Die eigenen Endgeräte wie Tablet oder Smartphone im Unternehmen nutzen? Was Berater und IT-Entscheider derzeit unter dem Schlagwort "Bring your own Device" diskutieren, ist für die Hochschule Ansbach keine Frage mehr, sondern gelebte Realität. 2.500 Studenten sowie Professoren und Dozenten wollen mit ihren mobilen Endgeräten auf das Hochschulnetz zugreifen.
Ein einfaches restriktives Nein kam dabei für die Ansbacher nicht in Frage, denn anders als bei einem Wirtschaftsunternehmen oder einer Behörde gilt hier die Freiheit von Forschung und Lehre als oberster Rechtsgrundsatz. Wegen dieser Prämisse sind fein ausgearbeitete Sicherheitskonzepte mit entsprechenden Sicherheits-Policies wenn überhaupt, dann nur sehr schwer durchsetzbar. Zumal sie dem Service-Motto "anywhere, any service, anytime, any device" des Hochschul-Rechenzentrums in Ansbach widersprechen würden.
Die Security Policies
Die Hochschule Ansbach ist eine Fachhochschule für angewandte Wissenschaften. Sie bietet derzeit in zwei Fakultäten - für Allgemein- sowie für Ingenieurwissenschaften - insgesamt dreizehn Bachelor- und Masterstudiengänge an. Die derzeit etwa 2.500 Studenten der beiden Fakultäten finden auf dem Campus eine moderne IT-Infrastruktur mit eigenem Rechenzentrum und einem umfangreichen verkabelten (rund 600 Arbeitsplätze) sowie einem flächendeckenden drahtlosen Netzwerk.
Während in einem Unternehmen meist eine sehr überschaubare Zahl kritischer Anwendungen läuft, gibt es in einer Hochschule keinen "Hauptstrang" wichtiger Anwendungen, die unbedingt laufen müssen - eine Hochschule ist hier sehr breit aufgestellt. Bestimmte Anwendungen einfach "auszusperren" ist somit schwierig beziehungsweise unmöglich.
Auf der anderen Seite sind Hochschulen sehr dynamische Organisationen, in denen spätestens mit Semesterwechsel mehrere hundert Studenten ausscheiden und neue hinzukommen. Und auch während eines Semesters gibt es einen hohen Anteil an Personen, die nur sporadisch auf dem Campus auftauchen. Alle wollen jedoch einen unkomplizierten Zugang zum IT-Netz der Hochschule - und können das auch erwarten.
Die Situation ist also völlig anders als in einem Unternehmen oder einer Amtsstube, in der sich jeden Tag immer wieder mehr oder weniger die gleichen Personen ins IT-Netz einloggen. Für (angemeldete und wohl bekannte) Gäste und Besucher haben Unternehmen oft einen speziellen Gast-Zugang eingerichtet, der die heute üblichen Kommunikationsbedürfnisse abdeckt, der aber säuberlich von Produktivnetz des Unternehmens getrennt ist (oder dies zumindest sein sollte).
Das Anforderungsprofil
All dies macht die Sicherheitssituation für die IT einer Hochschule gravierend anders und schwieriger als bei anderen Organisationen. "Hinzu kommt eine zunehmende Flut von Laptops und Netbooks und Smartphones, mit denen sich Professoren, Dozenten und Studenten per WLAN unabhängig von einem kabelgebundenen Netzwerkanschluss von überall auf dem Campus in unsere IT einloggen", so Reiner Schmidt, Leiter des Rechenzentrums an der Hochschule Ansbach.
"Das ist im Grunde mit die größte Herausforderung, denn anders als bei den fest installierten Arbeitsplätzen war es mit dem schnell wachsenden Heer größtenteils privater mobiler Geräte schier unmöglich, dort überall eine saubere Konfiguration gemäß unserer Sicherheitsstandards zu garantieren". Auch wenn es wegen des erwähnten Freiheitsgrundsatzes keine administrativen Zugangsbeschränkungen geben darf - die Einhaltung bestimmter Sicherheitsregeln ist dennoch Pflicht und muss es auch sein. "Der einfachste Fall ist beispielsweise der Schutz vor Viren, Trojanern und sonstiger Malware", erklärt Schmidt.
Eine Aufgabe, die für das IT-Team eine hohe Priorität hat. Ohne Kontrolle über die Endgeräte der Benutzer gerät diese jedoch schnell zur Sysiphus-Arbeit, da niemand sagen kann, ob das Gerät, das sich gerade im Netz tummelt, nicht völlig von Viren verseucht ist und möglicherweise unliebsame Malware-Spuren hinterlässt. "Ich werde nie vergessen, wie beklagt wurde, dass ein Endgerät nach der Rückkehr von einem Urlaubssemesters äußerst langsam geworden war", erzählt Schmidt aus der Praxis, "als wir uns das Gerät näher ansahen, entdeckten wir nicht weniger als 1783 Viren!"
