In nur kurzer Zeit hat sich unser Arbeitsleben verändert. Das Aufkommen immer leistungsfähigerer Mobilgeräte hat uns von der Arbeit an unseren Schreibtischen befreit. Unsere internetfähigen Smartphones und Tablets ermöglichen uns eine ständige Verbindung mit dem Netzwerk, sogar wenn wir unterwegs sind. Die Menschen verbringen mittlerweile mehr als die Hälfte ihrer Zeit mit ihren Mobilgeräten. Häufig arbeiten sie dann. Im gleichen Zeitraum sind öffentliche Hotspots aufgekommen. In Coffee Shops, Restaurants, Einkaufszentren, Hotels und Ausstellungshallen sowie in Zügen, an Flughäfen und sogar in Flugzeugen: Es gibt sie überall. Vielbeschäftigte Mitarbeiter sind häufig versucht, öffentliche WLAN-Hotspots zur produktiven Überbrückung von Wartezeiten außerhalb ihres Büros zu nutzen. Dabei bringen sie ihre Geräte – und die ihres Arbeitgebers – unabsichtlich in Gefahr.
Viele beliebte Provider verschlüsseln WLAN-Hotspots nicht automatisch. Es wird angenommen, dass es weltweit über 100.000 ungesicherte öffentliche WLAN-Hotspots gibt. Zu ihrer Sicherheit müssen Unternehmen dafür sorgen, dass ihre Mitarbeiter mobile VPN-Client-Software auf ihren Geräten nutzen.
Arten von Bedrohungen
Offene, ungesicherte öffentliche Hotspots sind ein leichtes Ziel für Cyberkriminelle auf der Suche nach Logins, Passwörtern und anderen Informationen zur Identifizierung von Personen, wie etwa Kreditkarteninformationen, die sie für betrügerische Aktivitäten nutzen können.
Die vier grundlegenden Arten von Hotspot-Bedrohungen sind:
Snooping – Dabei nutzen Hacker ein Tool beispielsweise einen Sniffer zur Sammlung von persönlichen Daten oder vertraulichen Website-Login-Informationen.
Man-in-the-Middle-Angriff – Dabei belauscht der Angreifer die Kommunikation von Nutzern und versucht, persönliche Daten abzufangen oder Transaktionen in Echtzeit auszunutzen.
Malware – Dabei wird Schadsoftware in die Geräte eingeschleust, um Zugriff auf Dateien oder Bilder oder sogar auf Gerätefunktionen, wie etwa das Mikrofon oder die Kamera, zu erhalten.
Fake Networks – Dabei handelt es sich um unberechenbare WLAN-Access-Points, die von Cyberkriminellen in der Nähe eines echten Hotspots eingerichtet werden, um Nutzer zum Aufbau einer Verbindung mit dem „falschen“ Hotspot zu überlisten und so das Gerät der Gefahr auszusetzen, ausgespäht oder angegriffen zu werden.
Basisschutz
Der erste Schritt eines Unternehmens zur Verteidigung gegen Bedrohungen an öffentlichen Hotspots besteht darin sicherzustellen, dass ein VPN und eine Personal Firewall auf jedem mobilen Client installiert sind. VPN-Client-Software verschlüsselt den Datenverkehr zwischen Mobilgerät und Unternehmensnetzwerk, damit dieser geheim bleibt.
Eine Personal Firewall nutzt Stateful-Packet-Inspection-Technologie zum Aufspüren anormaler Datenpakete und zur Abschirmung des Gerätes gegen bösartige Angriffe. Außerdem wird die Kommunikation mit dem Netzwerk an öffentlichen WLAN-Access-Points eingeschränkt, sodass lediglich VPN-Traffic zugelassen wird. Zusammen bieten sie einen Mindestschutz für Unternehmen, deren Mitarbeiter regelmäßig öffentliche WLAN-Hotspots für ihre Arbeit nutzen.
Beantworten Sie die Frage „Ist das Netzwerk sicher oder unsicher?“
Ein wichtiger zweiter Schritt ist die Optimierung des Nutzererlebnisses. Die besten Personal Firewalls sollten automatisch den Unterschied zwischen einem sicheren Netzwerk – etwa das Netzwerk des Unternehmens, des Rechenzentrums oder das sichere WLAN im Home Office – und einem unsicheren öffentlichen Netzwerk erkennen können, das VPN-Verbindungen erforderlich macht (Friendly Net Detection).
