Die rasante Entwicklung der tragbaren Elektronik, insbesondere von Smartphones und Tablets, hat die Informationssicherheit von Unternehmen vor zahlreiche neue Herausforderungen gestellt. Wenn frĂŒher die gesamte Cybersicherheit auf der Schaffung eines sicheren Perimeters und dessen anschlieĂendem Schutz beruhte, ist es jetzt, da fast jeder Mitarbeiter seine eigenen mobilen GerĂ€te zur Lösung von Arbeitsproblemen verwendet, sehr schwierig geworden, den Sicherheitsperimeter zu kontrollieren. Dies gilt insbesondere fĂŒr groĂe Unternehmen, in denen jeder Mitarbeiter einen Benutzernamen und ein Kennwort aus E-Mail und anderen Unternehmensressourcen hat. Beim Kauf eines neuen Smartphones oder Tablets gibt ein Mitarbeiter des Unternehmens hĂ€ufig seine Anmeldeinformationen ein und vergisst hĂ€ufig, sich auf dem alten GerĂ€t abzumelden. Selbst wenn nur 5% dieser verantwortungslosen Mitarbeiter im Unternehmen sind, ohne dass der Administrator dies ordnungsgemÀà kontrolliert, wird die Situation beim Zugriff mobiler GerĂ€te auf den Mailserver sehr schnell zu einem echten Chaos.
DarĂŒber hinaus gehen mobile GerĂ€te hĂ€ufig verloren oder werden gestohlen und anschlieĂend zur Suche nach kompromittierenden Informationen sowie zum Zugriff auf Unternehmensressourcen und Daten verwendet, die ein GeschĂ€ftsgeheimnis darstellen. In der Regel ist die Cybersicherheit von Unternehmen am schĂ€dlichsten, wenn ein Angreifer Zugriff auf die E-Mails eines Mitarbeiters erhĂ€lt. Dank dessen können sie auf die globale Liste der Adressen und Kontakte, den Zeitplan der Besprechungen, an denen der unglĂŒckliche Mitarbeiter teilnehmen sollte, sowie auf seine Korrespondenz zugreifen. DarĂŒber hinaus können Angreifer, die Zugriff auf Unternehmenspost erhalten, Phishing- oder Malware-infizierte Nachrichten von einer vertrauenswĂŒrdigen E-Mail-Adresse senden. All dies zusammen bietet Angreifern praktisch unbegrenzte Möglichkeiten, Cyberangriffe durchzufĂŒhren und Social Engineering einzusetzen, um ihre Ziele zu erreichen.
Zur Ăberwachung der im Sicherheitsbereich enthaltenen MobilgerĂ€te gibt es die ABQ-Technologie oder Zulassen / Blockieren / QuarantĂ€ne. Der Administrator kann die Liste der MobilgerĂ€te steuern, die Daten mit dem Mailserver synchronisieren dĂŒrfen, und bei Bedarf gefĂ€hrdete GerĂ€te blockieren und verdĂ€chtige MobilgerĂ€te unter QuarantĂ€ne stellen.
Wie jedoch jeder Administrator der kostenlosen Version der Open-Source Edition der Zimbra Collaboration Suite weiĂ, ist die Interaktion mit mobilen GerĂ€ten sehr begrenzt. Genau genommen können Benutzer der kostenlosen Version von Zimbra E-Mails nur mit dem POP3- oder IMAP-Protokoll empfangen und senden, ohne die integrierte FĂ€higkeit zu haben, Daten aus Tagebuch, AdressbĂŒchern und Notizen mit dem Server zu synchronisieren. Nicht in der kostenlosen Version der Zimbra Collaboration Suite und der ABQ-Technologie implementiert, die automatisch alle Versuche beendet, einen geschlossenen Informationsumfang im Unternehmen zu erstellen. Unter den Bedingungen, unter denen der Administrator nicht weiĂ, welche GerĂ€te mit seinem Server verbunden sind, können im Unternehmen Informationslecks auftreten, und die Wahrscheinlichkeit eines Cyberangriffs gemÀà dem oben beschriebenen Szenario steigt stark an.
