Zum Hauptinhalt springen

Die Rolle von SCEP und NAC in moderner MDM-Infrastruktur

Dieser Leitfaden bietet eine umfassende technische Analyse der Integration von SCEP und NAC in MDM-Plattformen, um sicheren, berührungslosen Netzwerkzugriff im Enterprise-Maßstab bereitzustellen. Er deckt die gesamte Architektur von der Zertifikatsausstellung bis zur 802.1X-Durchsetzung ab, mit praktischen Implementierungsszenarien aus dem Hotel- und Einzelhandelssektor. Entwickelt für IT-Leiter in großen Veranstaltungsorten, die in diesem Quartal Passwort-Sicherheitslücken schließen, die Gerätebereitstellung automatisieren und Compliance-Anforderungen erfüllen müssen.

📖 7 Min. Lesezeit📝 1,710 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute widmen wir uns einem entscheidenden Architekturthema für Unternehmensnetzwerke: Die Rolle von SCEP und NAC in einer modernen MDM-Infrastruktur. Wenn Sie IT-Leiter, Netzwerkarchitekt oder Betriebsleiter an einem großen Standort sind - sei es ein Stadion, ein Krankenhaus oder eine Einzelhandelskette - kennen Sie das Problem einer sicheren Geräte-Inbetriebnahme. Die Zeiten von Pre-Shared Keys sind vorbei. Heute sprechen wir über zertifikatsbasierte Authentifizierung. Wir untersuchen, wie das Simple Certificate Enrolment Protocol, kurz SCEP, mit Network Access Control, kurz NAC, zusammenspielt, um die Bereitstellung von Geräten zu automatisieren und Zero-Trust-Zugriff durchzusetzen. Lassen Sie uns direkt einsteigen. Lassen Sie uns die Architektur aufschlüsseln. Im Kern haben wir drei Schichten: die Geräteschicht, die Policy Engine und die Netzwerkzugriffsschicht. Wenn ein neues Unternehmensgerät oder ein BYOD-Endpunkt Zugriff benötigt, registriert es sich zuerst bei Ihrer Mobile Device Management Plattform. Aber MDM allein gewährt noch keinen Netzwerkzugriff. Hier kommt SCEP ins Spiel. SCEP fungiert als automatisierter Kurier zwischen Ihrem MDM und Ihrer Zertifizierungsstelle (CA). Anstatt dass ein IT-Administrator manuell ein X.509-Zertifikat auf jedem Gerät generiert und installiert, sendet das MDM Payload-Daten an das Gerät. Das Gerät generiert eine Zertifikatsignierungsanforderung, oder CSR, und sendet sie an den SCEP-Server. Die CA stellt das Zertifikat aus, und das Gerät verfügt nun über eine kryptografisch sichere Identität. Keine Passwörter, die durch Phishing gestohlen werden können, keine gemeinsamen Passgabelungen, die durchsickern können. Aber ein Zertifikat ist nur ein Ausweis. Sie brauchen immer noch einen Türsteher. Das ist Ihr NAC. Wenn das Gerät versucht, eine Verbindung zum WiFi herzustellen - in der Regel über 802.1X EAP-TLS -, leitet der Wireless Access Point die Anfrage an den RADIUS-Server weiter, der von der NAC-Policy-Engine gesteuert wird. Das NAC prüft das Zertifikat: Ist es gültig? Wurde es gesperrt? Aber modernes NAC geht noch weiter. Es prüft das MDM auf den Sicherheitsstatus: Ist das Betriebssystem aktualisiert? Ist die Firewall aktiviert? Wenn ja, weist das NAC den Switch oder Access Point an, das Gerät in das richtige VLAN zu verschieben. Wenn nein, verschiebt es sie in ein Quarantänenetzwerk. Diese Integration ist entscheidend für Umgebungen wie große Einzelhandelsketten oder