single.php
< Beitrag von Benjamin Raulf

Zero Trust mit MobileIron – auch mobil auf der sicheren Seite

Das Sicherheitskonzept Zero Trust fordert die Verschlüsselung des gesamten Datenverkehrs und die strikte Kontrolle jedes Zugriffs auf Ressourcen. Wie unterstützt MobileIron das Zero-Trust-Konzept im Hinblick auf den sicheren Einsatz mobiler Endgeräte?

Das Sicherheitskonzept von gestern sah so aus: Alle Geräte, Dienste und Nutzer innerhalb des eigenen Netzwerkes galten per se als vertrauenswürdig, jeder Zugriff von außen dagegen als potenziell gefährlich. Folglich überwachte und sicherte die IT auch nur die externen Zugriffe auf das interne System. Dieses Konzept hat einen entscheidenden Nachteil: Wer Zugang zum internen Netzwerk hat, kann dort relativ frei schalten und walten. Dies gilt sowohl für externe Angreifer, denen es gelungen ist, die Schutzmechanismen zu überwinden, wie auch für interne User, die sich riskant verhalten oder gar böse Absichten hegen.

Es gibt einen weiteren Grund, warum dieses alte Sicherheitskonzept nicht mehr zuverlässig funktioniert: Mittlerweile hat sich die Arbeitswelt verändert. Früher arbeiteten die meisten Beschäftigten im Unternehmen vor Ort und wenn ausnahmsweise Mal nicht, dann mussten sie ihre Daten nachträglich ins Unternehmensnetzwerk einpflegen. Hierdurch waren alle Daten immer im Unternehmen auf lokalen Speichermedien gesichert. Beides ist heute nicht mehr gegeben: Statt im Unternehmen arbeiten die Beschäftigten in viel stärkerem Maße mobil und greifen von außen auf das interne Netzwerk zu. Außerdem nutzen immer mehr Firmen Cloud-Dienste und speichern ihre Daten nicht mehr lokal im Unternehmen.

Was bedeutet Zero Trust?

Das neue Sicherheitskonzept funktioniert nach der Devise „Zero Trust“ und basiert auf diesem Prinzip: Kein Anwender – und auch kein Gerät oder Dienst – ist vertrauenswürdig. Und zwar unabhängig davon, ob er innerhalb oder außerhalb des Netzwerks agiert. Daraus folgt, dass jeglicher Datenverkehr verschlüsselt und jeder Zugriff auf Ressourcen durch Sicherheitsmaßnahmen geschützt werden muss.

„Zero Trust!“ Das klingt erst mal nicht besonders freundlich. Aber es bedeutet nicht, dass der einzelne Anwender oder Mitarbeiter persönlich unzuverlässig ist, sondern nur, dass seine Zugangsdaten nicht unbedingt vertrauenswürdig sind. Ich möchte dies an einem Beispiel näher erläutern.

Der erfolgreiche Vertriebler Max Müller reist viel und gerne mit dem Zug zu seinen Kunden in ganz Deutschland. Während seiner Bahnfahrten erledigt er seine Geschäfte mobil auf seinem Notebook. Dabei nutzt er einen CRM-Dienst, der in der Cloud liegt. Leider bemerkt er auf seiner letzten Dienstreise nicht, dass eine fremde Person auf sein Notebook schaut. Während Max die URL aufruft und seine Daten einträgt, notiert sich die Person hinter ihm seine Zugangsdaten und kann jetzt jederzeit auf den CRM-Dienst mit den Benutzerdaten von Max zugreifen. So zuverlässig und loyal Max selber arbeitet, so korrupt sind seine Zugangsdaten. Das Beispiel zeigt, wie notwendig es ist, niemals zu vertrauen und immer zu prüfen!

Wie funktioniert Zero Trust mit MobileIron?

Zero Trust mit MobileIron

Um das Zero-Trust-Sicherheitskonzept für mobile Endgeräte umzusetzen, bietet MobileIron die optimale Kombination von UEM-Lösung, MobileIron Threat Defense und MobileIron Access für 3 unterschiedliche Sicherheitsfaktoren: die Geräte, die Dienste und die Anwender.

Geräte: UEM & MobileIron Threat Defense

Die UEM-Lösung von MobileIron bietet sich an, um den Sicherheitsanforderungen von Zero Trust auf mobilen Endgeräten gerecht zu werden. Wenn Sie die Geräte mit MobileIron verwalten, können Sie Ihre Sicherheitskonfigurationen und -richtlinien anwenden und – in Kombination mit MobileIron Threat Defense – die Geräte auch vor DNAP-Angriffen schützen (DNAP = Device, Network, Apps, Phising).

Dienste: MobileIron Access

Der Zugriff auf interne wie auch auf externe Dienste lässt sich mit MobileIron Access steuern und absichern.

Anwender: Single-Sign-On mit Zertifikat oder Multifaktor-App

Wie unser Beispiel von Max Müller zeigt, sind Benutzername und Kennwort nicht wirklich sicher. Stattdessen können Sie Single-Sign-On mit Zertifikaten nutzen. Hierzu müssen die entsprechenden Zertifikate auf die Endgeräte übertragen werden. Diese Lösung sichert sehr gut den Umgang mit verwalteten Endgeräten ab.

Bei nicht gemanagten Devices sieht die Welt jedoch wieder anders aus. Hier bietet sich der Einsatz einer Multifaktor-App an. Bei der Anmeldung an seine Anwendung muss der User dann neben seinem Namen und Kennwort noch einen Token eintragen. Dies erhöht zwar die Sicherheit, geht allerdings auf Kosten der Usability.

Die Alternative: Zero-Sign-On von MobileIron

Zero-Sign-On überprüft jedes Mal die Identität des Benutzers, der auf einen Dienst zugreift, ohne dass der Mitarbeiter einen Benutzernamen oder ein Kennwort eintragen muss. Der Mitarbeiter benötigt nur sein mobiles Endgerät, das durch MobileIron verwaltet wird und als ID fungiert. Das funktioniert so:

  1. Der Mitarbeiter möchte von einem nicht verwalteten Endgerät auf einen Cloud-Dienst zugreifen.
  2. Der Cloud-Dienst leitet die Anfrage an MobileIron Access weiter. MobileIron Access erkennt, dass es sich um ein nicht verwaltetes Endgerät handelt und sendet einen QR-Code mit einer eindeutigen Session ID.
  3. Der Mitarbeiter öffnet die MobileIron UEM-App und scannt den QR- Code.
  4. Die UEM-App sendet die vom QR-Code eingelesenen Informationen zu MobileIron Access.
  5. Der Benutzer wird autorisiert auf den Cloud-Dienst zuzugreifen.
Zero Trust mit MobileIron: managed & unmanaged Devices

Eine Zero-Passwort-Anmeldung funktioniert mittlerweile sowohl bei gemangten als auch bei nicht gemangten Endgeräten. Dies bringt nicht nur eine enorme Verbesserung der User Experience und der Unternehmensproduktivität, sondern schließt auch eine der größten Sicherheitslücken in Ihrem Unternehmen: den Einsatz von Kennwörtern.

Folgen
X

Folgen

E-mail : *
Kategorie: IT- & Data-Security, Unified Communication | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.