-
Die
Erfindung betrifft ein Verfahren zum Verarbeiten von elektronischen
Daten sowie ein Mobilfunkzugangspunkt.
-
Hintergrund der Erfindung
-
Sowohl
bei der privaten Kommunikation als auch im gewerblichen Anwendungsbereich
verschwindet der Unterschied zwischen Mobiltelefonen und Personalcomputern
zunehmend. Die Konvergenz dieser Technologien hat insbesondere Auswirkungen
auf Organisationsstrukturen von Unternehmen. Zunehmend werden mobile
Geräte
in Unternehmen eingesetzt und ersetzen bereits teilweise stationäre Computer.
Mobile Geräte
wie beispielsweise Mobiltelefone (Handys), persönliche digitale Assistenten
(PDAs) und Laptops mit UMTS-Karten (UMTS – „Universal Mobile Telecommunications
System") oder mit
eingebautem HSDPA-Modul (sogenanntes „HSDPA onboard", HSDPA – „High Speed Downlink
Packet Access")
sind mittlerweile mit einer hohen Bandbreite mit dem Internet verbunden,
beispielsweise über
GPRS („General
Packet Radio Service",
allgemeiner paketorientierter Funkdienst), EDGE („Enhanced
Data Rates for GSM Evolution"), UMTS,
HSDPA und dergleichen. Dies ermöglicht
die Nutzung von Diensten, die man bisher nur über Kabel-gestützte Anbindungen
nutzen konnte, über Funkverbindungen.
-
So
entsteht eine Vernetzungssituation mit dem Internet, die von den
Unternehmen eigentlich nicht erwünscht
ist. Schließlich
wurden von zahlreichen Unternehmen in Technologien und Systemen investiert,
welche das Internet-Nutzungsverhalten ihrer Mitarbeiter regeln sollen.
Derartige Technologien umfassen Anwendungsschicht-Gateways, Firewalls, Viren-Scanner,
Angriffs-Erkennungs/Abwehr-Systeme (Intrusion-Detection/Prevention-Systeme),
und dergleichen, welche Perimeter-Sicherheitsvorrichtungen darstellen
und dazu dienen, den Datenaustausch zwischen einem privaten Netz
oder Firmennetz des Unternehmens und einem öffentlichen Netz, insbesondere
dem Internet, zu steuern.
-
Diese
Systeme/Investitionen werden gegenwärtig durch die mobilen Geräte, welche
aufgrund ihrer Verbindung über
ein Mobilfunknetz mit dem Internet als eine Art mobile Internet-Gateways agieren, vollständig ausgehebelt,
da sämtliche
Daten, die man über
diese kabellosen Verbindungen austauscht, an den Perimeter-Sicherheitsvorrichtungen vorbei
ins Internet und/oder von dort ins Unternehmen transportiert werden.
-
Derzeit
sind häufig
insbesondere Laptops sowohl über
das Ethernet mit dem Firmennetz verbunden als auch über ein
Mobilfunknetz mit dem Internet. Diese unterschiedlichen Verbindungen
müssen
nicht zwingend zeitgleich aufgebaut sein, wobei auch diese Situation
vermehrt auftritt, seitdem sich Benutzer an die alltägliche Nutzung
ihrer UMTS-Karten im Laptop gewöhnt
haben. Hierdurch entsteht einerseits ein Lücke in der IT-Sicherheit eines
Unternehmens, da Viren, Würmer
und andere Schädlinge an
den Perimeter-Sicherheitsvorrichtungen des Unternehmens vorbei in
das Netz eingeführt
werden können.
-
Andererseits
werden durch die neuen Technologien den Mitarbeitern eines Unternehmens
auch Freiheiten gegeben, die eigentlich unerwünscht sind. Wurden beispielsweise
Anwendungsschicht-Gateways eingerichtet, um Mitarbeiter davon abzuhalten, sich
während
der Arbeitszeit Onlineforen zu widmen, Internet Protokoll-Telefonie
zu nutzen, sich in Tauschbörsen
Musikdateien herunterzuladen oder durch ähnliche Aktivitäten wertvolle
Arbeitszeit zu vergeuden, so gibt man durch den Einsatz mobiler Technologien
die Kontrolle wieder vollständig
ab und gefährdet
dadurch die Geschäftsprozesse.