Gesundheitseinrichtungen, in denen Sie eine Mischung aus Firmen-Laptops, IoT-Geräten und Gastnetzwerken haben. Apropos Gastnetzwerke: Hier lassen sich Plattformen wie Guest WiFi und WiFi Analytics von Purple nahtlos an die Seite Ihrer sicheren Unternehmens-SSIDs integrieren, um sicherzustellen, dass der öffentliche Zugang von Ihrer sicheren, zertifikatsgestützten Infrastruktur isoliert bleibt. Wie stellen Sie das also bereit, ohne Ihr Netzwerk lahmzulegen? Erste Empfehlung: Verwenden Sie immer EAP-TLS. Es erfordert Zertifikate sowohl auf dem Server als auch auf dem Client und bietet so eine gegenseitige Authentifizierung. Zweitens: Achten Sie auf Ihre Zertifikatssperrlisten, oder CRLs, und OCSP. Wenn ein Gerät kompromittiert wird oder ein Mitarbeiter das Unternehmen verlässt, ist der Widerruf des Zertifikats in der CA nutzlos, wenn das NAC den Sperrstatus nicht in Echtzeit überprüft. Ein häufiger Fehler, den wir im Gastgewerbe und in großen Veranstaltungsorten sehen, ist die Vernachlässigung von IoT-Geräten. Nicht alle IoT-Sensoren oder Smart-TVs unterstützen 802.1X oder SCEP. Für diese benötigen Sie eine Fallback-Strategie wie MAC Authentication Bypass oder MAB, die von Ihrer Netzwerkzugriffskontrolle eng auf bestimmte Switch-Ports oder isolierte VLANs begrenzt wird. Ein weiterer Fallstrick ist die Gültigkeitsdauer von Zertifikaten. Setzen Sie diese nicht auf 10 Jahre fest, aber auch nicht auf 30 Tage, es sei denn, Ihre automatische Verlängerung über SCEP ist absolut fehlerfrei. Eine einjährige Gültigkeit mit automatischer Verlängerung nach 30 Tagen ist ein solider Branchenstandard. Lassen Sie uns ein paar schnelle Fragen beantworten, die wir oft von CTOs erhalten. Frage eins: Können wir unsere bestehenden Active Directory Certificate Services für SCEP nutzen? Ja, Microsoft AD CS enthält eine Network Device Enrollment Service - oder NDES - Rolle, die als SCEP-Server fungiert. Stellen Sie einfach sicher, dass sie ordnungsgemäß gesichert und für Ihr MDM freigegeben ist. Frage zwei: Ersetzt dies unsere Firewall? Absolut nicht. SCEP und die Netzwerkzugriffskontrolle übernehmen die Authentifizierung und Zugriffskontrolle am Edge - Layer 2. Ihre Firewall übernimmt die Datenverkehrsprüfung und Bedrohungsprävention auf den Layern 3 bis 7. Sie arbeiten zusammen. Zusammenfassend lässt sich sagen: Die Kombination aus SCEP, Netzwerkzugriffskontrolle und MDM bietet Ihnen einen Zero-Touch- und hochsicheren Netzwerk-Edge. Sie eliminiert passwortbezogene Helpdesk-Tickets und stellt sicher, dass nur konforme Geräte auf Ihre kritische Infrastruktur zugreifen. Für Betreiber von Veranstaltungsorten bedeutet dies, dass Ihre Back-of-House-Abläufe sicher laufen, sodass Sie sich auf das Front-of-House-Erlebnis konzentrieren können - welches Sie mit den Analyse- und Purple Engage-Tools von Purple optimieren können. Beginnen Sie mit einer Überprüfung Ihrer aktuellen MDM-Funktionen und stellen Sie sicher, dass Ihre RADIUS-Infrastruktur EAP-TLS unterstützt. Erfassen Sie Ihre Gerätetypen und führen Sie zunächst ein Pilotprojekt mit den Geräten Ihres IT-Teams durch. Vielen Dank für das Interesse an diesem technischen Briefing. Bleiben Sie sicher, und bis zum nächsten Mal.