Die modulare Erweiterung von Zextras Mobile hilft bei der Lösung dieses Problems in der Open-Source-Edition der Zimbra Collaboration Suite. Mit dieser Erweiterung können Sie der kostenlosen Version von Zimbra die volle UnterstĂŒtzung fĂŒr das ActiveSync-Protokoll hinzufĂŒgen. Dank dieser Erweiterung eröffnen sich zahlreiche Möglichkeiten fĂŒr die Interaktion zwischen MobilgerĂ€ten und Ihrem Mailserver. Neben anderen Funktionen bietet die Erweiterung Zextras Mobile volle UnterstĂŒtzung fĂŒr ABQ.
Wir werden Sie sofort warnen, dass Sie das Problem der Einrichtung mit gröĂter Sorgfalt und Vorsicht angehen mĂŒssen, da ein falsch konfigurierter ABQ dazu fĂŒhren kann, dass einige Benutzer Daten auf ihren MobilgerĂ€ten nicht mit dem Server synchronisieren können. Die Konfiguration von ABQ erfolgt ĂŒber die Zextras-Befehlszeile. In der Befehlszeile wird der ABQ-Betriebsmodus in Zimbra konfiguriert und GerĂ€telisten werden ebenfalls verwaltet.
Es wird wie folgt implementiert: Nachdem sich ein Benutzer auf einem mobilen GerĂ€t bei Unternehmensmail angemeldet hat, sendet er Autorisierungsdaten an den Server sowie die Anmeldeinformationen seines GerĂ€ts, die auf ein Hindernis in Form von ABQ stoĂen, das die Anmeldeinformationen scannt und mit diesen vergleicht die auf der Liste der zulĂ€ssigen, unter QuarantĂ€ne gestellten und blockierten GerĂ€te stehen. Befindet sich das GerĂ€t nicht in einer der Listen, handelt ABQ entsprechend dem Betriebsmodus.
Zimbras ABQ bietet drei Betriebsarten:
ZulĂ€ssig : In dieser Betriebsart wird nach der Benutzerauthentifizierung die Synchronisierung automatisch bei der ersten Anforderung von einem mobilen GerĂ€t durchgefĂŒhrt. In dieser Betriebsart ist es möglich, einzelne GerĂ€te zu blockieren, aber alle anderen können Daten frei mit dem Server synchronisieren.
Interaktiv : In dieser Betriebsart fordert das Sicherheitssystem unmittelbar nach der Benutzerauthentifizierung die GerĂ€teidentifikationsdaten an und vergleicht sie mit der Liste der zulĂ€ssigen GerĂ€te. Wenn das GerĂ€t als zulĂ€ssig aufgefĂŒhrt ist, wird die Synchronisierung automatisch fortgesetzt. Befindet sich dieses GerĂ€t nicht in der âweiĂen Listeâ, wird es automatisch unter QuarantĂ€ne gestellt, damit der Administrator spĂ€ter entscheiden kann, ob dieses GerĂ€t mit dem Server synchronisiert oder blockiert werden soll. In diesem Fall erhĂ€lt der Benutzer eine Benachrichtigung. Die Benachrichtigung des Administrators erfolgt regelmĂ€Ăig, einmal in einem konfigurierbaren Zeitraum. In diesem Fall enthĂ€lt jede neue Benachrichtigung nur neue GerĂ€te, die unter QuarantĂ€ne gestellt wurden.
Streng : In dieser Betriebsart wird nach der Benutzerauthentifizierung sofort eine ĂberprĂŒfung durchgefĂŒhrt, um sicherzustellen, dass die GerĂ€teidentifikationsdaten in der zulĂ€ssigen Liste enthalten sind. Falls es dort angezeigt wird, wird die Synchronisierung automatisch fortgesetzt. Falls das GerĂ€t nicht in der Liste der zulĂ€ssigen GerĂ€te enthalten ist, fĂ€llt es sofort in die Liste der blockierten GerĂ€te und der Benutzer erhĂ€lt eine Benachrichtigung per E-Mail.
Auf Wunsch kann der Zimbra-Administrator ABQ auf seinem Mailserver vollstÀndig deaktivieren.