-
Die Erfindung
-
Es
ist daher Aufgabe der Erfindung, ein Verfahren und eine Vorrichtung
vorzusehen, mittels derer die Integrität und Datensicherheit in einem
privaten Netz auch bei Nutzung von Funkverbindungen gewährleistet
wird.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren zum Verarbeiten von elektronischen Daten gelöst, wobei
das Verfahren die folgenden Schritte umfaßt: Erfassen von elektronischen
Daten, welche von einer Mobilfunkeinheit über eine Funkverbindung ausgehen
und an einen Empfänger
außerhalb
eines privaten Netzes adressiert sind, durch einen Mobilfunkzugangspunkt;
Zuordnen der elektronischen Daten zu dem privaten Netz; und Übertragen der
elektronischen Daten an das private Netz.
-
In
einem weiteren Aspekt der Erfindung ist ein Mobilfunkzugangspunkt
vorgesehen, welcher konfiguriert ist, von einer Mobilfunkeinheit
ausgesendete und an einen Empfänger
außerhalb
eines privaten Netzes adressierte elektronische Daten zu empfangen,
einer Zuordnungseinheit, welche konfiguriert ist, die elektronischen
Daten dem privaten Netz zuzuordnen, und einer Übertragungseinheit, welche
konfiguriert ist, die elektronischen Daten an das private Netz zu
senden.
-
Bei
der Mobilfunkeinheit kann es sich um jedes mobilfunkfähiges Gerät handeln,
mittels welcher eine Funkverbindung zu einem Mobilfunkzugangspunkt
aufgebaut werden kann. Somit sind beispielsweise auch Laptops oder üblicherweise
stationäre Rechner
dann als Mobilfunkeinheiten in diesem Sinne aufzufassen, wenn sie
für das
Bilden einer derartigen Funkverbindung konfiguriert sind, zum Beispiel indem
sie mit einer Funkkarte ausgestattet sind.
-
Die
Erfindung basiert auf den Gedanken, Daten, welche durch eine mobile
Schnittstelle und möglicherweise
unter Umgehung von Kontrollinstanzen des privaten Netzes aus dem
privaten Netz heraus gesendet werden, aufzufangen und wieder in
das private Netz einzuführen.
Von dort aus kann mit den Daten nach belieben oder entsprechend
einer vorgegebenen Routine umgegangen werden. Bei dem privaten Netz
kann es sich beispielsweise um ein Firmennetz handeln. Ein Unternehmen,
welches das Firmennetz betreibt, hat dann die Möglichkeit, die durch Mitarbeiter
mittels Mobilfunkgeräten
ausgesendeten Daten, beispielsweise private Daten, firmeninterne Informationen,
Anfragen und ähnliche,
zu überprüfen und
sie gegebenenfalls durch die vorgesehenen Kontrollinstanzen und
Perimeter-Sicherheitsvorrichtungen an das vom jeweiligen Mitarbeiter
gewünschte
Ziel zu senden.
-
Das
Zuordnen der elektronischen Daten zu dem privaten Netz kann auf
unterschiedliche Weisen erfolgen. Beispielsweise kann vorgesehen
sein, daß sämtliche
in Frage kommenden Mobilfunkeinheiten, zum Beispiel alle von Mitarbeitern
eines Unternehmens in das Unternehmen gebrachten mobilfunkfähigen Geräte, zunächst registriert
werden, und mittels einer mit dem Mobilfunkzugangspunkt verbundenen Speichereinheit
eine Zuordnungstabelle aufgestellt wird. Anhand dieser Zuordnungstabelle,
welche als Eintragungen vorzugsweise Geräte- oder Nutzerkennungen (IMSI – „International
Mobile Subscriber Identity",
EMEI – „International
Mobile Equipment Identity")
umfasst, kann dann die Zuordnung erfolgen. Alternativ kann die genaue örtliche
Position der Mobilfunkeinheit ermittelt werden, wobei die Zuordnung
dann erfolgt, wenn die ermittelte Position in einem zuvor definierten
Bereich fällt,
welcher einem Firmengelände
entspricht.
