COVID-19 veranlasst die Behörden, Alternativen zu VPNs zu untersuchen, und erhöht den Bedarf an BYOD-Unterstützung

 

Noch vor einem Jahr, sogar vor einem Monat, arbeitete nur ein Teil der Bundesbediensteten und Auftragnehmer als Telearbeiter. Jetzt, mitten in der Coronavirus-Pandemie, gibt es eine Verfügung den US Office of Management and Budget (OMB M:2016), Telearbeit zu maximieren, um die Behörden arbeitsfähig zu halten und alle Bediensteten und Auftragnehmer, die von zu Hause aus arbeiten können, dazu zu ermutigen. Dies stellt eine Herausforderung für die Sicherheit und den Zugang dar, welche die Behörden schnell lösen müssen. MobileIron bietet für Behörden zugelassene Lösungen an, die im Folgenden näher erläutert werden und bei einigen Behörden bereits im Einsatz sind.

 

Die große Veränderung

Die rasche Eskalation der Zahl der Beschäftigten, die an die Netze der US-Bundesbehörden angeschlossen sind, erfolgte drastisch und fast über Nacht.Einige dieser Beschäftigten waren für Telearbeit vorgesehen, zumindest gelegentlich oder in Ausnahmefällen.Aber bei den meisten Bundesbehörden konnten höchstens 20 % der Beschäftigten von zu Hause aus eine Verbindung herstellen, selbst bei längeren wetterbedingten Schließungen. In einigen Behörden versuchen nun 80 % oder mehr der Beschäftigten, von zu Hause aus zu arbeiten, und mit der OMB-Verfügung wird dieser Anteil noch zunehmen und auf absehbare Zeit hoch bleiben. Für viele Benutzer gab es keine Planungen, ihnen offiziell Telearbeit zu ermöglichen. Sie verfügen weder über von den Behörden zur Verfügung gestellte Geräte noch über angemessene Kenntnisse, wie man eine Verbindung mit Netzwerken, Anwendungen und Ressourcen der Bundesbehörden herstellt, wie man sich dort anmeldet und auf diese zugreift. Sie verwenden eigene Geräte, beispielsweise Smartphones, Tablets und (häufig) ältere, weniger gut gewartete Laptops und Desktops mit veralteten Betriebssystemen und veraltetem Virenschutz (oder gar keinem Virenschutz). 

Der Tsunami der Verbindungen von privaten Geräten der Benutzer zu den Netzen der US-Bundesbehörden hat dazu geführt, dass einige Zugangs- und Sicherheitsrichtlinien gelockert und andere umgangen wurden. Selbst wenn die Benutzer über ein etabliertes virtuelles privates Netzwerk (VPN) auf ein Behördennetzwerk zugreifen, können diese VPNs weder das Traffic-Volumen bewältigen noch zusätzliche Sicherheitskontrollen für selbst mitgebrachte Geräte (BYOD) und mobile Geräte im Allgemeinen bieten. 

Durch die Zunahme der Telearbeiter und der Netzwerkverbindungen hat sich die Angriffsfläche vergrößert, und US-Bundesbehörden und Beschäftigte sind jetzt mehr denn je gefährdet. Diese nicht eingeplanten privaten Geräte verfügen möglicherweise nicht über geeignete Authentifizierungsmöglichkeiten, und viele verwenden weder Multi-Faktor-Anmeldeinformationen noch genehmigte abgeleitete Anmeldeinformationen. Identitätsbetrug und Phishing-Angriffe, um Authentifizierungsdaten (insbesondere Benutzer-IDs und Passwörter) zu erbeuten und zu missbrauchen, der Einsatz von Schadsoftware und ausgeklügelte, allgegenwärtige Bedrohungen nehmen zu. Diese Bedrohungen werden aufgrund der zunehmenden Zahl von Beschäftigten, die von zu Hause aus arbeiten, immer wahrscheinlicher, insbesondere wenn diese weniger Erfahrung mit Sicherheitsprozessen und -technologie haben. In den letzten Tagen haben wir landesweit Angriffe gegen das US-Gesundheitsministerium erlebt, um Desinformationen zu verbreiten und Angst und Unsicherheit in der Bevölkerung der USA zu verstärken. Wir rechnen auch mit einer Zunahme von Denial-of-Service (DoS), Man-in-the-Middle (MITM) und Brute-Force-Angriffen auf Zugangsportale zur Basisauthentifizierung.