Das Einstellen der ABQ-Betriebsart erfolgt mit folgenden Befehlen:
zxsuite config globales Set-Attribut abqMode-Wert ZulÀssig
zxsuite config globales Set-Attribut abqMode-Wert Interaktiv
zxsuite config globales Set-Attribut abqMode-Wert Streng
zxsuite config globales Set-Attribut abqMode-Wert Deaktiviert
Sie können den aktuellen ABQ-Modus mit dem
Befehl zxsuite config global get attribute abqMode ermitteln .
Wenn Sie die interaktiven oder strengen ABQ-Betriebsmodi verwenden, mĂŒssen Sie hĂ€ufig mit Listen zulĂ€ssiger und blockierter GerĂ€te sowie mit GerĂ€ten arbeiten, die sich in QuarantĂ€ne befinden. Angenommen, zwei GerĂ€te sind mit unserem Server verbunden: ein iPhone und ein Android mit den entsprechenden Identifikationsdaten. SpĂ€ter stellt sich heraus, dass der CEO des Unternehmens neulich das iPhone erworben und beschlossen hat, mit E-Mails zu arbeiten. Android gehört zum ĂŒblichen Manager, der aus SicherheitsgrĂŒnden nicht berechtigt ist, Arbeitspost auf einem Smartphone zu verwenden.
Im interaktiven Modus werden alle unter QuarantĂ€ne gestellt, von wo aus der Administrator das iPhone auf die Liste der zulĂ€ssigen GerĂ€te und Android auf die Liste der blockierten GerĂ€te ĂŒbertragen muss. Dazu verwendet er die Befehle
zxsuite mobile abq iPhone und
zxsuite mobile abq blockieren Android . Danach kann der CEO E-Mails von seinen GerĂ€ten vollstĂ€ndig bearbeiten, wĂ€hrend der Manager sie weiterhin ausschlieĂlich von einem Arbeitslaptop aus anzeigen muss.
Es ist erwĂ€hnenswert, dass der Manager bei Verwendung des interaktiven Modus auch dann, wenn er seinen Benutzernamen und sein Kennwort korrekt eingibt, keinen Zugriff auf sein Konto erhĂ€lt, sondern in eine virtuelle Mailbox gelangt, in der er eine Benachrichtigung darĂŒber erhĂ€lt Sein GerĂ€t wurde unter QuarantĂ€ne gestellt und er kann keine E-Mails von ihm verwenden.
Im strikten Modus werden alle neuen GerÀte blockiert. Nachdem klar ist, wem sie gehören, muss der Administrator den CEO nur mit dem
Befehl zxsuite mobile ABQ set iPhone Allowed zur Liste der zulÀssigen iPhone-GerÀte
hinzufĂŒgen und die Telefonnummer des Managers dort
belassen .
Die zulĂ€ssige Betriebsart ist mit allen Sicherheitsregeln im Unternehmen schlecht kompatibel. Wenn Sie jedoch weiterhin eines der zulĂ€ssigen MobilgerĂ€te blockieren mĂŒssen, z. B. wenn der Manager plötzlich mit einem Skandal beendet wird, können Sie dies mit dem
Befehl zxsuite mobile ABQ set Android tun
BlockiertFĂŒr den Fall, dass Mitarbeiter Office-Gadgets erhalten, um mit E-Mails zu arbeiten, kann das GerĂ€t beim nĂ€chsten EigentĂŒmerwechsel vollstĂ€ndig aus den ABQ-Listen entfernt werden, um anschlieĂend erneut zu entscheiden, ob es mit dem Server synchronisiert werden soll oder nicht. Dies erfolgt mit dem
Befehl zxsuite mobile ABQ delete Android .
Wie Sie sehen, können Sie mit der Zextras Mobile-Erweiterung in Zimbra ein sehr flexibles Steuerungssystem fĂŒr verwendete mobile GerĂ€te implementieren, das fĂŒr Unternehmen mit recht strengen Richtlinien fĂŒr die Verwendung von Unternehmensressourcen auĂerhalb des BĂŒros sowie fĂŒr Unternehmen geeignet ist, die recht liberal sind dieser Plan.
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter von Zextras Katerina Triandafilidi wenden