Robert Kühn
Computer- und Medienservice, Digitale Medien und Clients

Roland Herbst
Computer- und Medienservice, Digitale Infrastruktur und Betrieb

Innerhalb des MoVe-Projekts wird aktuell ein Modell für den Einsatz von mobilen Arbeitsgeräten entwickelt, das den Zugriff auf das Verwaltungsnetz von außerhalb des HU-Netzes erlaubt. Hierdurch wird auch den Beschäftigten der zentralen Universitätsverwaltung von extern ein Arbeiten mit schutzbedürftigen Daten möglich.

Ausgangslage

Im inneren Verwaltungsnetz werden derzeit ca. 700 Rechner betreut. Diese Geräte werden vom Team Clients mit der Client-Management-Software Baramundi administriert.

Kern der bisherigen Sicherheitsstrategie war es, nur stationären Desktop-Rechnern und Thin Clients¹ Zugang zu diesem Netzsegment zu geben, um die Kompromittierung der IT-Infrastruktur der HU in diesem Bereich zu verhindern und so eine isolierte Umgebung zur Verfügung zu stellen, in der Daten mit erhöhtem Schutzbedarf (z. B. Personaldaten wie Konfession und IBAN) unkompliziert ermöglicht werden.

Da der einzige reguläre Weg in das Verwaltungsnetz hinein momentan eine direkte kabelgebundene Verbindung ist und die Netzlaufwerke nur von verwalteten Rechnern aus erreichbar sein dürfen, ist die externe Verarbeitung von Verwaltungsnetzdaten aktuell noch nicht möglich.

Lösungsansätze

Gefordert ist deshalb ein mobiles Endgerät, das ohne direkten Kontakt zum Internet und unter vollständiger Absicherung und Kontrolle des CMS aus dem Home-Office eine Verbindung zum Verwaltungsnetz und den dort gespeicherten Daten aufbauen kann.

Anspruchsvoll ist hierbei folgende Herausforderung: Wie kann einerseits das Gerät vom Internet isoliert werden (um die Wahrscheinlichkeit einer Kompromittierung des Verwaltungsnetzes so klein wie möglich zu halten)? Wie kann jedoch andererseits durch fremde Netze (z. B. ein Heimnetz) die Verbindung zum Verwaltungsnetz aufgebaut werden? Und wie kann dies einfach, stabil und sicher ablaufen?

Als Lösungsansatz wird die in Windows integrierte Always-on-VPN-Technik² verwendet, die eine IPsec-VPN-Verbindung³ (und damit automatisiert einen sicheren verschlüsselten Datenkanal) in die DMZ des Verwaltungsnetzes aufbaut. Als DMZ (Demilitarisierte Zone) bezeichnet man den Netzwerkbereich zwischen dem HU-Netz und dem Verwaltungsnetz, in dem die Kommunikation zwischen den Netzwerkbereichen unterschiedlichen Schutzbedarfes gesteuert wird. Sobald die IPsec-VPN-Verbindung aufgebaut wurde, werden die Netzwerkverbindungen zum Internet getrennt, um den Computer zu isolieren.

Da beim automatischen Verbindungsaufbau zur DMZ eine herkömmliche Benutzeranmeldung mit Benutzernamen und Passwort nicht möglich ist, authentifiziert sich das MoVe-Notebook mit einem Gerätezertifikat. Ein Zertifikat ist ein spezielles Dokument, welches den durch eine Zertifizierungsinstanz (CA)⁴ digital signierten öffentlichen Schlüssel einer Person oder eines Gerätes enthält. Da der dazugehörige private Schlüssel momentan auf der Festplatte des MoVe-Notebooks gespeichert ist, verwenden diese als weiteres Sicherheitsfeature eine Festplattenverschlüsselung, die von der Benutzer:in beim Startvorgang durch Eingabe einer PIN entschlüsselt wird. Noch während der Entstehung dieses Artikels haben aktuelle Entwicklungen⁵ zu einem Überdenken dieses Konzepts geführt: Der private Schlüssel soll aus diesem Grund künftig im TPM⁶ der MoVe-Notebooks gespeichert werden, die Festplattenverschlüsselung wird zum Schutz der auf dem Laptop ver-arbeiteten Daten beibehalten.

Nach dem Aufbau der IPsec-VPN-Verbindung ist eine Windows-Anmeldung an der Domäne möglich. Und nach dem Login kann die Benutzer:in eine Zwei-Faktor-authentifizierte SSL-VPN-Verbindung⁷ aufbauen, die eine Verbindung in das innere Verwaltungsnetz ermöglicht.

Aktueller Stand

Derzeit befindet sich das MoVe-Projekt bereits im Piloten-Status. Hier werden die eingesetzten Technologien evaluiert und von einer zwei-stelligen Zahl von Benutzer:innen in der zentralen Universitätsverwaltung erprobt. Aus dem Feedback der Anwender:innen kristallisieren sich dann die nächsten Anforderungen heraus. Bisher erweist sich der PoC als stabil und wird vom MoVe-Projekt-Team fortlaufend weiterentwickelt.

Ausblick

Die nächsten Meilensteine des Projektes werden die Erweiterung der formalen Spezifikation des MoVe-Projektes um die zusätzlichen Anforderungen und die Überführung des PoC in die produktive Phase
der Nutzung sein. Die sichere Anbindung der MoVe-Notebooks an die VoIP-Infrastruktur der HU ist eine besondere Herausforderung in diesem Kontext. Hierzu sind noch verschiedene Erweiterungen der bestehenden IT-Infrastruktur des Verwaltungsnetzes erforderlich. Die bisher genutzte CA wird in eine produktive Version migriert. Von diesem Wechsel sind alle VPN-Komponenten und die bislang
eingesetzten Clients betroffen. Nach diesen Umstellungen und Erweiterungen wird das MoVe-Konzept in den geregelten Betrieb überführt.

1. https://edoc.hu-berlin.de/bitstream/handle/18452/7271/hoke.pdf ↩︎
2. https://directaccess.richardhicks.com/always-on-vpn/ ↩︎
3. https://learn.microsoft.com/en-us/windows-server/remote/remote-access/vpn/vpn-device-tunnel-config/ ↩︎
4. https://de.wikipedia.org/wiki/Zertifizierungsstelle_(Digitale_Zertifikate) ↩︎
5. https://learn.microsoft.com/en-us/windows/security/hardware-security/tpm/how-windows-uses-the-tpm ↩︎
6. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20666 ↩︎
7. https://www.forticlient.com/ ↩︎