Saubere Konfiguration
Zu einer "sauberen" Konfiguration gehören jedoch noch andere Dinge: Ziel ist es, eine von der Hochschule als sicher eingestufte Firewall auf dem Endgerät und die aktuellen Patches und Service-Packs des Microsoft Windows Betriebssystems vorzuschreiben, die Einstellungen von Browser sowie anderen Schlüsselapplikationen müssen den Vorgaben der Hochschule entsprechen. Die Hochschule selbst fördert die Nutzung von mobilen Geräten.
Neben einem hauseigenen Notebook-Labor werden auch mobile Geräte an Studenten verliehen. "Hier haben wir noch eine gewisse Kontrolle über die Sicherheitskonfigurationen der Geräte", so Schmidt. Allerdings bringen die Studenten zunehmend ihre eigenen Geräte mit und nutzen sie vor allem in der Bibliothek und im Wohnheim. Spätestens hier hat die IT-Abteilung keinerlei Einfluss mehr darauf, welche Software auf den Geräten das Uni-Netz nutzt.
Access sicher im Griff
Auf der Suche nach einem geeigneten Werkzeug für eine entsprechende Netzwerkzugangskontrolle hat die IT-Abteilung der Hochschule Ansbach etliche NAC-Lösungen (NAC = Network Access Control) untersucht. "Wir haben uns dann für den Infoexpress CyberGatekeeper von Alcatel-Lucent entschieden", erklärt Schmidt. "weil es die einzige Software war, die unsere Anforderungen rund herum abdeckt." Die Sicherheitslösung sorgt für Compliance am Endpunkt, also auf dem Gerät, das sich ins Netzwerk einloggen möchte. Für den CyberGatekeeper sprach auch, dass er grundsätzlich mit der Netzausrüstung jedes Herstellers läuft und so keine Änderungen erforderlich sind.
"Für uns kam nur eine Lösung in Frage, die auf den allgemein üblichen Netzwerkstandards basiert", so Schmidt. Ein wichtiger Punkt war auch die Anpassbarkeit hinsichtlich bestimmter Software-Produkte, die auf dem Hochschulnetz im Einsatz sind. "Für den Check einiger Software-Pakete wollten wir individuelle Anpassungen entwickeln", erklärt Schmidt. Neben einer ganzen Reihe von kritischen Anwendungen spielt für die Hochschule die Erkennung von Skype eine große Rolle.
Schließlich wollte man in Ansbach vermeiden, dass das eigene Netz lahm gelegt wird, weil es von Skype als Master-Knoten genutzt wird. Skype macht einen Kommunikationsserver, wie Schmidt erklärt, in Abhängigkeit bestimmter Nutzungshäufigkeiten und Übertragungsmengen zum Master-Knoten. Ein Schritt, der durchaus zur Verweigerung aller anderen Kommunikationsdienste, dem gefürchteten Denial-of-Service, führen kann. So kennt IT-Leiter Schmidt Institutionen, die sich deswegen einen ganzen Monat vom Netz abkoppeln mussten - nur, um den Status als Masterknoten wieder los zu werden.
Für die IT-Mannschaft in Ansbach ein Schreckensszenario, denn die Hochschule ist auf die ständige Verfügbarkeit ihrer IT rund um die Uhr an sieben Tagen die Woche angewiesen - nicht nur wegen der weltweit zerstreuten Studenten. Schließlich sind sämtliche Verwaltungsverfahren der Hochschule online abgebildet, weshalb eine hohe Verfügbarkeit unabdingbar ist.
Implementierung
Die Anpassung der Lösung an bestimmte Software-Produkte erfolgt dabei über Standard-APIs, was den Arbeitsaufwand deutlich verringert. "Hinzu kommen noch die Funktion eines Inventur-Agenten und die Möglichkeit, Scans auf Geräten auch ohne Vorhandensein eines Agenten ausführen zu können", beschreibt Schmidt weiter. Die Implementierung des CyberGatekeepers selbst übernahm die HOB GmbH & Co. KG, ein IT-Dienstleister aus der Nähe von Nürnberg/Fürth.
Mit HOB will sich die Hochschule auch an künftige Projekte wagen. Im Fokus hat die IT-Abteilung dabei die Smartphones - denn immer mehr Studenten wollen solche Geräte für bestimmte Aufgaben im Hochschulnetz nutzen. (hi)