-
Eine
vorteilhafte Weiterbildung der Erfindung sieht vor, daß die elektronischen
Daten durch ein den Mobilfunkzugangspunkt umfassendes Mobilvermittlungsnetz
an das private Netz übertragen
werden.
-
Eine
bevorzugte Ausführungsform
der Erfindung sieht vor, daß die
elektronischen Daten über
ein öffentliches
Netz an das private Netz übertragen
werden. Beispielsweise kann es sich bei dem öffentlichen Netz um das Internet
handeln. Dies hat den Vorteil, daß bereits bestehende Netzwerkverbindungen für die Übertragung
genutzt werden können.
Alternativ können
zusätzliche
kabelbasierte Verbindungen oder drahtlose Funkverbindungen zwischen
dem Mobilfunkzugangspunkt und dem privaten Netz für die Übertragung
hergestellt werden.
-
Eine
zweckmäßige Fortbildung
der Erfindung sieht vor, daß die
elektronischen Daten vor dem Übertragen
an das private Netz verschlüsselt
werden. Hierdurch wird sichergestellt, daß die elektronischen Daten
auf sicherem Wege in das private Netz übertragen werden, so daß der Betreiber
des privaten Netzes, beispielsweise ein Unternehmen mit einem Firmennetz, überprüfen kann,
ob die elektronischen Daten vertrauliche Informationen umfassen, ehe
diese einer Öffentlichkeit
bekannt werden können.
-
Eine
vorteilhafte Ausführungsform
der Erfindung sieht vor, daß zwischen
dem Mobilfunkzugangspunkt und dem privaten Netz ein virtuelles privates
Netzwerk eingerichtet wird und daß die elektronischen Daten über das
virtuelle private Netzwerk an das private Netz übertragen werden. Vorzugsweise wird
das virtuelle private Netzwerk mittels einer konstanten Verbindung
zwischen Endpunkteinheiten hergestellt.
-
Vorzugsweise
sieht eine Weiterbildung der Erfindung sieht vor, daß die elektronischen
Daten in Echtzeit an das private Netz übertragen werden. Bei paketbasierter Übertragung
werden somit aus den elektronischen Daten gebildete Datenpakete
in einer Reihenfolge übertragen,
welche dem Erfassen der elektronischen Daten durch den Mobilfunkzugangspunkt
entspricht.
-
Eine
zweckmäßige Fortbildung
der Erfindung sieht vor, daß nach
dem Übertragen
der elektronischen Daten an das private Netz, die elektronischen
Daten überprüft und an
den Empfänger
außerhalb
des privaten Netzes weitergeleitet werden, an den sie adressiert
sind, wobei von dem Empfänger als
Reaktion auf die elektronischen Daten erzeugte elektronische Antwortdaten
in dem privaten Netz erfaßt
und an den Mobilfunkzugangspunkt weitergeleitet und von dort über die
Funkverbindung an die Mobilfunkeinheit weitergeleitet werden.
-
Vorzugsweise
erfolgt das Übertragen
der elektronischen Antwortdaten an die Mobilfunkeinheit derart,
daß bei
einem Benutzer der Mobilfunkeinheit den Eindruck erweckt wird, daß eine direkte
Datenübertragung
zwischen der Mobilfunkeinheit und dem Empfänger stattgefunden hat, ohne
einen Umweg über
das private Netz.
-
Beschreibung von bevorzugten
Ausführungsbeispielen
-
Die
Erfindung wird im Folgenden anhand von Ausführungsbeispielen unter Bezugnahme
auf Figuren einer Zeichnung näher
erläutert.
Hierbei zeigen:
-
1 eine
Anordnung für
eine Kommunikation von Komponenten eines Firmennetzes mit einem Mobilnetz
und einem öffentlichen
Netz; und
-
2 eine
Anordnung für
eine Kommunikation von Komponenten eines Firmennetzes mit einem Mobilnetz
und einem öffentlichen
Netz, wobei zusätzliche
Endpunkteinheiten vorgesehen sind.