Ferner helfen Personal Firewalls zu vermeiden, dass das Unternehmen sich bei der Änderung der Einstellungen auf IT-Laien verlassen muss; das heißt, die Einstellungen müssen nicht jedes Mal manuell geändert werden, wenn sich die Mitarbeiter an einem öffentlichen Ort befinden. Umgekehrt sollten sie keine VPN-Latenzen akzeptieren müssen, wenn sie in einer vollkommen sicheren Umgebung arbeiten. Mit der Funktionalität „Friendly Net Detection“ legt die IT-Abteilung Regeln und Richtlinien zur Anwendung der geeigneten Sicherheitseinstellungen für jeden Netzwerktyp fest.
Verwandeln Sie öffentliche Logins in private Logins
Bei der Nutzung eines öffentlichen WLANs wird der Nutzer normalerweise aufgefordert, ein Browser-Fenster zu öffnen, eine Eingabemaske auszufüllen und den allgemeinen Geschäftsbedingungen des Betreibers zuzustimmen. Richtig konfigurierte Personal Firewalls können ein unsicheres Netzwerk erkennen und automatisch ein bestimmtes Browser-Fenster zum Aufbau einer VPN-Verbindung öffnen, bevor irgendwelche Eindringlinge dazwischenkommen können. Ist für den Hotspot eine Anmeldung des Nutzers via Browser erforderlich, gestattet die Firewall des Clients den Zugriff ausschließlich zu einem einzigen bestimmten Browser. Eine VPN-Verbindung wird aufgebaut und der gesamte übrige Netzwerk-Traffic blockiert.
Führen Sie Sicherheitskontrollen durch
Die grundlegende Sicherheit des Betriebssystems des Mobile-Client sollte kontrolliert und auf Viren geprüft werden, bevor der Netzwerkzugriff gestattet wird. Wird beim Scan etwas Ungewöhnliches entdeckt, schränkt der Client den VPN-Zugriff ein. Ist beispielsweise ein Update des Virenscanners erforderlich, sollte der Client zunächst eine sichere Verbindung mit dem Server für das Virenscanner-Update zum Download des Updates aufbauen, bevor zu etwas anderem übergegangen wird. Wird Malware oder eine andere Bedrohung entdeckt, deaktiviert der mobile Client die VPN-Verbindung sofort und hindert somit die Infektion an der Ausbreitung vom Gerät auf andere Teile des Unternehmensnetzwerks.
Räumen Sie eventuelle Hürden für das native VPN aus dem Weg
In dem Bemühen, Browser in das öffentliche Netzwerk zu zwingen, versuchen einige WLAN-Hotspots, Ports zu blockieren, die von nativen VPN-Protokollen – wie beispielsweise IPsec und L2TP – verwendet werden. Dies lässt sich durch die Verwendung eines VPN, das diesen Blockadeversuch entdeckt und automatisch zwecks Aufbau eines verschlüsselten Tunnels zum Unternehmensnetzwerk zu einer HTTPS-Emulation wechselt, korrigieren. Im Wesentlichen werden damit die Sicherheitsrichtlinien des Unternehmens durch den automatischen Aufbau eines verschlüsselten IPsec-Tunnels mit End-to-End-Verschlüsselung umgesetzt. Eine Mitwirkung des Nutzers ist dabei nicht erforderlich.
Zusammenfassend lässt sich sagen: Selbstverständlich möchten Unternehmen, dass ihre Mitarbeiter die durch Mobiltechnologie mögliche Flexibilität optimal nutzen und die Effizienz steigern, indem sie an öffentlichen Orten weiterarbeiten. Gleichzeitig ist es wichtig, dass die Mitarbeiter sich über die Risiken im Zusammenhang mit der Nutzung öffentlicher WLANs vollständig im Klaren sind, bevor sie versuchen, eine Verbindung mit ihrem Unternehmensnetzwerk über einen öffentlichen Hotspot aufzubauen. Vor einer Anmeldung am Hotspot sollten sie mit dem Vorgang beim Netzwerkzugriff vertraut sein und Netzwerknamen und Zugriffsschritte kontrollieren. Außerdem sollten sie dafür sorgen, dass ihre Personal Firewall aktiviert ist und den Hotspot-Zugriff nur über eine VPN-Verbindung zulässt. Vor allem sollte ihre VPN-Client-Software eine einfache, sichere Anmeldung am Hotspot ermöglichen, einen soliden Endpoint-Schutz bieten und automatisch zu einer HTTPS-Emulation wechseln, sollte der Hotspot versuchen, ein natives VPN-Protokoll zu blockieren.