header_image.png

Executive Summary

Für Unternehmensstandorte - von Stadien mit 80.000 Sitzplätzen bis hin zu Einzelhandelsketten mit mehreren Filialen - hat sich die Sicherung des Netzwerkrands (Network Edge) entscheidend über Pre-Shared Keys und manuelle Anmeldedatenverwaltung hinausentwickelt. Die starke Zunahme von Unternehmens-Endgeräten, BYOD-Geräten und IoT-Infrastrukturen erfordert eine Zero-Trust-Architektur, die sich ohne zusätzliche Belastung des IT-Service-Desks skalieren lässt.

Dieser Leitfaden beschreibt die technische Architektur für die Integration des Simple Certificate Enrolment Protocol (SCEP) und Network Access Control (NAC) mit der Mobile Device Management (MDM) Infrastruktur. Durch die Nutzung von SCEP zur Automatisierung der Verteilung von X.509-Zertifikaten und NAC zur Durchsetzung der IEEE 802.1X EAP-TLS-Authentifizierung können Unternehmen ein Zero-Touch-Provisioning realisieren, Angriffsvektoren für Diebstahl von Anmeldedaten eliminieren und einen dynamischen, auf dem Sicherheitsstatus (Posture) basierenden Netzwerkzugriff durchsetzen. Während der öffentlich zugängliche Zugang über eine dedizierte Guest WiFi Lösung verwaltet wird, sichert diese Architektur die kritischen internen Abläufe (Back-of-House), die den Standort am Laufen halten. Das Ergebnis sind drastisch geringere IT-Gemeinkosten, eine stärkere Einhaltung von PCI-DSS und GDPR sowie proaktiv am Netzwerkrand durchgesetzte Zero-Trust-Prinzipien.


Technischer Deep Dive

Die Drei-Schichten-Architektur

Moderne Netzwerksicherheit basiert auf kryptografischer Identität und nicht auf dem Wissen der Benutzer. Der SCEP-NAC-MDM-Stack arbeitet auf drei Hauptebenen:

Ebene Komponenten Funktion
Geräteverwaltung MDM / UEM Zentrale Instanz für Gerätekonfiguration, Compliance und Lebenszyklus
Identität und Ausstellung PKI / SCEP / CA Generiert, stellt aus und verwaltet digitale Zertifikate
Zugriffsdurchsetzung NAC / RADIUS Bewertet Zertifikate und Gerätestatus vor der Gewährung des Netzwerkzugriffs

Diese Schichten arbeiten nicht rein sequenziell - sie agieren in einer kontinuierlichen Feedback-Schleife. Das MDM informiert den NAC in Echtzeit über den Compliance-Status, während der NAC MDM-Behebungsworkflows auslösen kann, wenn ein Gerät die Statusprüfung nicht besteht.

architecture_overview.png

Wie SCEP die PKI in großem Maßstab automatisiert

Eine manuelle Zertifikatsbereitstellung ist im großen Maßstab operativ unmöglich. Bei einer Flotte von 500 Geräten müsste ein IT-Administrator auf jedem einzelnen Gerät ein individuelles X.509-Zertifikat generieren, signieren und installieren - ein Prozess, der mehrere Minuten pro Gerät in Anspruch nimmt und ein erhebliches Risiko für menschliche Fehler birgt. SCEP eliminiert dies vollständig.

Wenn sich ein Gerät im MDM registriert, überträgt das MDM ein Konfigurationsprofil, das ein SCEP-Payload enthält. Das Payload weist das Gerät an, lokal ein Schlüsselpaar zu generieren - entscheidend ist, dass der private Schlüssel das Gerät niemals verlässt - und eine Zertifikatsignierungsanforderung (CSR) an den SCEP-Server zu senden. Der SCEP-Server (normalerweise der Network Device Enrolment Service (NDES) von Microsoft oder ein Cloud-basiertes Äquivalent) validiert die Anforderung mit dem MDM, um zu bestätigen, dass das Gerät autorisiert ist. Anschließend leitet er die CSR an die Certificate Authority (CA) weiter, die das signierte X.509-Zertifikat ausstellt. Das Zertifikat wird an das Gerät zurückgegeben und in seiner Secure Enclave oder dem System-Keystore installiert.

Der gesamte Prozess läuft geräuschlos und drahtlos (Over-the-Air) ohne jegliche Benutzerinteraktion ab. Bei einer Bereitstellung von 1.000 Geräten kann der gesamte Zertifikatsbestand innerhalb von Stunden nach Abschluss der MDM-Registrierung bereitgestellt werden.

NAC und 802.1X EAP-TLS: Die Durchsetzungsebene

Sobald ein Gerät über ein gültiges Zertifikat verfügt, versucht es, sich über IEEE 802.1X mit der Unternehmens-SSID oder dem kabelgebundenen Port zu verbinden. Der Access Point oder Switch fungiert als Authentifikator und leitet die Anforderung an einen RADIUS-Server weiter, der von der NAC-Richtlinien-Engine gesteuert wird. Die sicherste EAP-Methode ist EAP-TLS, die eine gegenseitige Authentifizierung erfordert - sowohl der Client als auch der RADIUS-Server müssen gültige Zertifikate vorlegen, was Man-in-the-Middle-Angriffe über gefälschte Access Points verhindert. Die NAC führt nacheinander mehrere kritische Prüfungen durch:

  1. Kryptografische Validierung: Ist das Zertifikat mathematisch gültig und von einer vertrauenswürdigen Root-CA signiert?
  2. Sperrprüfung: Ist das Zertifikat auf einer Certificate Revocation List (CRL) aufgeführt oder über das Online Certificate Status Protocol (OCSP) als gesperrt gekennzeichnet?
  3. Sicherheitsstatus-Bewertung (Posture Assessment): Über eine API-Abfrage an das MDM fragt die NAC: Ist das Gerät konform? Befindet sich das Betriebssystem auf dem erforderlichen Patch-Level? Ist die Festplattenverschlüsselung aktiviert?

