In den letzten Jahren haben sich die Vorgehensweisen in der Prozessabwicklung der Universitätsverwaltung (UV) stark verändert. Durch den Einsatz von IT wurden papierbasierte Vorgänge zunehmend digitalisiert. Das führte nicht nur in der zentralen Universitätsverwaltung (ZUV) zu einem stärkeren Einsatz von IT-Systemen, sondern auch in der dezentralen Universitätsverwaltung (DUV). Der Zugriff auf diese gemeinsam genutzten Systeme, die einen besonders hohen Schutzbedarf haben, wurde deshalb auch für die DUV eine notwendige Arbeitsgrundlage. Insbesondere die Sicherheitsarchitektur war auf diese verteilte Bearbeitung nicht ausreichend ausgerichtet. Das Projekt „Humboldt gemeinsam“ zur Einführung einer SAP-Systemlandschaft mit dem klaren Ziel, Self Services für nahezu alle Mitarbeitenden anzubieten, verstärkte die Notwendigkeit zum sicheren dezentralen Zugriff auf die Systeme.
Neben der dezentralen digitalen Prozessbearbeitung verstärkte die Pandemie die Notwendigkeit, diese Prozesse zusätzlich mobil zur Verfügung zu stellen. Der Zugriff auf die Systeme musste also nicht nur von außerhalb des besonders geschützten Kernnetzwerkes ermöglicht werden, sondern auch von jedem beliebigen Standort aus, wie beispielsweise dem Home Office. Parallel war ein starker Anstieg der Angriffe auf IT-Systeme zu verzeichnen, der öffentliche Einrichtungen und Unternehmen teilweise für Monate arbeitsunfähig machte und somit eine immer größere Aufmerksamkeit für Schutzmaßnahmen verlangt.
Diese Rahmenbedingungen sorgten für eine große Nachfrage nach mobilen Geräten, nach hoher Sicherheit bei deren Einsatz und einem möglichst umfangreichen Zugriff auf alle Systeme mit hohem Schutzbedarf. Diese Ziele können nur mit einer strategischen Entwicklung mehrerer IT-Systeme der Universität über einen längeren Zeitraum realisiert werden. Der Grund dafür ist, dass alle beteiligten Systeme die erhöhten Sicherheitsanforderungen erfüllen müssen und viele Komponenten (Identitätsmanagement, Zweifaktorauthentifizierung, Netzwerkaufbau, Serverkonfigurationen etc.) entsprechend zusammenwirken. Ist die Sicherheit einer dieser Komponenten nicht gegeben, wird die Sicherheit aller Komponenten beeinflusst.
Die notwendigen mobilen Endgeräte für die oben aufgeführten Szenarien müssen somit besondere Kriterien erfüllen und diese Sicherheit auch bei der Verwendung durch Mitarbeitende ohne IT-Kenntnisse beibehalten. Die Komplexität der Lösung wird durch die nachvollziehbare Forderung nach verschiedenen Endgerätetypen und Betriebssystemvarianten weiter erhöht.
Das Projekt Mobilgeräteverwaltung in der Universitätsverwaltung (MoVe) integriert die wichtigsten Themenschwerpunkte Identitätsmanagement, Netzwerksicherheit und Endgerätehärtung in einem Projektteam. Diese Teams haben unter Beteiligung des IT-Sicherheitsbeauftragten und externer Dienstleister in gemeinsamen Workshops mögliche Konzepte diskutiert und die besten Optionen
zur Umsetzung ausgewählt. Dabei ergaben sich auch Konzeptpfade, die zwar in anderen Szenarien funktionieren, in der IT-Landschaft der Humboldt-Universität aber nicht anwendbar sind. Als besondere Themen standen dabei die Härtung der Geräte mit dem Microsoft-Windows-Betriebssystem und die zentrale Verwaltung der Geräte durch das bisher eingesetzte Softwareverteilungssystem im
Vordergrund. Bedacht werden müssen dabei aber auch die Einbindung des Filesharingdienstes und die sichere Netzwerkanbindung.
Das Projekt wird erst mobile Geräte innerhalb des Verwaltungsnetzes auf Basis des Betriebssystems MS Windows zur Verfügung stellen. Anschließend sollen Geräte mit diesem System auch außerhalb des Verwaltungsnetzes ausgerollt werden. Erst danach werden weitere Plattformen (Android, iOS, MacOS) und deren Einsatz geprüft. Grund für dieses Vorgehen ist, dass für jede weitere Plattform auch ein eigenes Sicherheitskonzept entworfen werden muss.
Als ein Meilenstein wird der erste Proof of Concept (PoC) zur Netzwerkanbindung für das Windows-Betriebssystem angesehen. Dabei wird direkt nach dem Booten und der Aktivierung der Netzwerkkarte eine Verbindung zum VPN-Server aufgebaut. Sollte noch keine Netzwerkverbindung bestehen, wird direkt nach dem Auffinden einer default-Route eine Verbindung zum Windows always on VPN hergestellt. Über eine zweite VPN-Verbindung wird dann die Anmeldung mittels 2FA im Verwaltungsnetz realisiert. Anschließend werden die notwendigen Ressourcen für die Arbeit im Verwaltungsnetz zur Verfügung gestellt. Durch diesen Mechanismus wird eine unkontrollierte und damit unsichere Verbindung in das Internet verhindert.
Mit diesem PoC konnte der Ansatz bestätigt werden, dass der für ein Split Tunneling ausgelegte always on VPN Tunnel des Windows Betriebssystems durch die Änderungen der Routingtabelle wie ein Full Tunneling eingesetzt und ein zweiter Tunnel aufgebaut werden kann. Die nächsten Meilensteine sind die Übertragung dieses Konzeptes auf das produktiv eingesetzte Verwaltungsnetz und das Client Design.
Mit diesen Clients ist dann ein Test mit ersten Nutzergruppen in der ZUV und anschließend ein breiterer Rollout möglich. Weitere Meilensteine sind die Ausweitung auf die DUV und die Einbindung weiterer Gerätetypen und Betriebssysteme.