 

Die Herausforderung

US-Bundesbehörden versuchen, ihre Netzwerke und IT-Ressourcen zu schützen, indem sie unter anderem von den Benutzern die Verwendung eines VPN verlangen. Es gibt zwar mehrere verschiedene Arten von VPNs - beispielsweise Fernzugriff, Site-to-Site, Layer 3 Multiprotocol Label Switching (L3MPLS), Dynamic Multipoint VPN (DMVPN) und mehr - aber sie alle sollen die End-to-End-Kommunikation verschlüsseln und absichern und haben einige gemeinsame Einschränkungen. Fast alle VPNs können in verschiedenen Modi betrieben werden, z. B. können für das gesamte Gerät, immer oder auf Anforderung aktiv oder nur für eine bestimmte Anwendung verfügbar sein. Der Modus „pro Anwendung“ wird nur dann initiiert, wenn die konfigurierte Anwendung gestartet wird, und nur der Traffic dieser Anwendung wird über den verschlüsselten Tunnel übertragen. Daher wird die Batterie langsamer entladen als bei einem ständig aktiven VPN, allerdings wird nur ein bestimmter Teil des Datenverkehrs geschützt. Für Telearbeiter ist ein VPN für den Fernzugriff am besten geeignet. Herkömmliche VPNs in Unternehmensnetzwerken sind teuer, kompliziert und zeitaufwändig in der Implementierung. Sie sind an der Grenze des Unternehmensnetzwerks platziert, erlauben nur eine begrenzte Zahl zulässiger gleichzeitiger Verbindungen und sind an Lizenzschlüssel gebunden. Die Konfiguration und Implementierung der Endpunkte dieser VPNs bedeuten einen erheblichen Zeit- und Arbeitsaufwand für die Netzwerkadministratoren.

Darüber hinaus sind VPN-Lizenzen teuer und häufig nicht dynamisch erweiterbar, um einem dramatischen Anstieg der Anzahl der Benutzer und der Nutzungsstunden pro Tag zu kompensieren. Viele US-Bundesbehörden verlassen sich weiterhin auf solche traditionellen VPNs für Unternehmensnetzwerke. Die IT-Modernisierungsbemühungen der US-Bundesbehörden haben dazu geführt, dass einige Behörden eine anwendungsspezifische VPN-Lösung eingeführt haben, die eine viel feinere Kontrolle der Ausgangs- und Endpunkte des VPN-Tunnels, eine stärkere Verschlüsselung und zusätzliche Funktionen bietet. Damit erhöhen sich jedoch auch die benötigte Bandbreite, die Lizenzkosten und die Komplexität für die Netzwerkadministratoren, welche die erforderliche Wartung und die Upgrades bereitstellen, die VPN-Gateways konfigurieren sowie die Verschlüsselung und die erforderlichen Zertifikate verwalten müssen.

In fast allen Fällen wurden diese VPNs nicht für mobile Geräte oder den Datenverkehr mit mobilen Geräten konzipiert. Unternehmens-VPNs sind nicht in der Lage, Sicherheitsrichtlinien auf einem Mobilgerät durchzusetzen oder die Konformität eines Mobilgeräts mit festgelegten Basisanforderungen zu prüfen. 