-
Die 1 zeigt
ein privates Netz 1 mit einem Bussystem 3, an
welches mehrere stationäre
Arbeitsplatzrechner 5 über
Busverbindungen 31 angeschlossen sind. Mittels einer Netzverbindung 23 ist das
Bussystem 3 an ein öffentliches
Netz 21, beispielsweise dem Internet, angeschlossen. Die
Kommunikation zwischen dem Bussystem 3 und dem öffentlichen
Netz 21 erfolgt über
einen Protokollumsetzer oder ein Gateway 9, welches unterschiedliche
Sicherheitsmodule 11 umfaßt. Diese Sicherheitsmodule 11 können unter
anderem ein Application-Layer-Gateway oder Anwendungsschicht-Gateway,
ein Virus-Scanner,
eine Firewall oder dergleichen sein. Sie dienen dazu, über die
Netzverbindung 23 ausgetauschte Daten zu überprüfen und/oder
den Datenaustausch zu steuern und zu kontrollieren.
-
In
der 1 sind ferner Mobilfunkeinheiten 7 dargestellt.
Die Mobilfunkeinheiten 7 sind über Funkverbindungen 13 mit
einem Mobilfunkzugangspunkt 17 eines Mobilfunknetzes verbunden.
Der Mobilfunkzugangspunkt 17, auch als „Access Point" (APN) bezeichnet,
erhält
von den Mobilfunkeinheiten 7 ausgesendete elektronische
Daten über
ein Mobilvermittlungsnetz 15. Diese von den Mobilfunkeinheiten 7 ausgesendeten
elektronischen Daten werden mittels des Mobilfunkzugangspunktes 17 verarbeitet
und weitervermittelt, indem sie über
das Mobilvermittlungsnetz 15 an einen gewünschten
Empfänger (nicht dargestellt)
weitergeleitet werden. Wenn der gewünschte Empfänger über das öffentliche Netz 21 erreichbar
ist, so werden die Daten über
eine weitere Netzverbindung 19 an das öffentliche Netz 21 übertragen.
-
Zwar
können
die Mobilfunkeinheiten 7 wie die Arbeitsplatzrechner 5 über Busverbindungen 31 mit
dem Bussystem 3 verbunden sein, beispielsweise bei Laptops
mittels Ethernet-Karten, so daß ein Datenaustausch
mit dem öffentlichen
Netz 21 lediglich über
das Gateway 9 erfolgen kann. Jedoch bietet die Funkverbindung 13 einem
Nutzer die Möglichkeit, mittels
der Mobilfunkeinheiten 7 das Gateway 9 zu umgehen.
-
Der
in der 2 dargestellte Mobilfunkzugangspunkt 17 ist
zusätzlich
zu der Anordnung in 1 mit einer ersten Endpunkteinheit 25 und über diese
mit der weiteren Netzwerkverbindung 19 verbunden. Eine
zweite Endpunkteinheit 27 ist in dem privaten Netz 1 angeordnet
und mittels einer Endpunktverbindung 29 mit dem Gateway 9 des
privaten Netzes 1 verbunden. Bei den Endpunkteinheiten 25, 27 handelt
es sich um Komponenten zum Bilden von virtuellen privaten Netzwerken
(„Virtual
Private Network” – VPN).
Zwischen den Endpunkteinheiten 25, 27 wird ein
derartiges virtuelles privates Netzwerk gebildet, vorzugsweise mit
einer Verschlüsselung,
um eine konstante und in höchstem
Maße sichere
Verbindung zwischen den Endpunkteinheiten 25, 27 zu gewährleisten.
-
Nachdem
die von einem der Mobilfunkeinheiten 7 über die Funkverbindung 13 gesendeten
Daten von dem Mobilfunkzugangspunkt 17 erfaßt werden,
werden sie dem privaten Netz 1 zugeordnet und über die
Verbindung zwischen den Endpunkteinheiten 25, 27 an
die zweite Endpunkteinheiten 27 in dem privaten Netz 1 gesendet.
Wenn es sich bei dem privaten Netz 1 beispielsweise um
ein Firmennetz handelt, so werden auf diese Weise die Daten in dem
Firmennetz wieder „freigelassen", damit sie die Perimeter-Sicherheit
des Unternehmens auf ihrem Weg zum eigentlichen Ziel, dem gewünschten
Empfänger
der Daten, passieren müssen.
