mobile Enterprise Strategies EMEA beim Marktforschungsunternehmen IDC.

Die Priorität, so McQuire, ergebe sich aus der zunehmenden Endgerätevielfalt im mobilen Bereich, der sich die Unternehmen gegenübersähen und der großen Zahl von mobilen Applikationen, die mittlerweile auf den Smartphones und Tablets der Nutzer vorhanden seien und auch intensiv genutzt würden.

Schlanke Prozesse beim Management der Zertifikate

Im Smartphone-Umfeld ist bei der Nutzung von Zertifikaten auf eine besonders schlanke Architektur zu achten, damit die jeweiligen neuen Geräte-Generationen, die in hohem Tempo in den Markt kommen, schnell in das Zertifikate-Management einbezogen werden können. “Die meisten Unternehmen versäumen es, das Zertifikate-Management innerhalb ihres BYOD-Programms als kontinuierlichen Prozess zu gestalten. Das ist aber notwendig, denn der dauernde Modellwechsel verlangt eine ständige Weiterentwicklung des Zertifikate-Handlings”, erklärt Ojas Rege, Vice President Strategy beim Softwareanbieter MobileIron. “Wenn der Prozess zu schwerfällig ist, wird er zu teuer und gerät eventuell auch technologisch ins Hintertreffen, daher sind Geschwindigkeit und Effizient essenziell.”

Ojas Rege, Vice President Strategy bei MobileIron (Bild: Mobile Iron).
Ojas Rege, Vice President Strategy bei MobileIron (Bild: Mobile Iron).

Beim Versicherungsverbund Continentale in Dortmund hat man Anfang des Jahres das Mobile Device Management von MobileIron nicht zuletzt wegen seiner guten Performance bei der Verwaltung von Zertifikaten eingeführt. Das Unternehmen nutzt schon seit einigen Jahren Zertifikate für die Authentifizierung der Mitarbeiter an den Arbeitsplatzrechnern und setzt dazu Smartcards ein, auf denen die zertifikate gespeichert sind.

“Dieses Authentifizierungsverfahren wollten wir auch bei den Smartphones haben”, sagt Jochen Brünger, Leiter Informatik Produktion bei der Continentale. In dem bis Ende 2011 bei dem Versicherungsunternehmen eingesetzten MDM-System ließen sich aber Zertifikate nur händisch verwalten. Das war mehr als mühsam. Nach der Erzeugung durch die Certification Authority (CA), also die Stelle, die die Echtheit und Gültigkeit des jeweiligen Zertifikats gewährleistet, wurde eine pfx-Datei erzeugt, für die ein eigens Passwort notwendig war und die dann in das MDM-System übertragen werden musste.

“Das war alles sehr statisch und dadurch sehr mühsam”, erklärt Brünger. Das neue MDM-System beantragt dagegen automatisch die Zertifikate für die Anmeldung am Exchange Server über das SCEP-Protokoll (Simple Certificate Enrollment Protocol) bei der CA. SCEP ist ein Protokoll zur Abwicklung von Ausgaben von Zertifikaten an Netzwerkeinrichtungen. Insbesondere werden über dieses Protokoll auch Anfragen zur Gültigkeit von Zertifikaten und der Widerruf von Zertifikaten abgewickelt. Die Zertifikate werden heruntergeladen und dann automatisiert mit den Sicherheitsrichtlinien der Continentale verknüpft.

Überwiegend iOS-Geräte im Einsatz

Jochen Brünger, Leiter Informatik Produktion bei der Continentale (Bild: Versicherungsverbund Continentale).
Jochen Brünger, Leiter Informatik Produktion bei der Continentale (Bild: Versicherungsverbund Continentale).

Über das MDM-System von MobileIron werden heute bei der Continentale 170 Mobilgeräte verwaltet, und zwar zu 95 Prozent iOS-Geräte. “Im Innendienst haben wir nur iOS-Geräte, in erster Linie iPhones und auch einige iPads”, sagt Brünger. Nur im Ausschließlichkeitsvertrieb, dessen Mitarbeiter beruflich selbstständig sind, seien für die Synchronisierung der Kontaktdaten und Termine auch Android-Geräte erlaubt, allerdings nur unter Einsatz der Spezial-App Touchdown von Nitrodesk.

“Die iOS-Systeme sind einfach viel weiter als Android, das stark unter der Fragmentierung leidet. Im Gegensatz zu Android sind die neueren iOS-Versionen beispielsweise von vornherein für zertifikat-basierte Anmeldung am Exchange Server ausgelegt”, begründet das Brünger.

In der Tat ist der blinde Fleck der Android-Betriebssysteme beim Schlüssel- und Zertifikatemanagement einer der Gründe dafür, dass das Google-Betriebssystem im vergangenen Jahr zumindest in großen Unternehmen keinen Boden gegen iOS gut machen konnte. Mittlerweile unterstützen aber mehrere Android-Geräte auch Zertifikate. Diese Entwicklung wird sich sicher bis Ende 2012 noch verstärken. Samsung macht beispielsweise auf seinen Modellen Galaxy S II, Galaxy Tab 8.9 / 10.1 und Galaxy Note mithilfe von MobileIron-Technologie den praktikablen Einsatz von Zertifikaten möglich.

Das Mobile Device Management von MobileIron greift dabei über das Samsung Enterprise SDK auf die Schnittstellen der Android-Geräte zu. Auf diesem Weg konnten die Sicherheitseinstellungen verbessert werden und sind vor allem zentral verwaltbar. Neben der Konfiguration von Exchange-Konten mit Zertifikaten können auf den genannten Android-Smartphones jetzt auch Verschlüsselungsregeln eingerichtet und Hardware-Komponenten wie Kamera, WLAN und Bluetooth gesperrt werden.

Die Abwicklung des Anmeldevorgangs ist bei der Continentale erst der Anfang des Einsatzes von Zertifikaten. Als nächste zertifikatsbasierte Mobillösung steht bei dem Versicherungsverbund die VPN-Kommunikation via Cisco AnyConnect an. Und auch das mobile File Management, also das Herunterladen von Dokumenten aus dem Unternehmensnetz auf das iPhone beziehungsweise in erster Linie auf das iPad, ist schon in Vorbereitung. Auch da will man auf Basis von Zertifikaten arbeiten.

Der Markt für Lösungen für Mobile Device Management im Mai 2012 aus Sicht der Analysten von Gartner (Grafik: Gartner).
Der Markt für Lösungen für Mobile Device Management im Mai 2012 aus Sicht der Analysten von Gartner (Grafik: Gartner).