 

Was wir anbieten, was anders und effektiver ist:

Die Lösung von MobileIron nutzt eine integrierte VPN-Komponente, den sogenannten Tunnel, mit dem nativen Betriebssystem MobileIron Unified Endpoint Management zur Absicherung der gespeicherten Daten und zur Durchsetzung von Cyber-Sicherheitsrichtlinien, die den konformen Zustand des Geräts überprüfen, bevor die Anwendung gestartet und Zugriff eingeräumt wird. MobileIron kann feststellen, ob ein Gerät durch Jailbreak gefährdet ist, das Betriebssystem aktuell ist, sich das Gerät in einem autorisierten (oder nicht autorisierten/öffentlichen) WLAN befindet, ob die Anwendung genehmigt ist, aus einem vertrauenswürdigen App-Store stammt und ob das Gerät derzeit durch eine Lösung zur Abwehr mobiler Bedrohungen geschützt ist, welche Bedrohungen durch Schadsoftware und Apps erkennt und behebt. Darüber hinaus bietet MobileIron eine stärkere Multi-Faktor-Authentifizierung und prüft den Gesamtkontext für den Benutzer, das Gerät und die Anmeldeinformationen; alle diese Aspekte werden Bestandteil der Zero-Sign-On-Zugangskontrolle. 

Mit MobileIron Tunnel können Behörden jeder Produktions-App (auch hauseigenen Apps und Apps von Drittanbietern) Zugriff auf Ressourcen im Unternehmens-Netzwerk oder Intranet über eine sichere Netzwerkverbindung gestatten. App-spezifische VPNs können über jedes Netzwerk, auch Mobilfunknetze, eingerichtet werden, damit die Daten der US-Bundesbehörden stets sicher sind. MobileIron Tunnel verhindert mit dem modernen, rückgekoppelten Compliance-Modul von MobileIron, dass nicht konforme Geräte Zugriff auf sensitive Behördendaten erhalten.

Darüber hinaus verbessert MobileIron Tunnel signifikant das Benutzererlebnis durch Definition von App-VPN-Verbindungen, die entweder permanent oder nach Bedarf genutzt werden können, ohne dass der Benutzer weitere Eingaben tätigen muss. Private Apps und Apps mit Schadsoftware werden blockiert und nur zulässige Daten über MobileIron Tunnel übertragen. Dadurch sind der Schutz der Behördendaten und der privaten Daten des Benutzers besser gewährleistet. 

Im Oktober 2019 erklärte Branko Bokan von der Cybersecurity and Infrastructure Security Agency (CISA), einer Komponente des DHS: „Um einen maximalen Schutz gegen mobile Bedrohungen zu gewährleisten, müssen Unternehmen die Funktionen Enterprise Mobility Management (EMM), Mobile Threat Defense (MTD) und Mobile App Vetting (MAV) als integrierte Lösung und nicht als Einzelprodukte einsetzen.” 

MobileIron ist eine ganzheitliche, voll funktionsfähige Lösung mit einer innovativen Cyber-Sicherheitsplattform für Geräte unter iOS, Android, MacOS und Win10, die EMM-, MTD- und MAV-Funktionen in einer einzigen, mobilgerätezentrierten, vertrauenswürdigen Sicherheitslösung kombiniert. Mit diesem Ansatz sichern sich Behörden die vollständige Kontrolle über die Behördendaten, die über Geräte, Anwendungen, Netzwerke und Cloud-Dienste übertragen werden.

Mit dem Inkrafttreten der Maßnahmen zur COVID-19-Eindämmung hat sich der Bereitstellungsbedarf für solche Funktionen stark entwickelt. Wenn Sie mehr dazu erfahren möchten, klicken Sie bitte hier, um weitere Informationen von einem MobileIron-Vertreter zu erhalten.

 

Bill Harrod

Bill Harrod

Federal CTO, MobileIron

About the author

Bill Harrod is the Federal CTO at MobileIron. He is an accomplished information security executive and cybersecurity professional with experience managing cybersecurity risk and designing and delivering security solutions to federal agencies and Fortune 500 companies. He is an expert on Federal Identity, Credential and Access Management Architecture (FICAM). Previously, he served as a senior manager at Deloitte and senior principal consultant at CA Technologies.