-
Anschließend kann,
beispielsweise durch entsprechende Routing-Einträge festgelegt, bestimmt werden,
wie weiterhin mit den Daten verfahren werden soll. Beispielsweise
können
die Daten nach einer Überprüfung an
den gewünschten
Empfänger
außerhalb
des privaten Netzes weitervermittelt werden, wenn sich bei der Überprüfung herausstellt,
daß die
Datenübermittlung
zulässig
ist. Wird hingegen ein Versuch festgestellt, Daten unzulässigerweise über die
Funkverbindung 13 zu senden, so kann eine hierfür zuständige Person
benachrichtigt und/oder der Bediener der entsprechenden, die Daten
aussendenden Mobilfunkeinheit 7 verwarnt werden.
-
Handelte
es sich bei den an den gewünschten
Empfänger
außerhalb
des privaten Netzes weitervermittelten elektronischen Daten beispielsweise um
Befehls- oder Funktionsdaten, welche einer Anfrage entsprechen,
so werden diese vorzugsweise vor dem Weitervermitteln derart umschrieben,
daß von
dem Empfänger
als Reaktion hierauf erzeugte Antwortdaten wieder an der zweiten
Endpunkteinheit 27 eintreffen und nicht von dem Empfänger direkt
an die Mobilfunkeinheit 7 gesendet werden. Die Antwortdaten
können
dann in dem privaten Netz verarbeitet und gegebenenfalls überprüft werden,
bevor sie über
die Verbindung zwischen den Endpunkteinheiten 25, 27 an
die erste Endpunkteinheiten 25 des Mobilfunkzugangspunktes 17 weitervermittelt
werden. Von hier aus werden die Antwortdaten schließlich über die
Funkverbindung 13 an die Mobilfunkeinheit 7 gesendet.
-
Das
vorliegend beschriebene Verfahren bietet eine Reihe von Vorteilen.
Zum einen können
sowohl Daten, welche von den Mobilfunkeinheiten 7 ausgesendet
werden, als auch solche, die von den Arbeitsplatzrechnern 5 stammen,
zentral durch ein einzelnes Gateway 9 geprüft werden.
Es existiert hierdurch eine zentrale Konfiguration für mobile
und stationäre
Geräte,
wobei keine zusätzliche
Komplexität
und somit kein zusätzlicher
Arbeitsaufwand notwendig ist. Aus diesem Grund sind auch keine weiteren
Investitionen nötig.
Statt dessen können
für die Sicherheitsvorrichtungen
bestehende Lösungen
weiterhin ohne Modifikationen genutzt werden. Ferner muß zum Schutz
der mobilen Geräte
keine zusätzliche
Software auf diesen aufgebracht werden.
-
Darüber hinaus
bestehen keine grundsätzlichen
Restriktionen in der Unterstützung,
indem beispielsweise nur Produkte bestimmter Firmen verwendet werden
könnten.
Jedes Unternehmen, welches das Verfahren nutzen will, kann die Produkte
seines Vertrauens verwenden und muß sich nicht auf Hersteller
festlegen, die spezifische mobile Sicherheitslösungen anbieten. Die Kontrolle über den
Datenverkehr, die durch das Aufkommen mobiler Geräte verloren
ging, wird auf diese Weise zurück
erlangt.
-
Die
in der vorstehenden Beschreibung, den Ansprüchen und der Zeichnung offenbarten
Merkmale der Erfindung können
sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung
der Erfindung in ihren verschiedenen Ausführungsformen von Bedeutung
sein.
-
- 1
- privates
Netz
- 3
- Bussystem
- 5
- Arbeitsplatzrechner
- 7
- Mobilfunkeinheit
- 9
- Gateway
- 11
- Sicherheitsmodule
- 13
- Funkverbindung
- 15
- Mobilvermittlungsnetz
- 17
- Mobilfunkzugangspunkt
- 19
- weitere
Netzverbindung
- 21
- öffentliches
Netz
- 23
- Netzverbindung
- 25
- erste
Endpunkteinheit
- 27
- zweite
Endpunkteinheit
- 29
- Endpunktverbindung
- 31
- Busverbindung