Wenn alle Prüfungen erfolgreich sind, sendet die NAC eine RADIUS Access-Accept-Nachricht, die in der Regel herstellerspezifische Attribute (VSAs) enthält, um das Gerät dynamisch einem bestimmten VLAN zuzuweisen oder Access Control Lists (ACLs) anzuwenden. Nicht-konforme Geräte werden in ein Quarantäne-VLAN mit eingeschränkten Berechtigungen verschoben - in der Regel gerade genug, um vom MDM gesteuerte Behebungsworkflows auszulösen.

scep_nac_workflow.png

Segmentierung von Gastnetzwerken

In jeder Standortumgebung muss die Unternehmens-Infrastruktur strikt von öffentlich zugänglichen Netzwerken getrennt sein. Die Guest WiFi -Plattform läuft vollständig auf separaten SSIDs und VLANs, ohne geroutete Pfade zu Unternehmensressourcen. Die SCEP-NAC-Architektur regelt die Unternehmensebene; die Gastebene wird über Captive Portal-Authentifizierung und Workflows zur Datenerfassung gesteuert. Für Standorte, die WiFi Analytics einsetzen, ist diese Trennung eine zwingende Voraussetzung - Analysedaten fließen über das Gastnetzwerk, während Betriebsdaten über das zertifikatsauthentifizierte Unternehmensnetzwerk geleitet werden. Weitere Hintergrundinformationen zur zugrundeliegenden RF-Architektur, die beide Netzwerke unterstützt, finden Sie unter Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .

-

Implementierungshandbuch

Die Bereitstellung dieser Architektur erfordert eine sorgfältige Abfolge, um zu verhindern, dass legitime Benutzer während der Umstellung ausgesperrt werden.

Schritt 1: Vorbereitung von PKI und SCEP

Richten Sie eine robuste interne PKI ein oder nutzen Sie einen cloudbasierten Managed-PKI-Dienst (mPKI). Stellen Sie den SCEP-Server bereit und härten Sie ihn - bei Verwendung von Microsoft NDES sollten Sie sicherstellen, dass dieser auf einem dedizierten Server läuft und nicht gemeinsam mit der CA betrieben wird. Konfigurieren Sie den SCEP-Server so, dass er dynamische Challenge-Passwörter verwendet, die pro Gerät vom MDM generiert werden, anstatt eines statischen gemeinsamen Geheimnisses. Dies verhindert unbefugte Zertifikatsanfragen, falls die SCEP-URL offengelegt wird.

Schritt 2: MDM-Konfiguration

Erstellen Sie die SCEP-Nutzlast in Ihrer MDM-Plattform. Definieren Sie die Felder für den Subject Alternative Name (SAN) sorgfältig - der SAN muss eindeutige Identifikatoren (wie die Geräteseriennummer oder den Benutzer-UPN) enthalten, die die NAC für Richtlinienentscheidungen heranzieht. Übertragen Sie das Profil zunächst auf eine Pilotgruppe von Geräten des IT-Teams und validieren Sie den gesamten Registrierungsfluss vor einer breiteren Einführung.

Schritt 3: NAC- und RADIUS-Einrichtung

Konfigurieren Sie Ihre NAC so, dass sie der Root-CA vertraut, die die Client-Zertifikate ausgestellt hat. Installieren Sie ein Serverzertifikat auf dem RADIUS-Server für die gegenseitige EAP-TLS-Authentifizierung. Definieren Sie Zugriffsrichtlinien basierend auf Zertifikatsattributen und dem MDM-Compliance-Status. Implementieren Sie Regeln zur dynamischen VLAN-Zuweisung: konforme Unternehmensgeräte in das Unternehmens-VLAN, nicht-konforme Geräte in das Remediation-VLAN und IoT-Geräte in ein dediziertes, internetbeschränktes VLAN.

Schritt 4: Integration der Netzwerkinfrastruktur

Konfigurieren Sie Switches und Access Points für 802.1X. Für Szenarien mit älterer Kassensystem-Hardware im Einzelhandel oder intelligenten Raumsteuerungen im Gastgewerbe sollten Sie MAC Authentication Bypass (MAB) als Fallback für Geräte implementieren, die nicht an EAP-TLS teilnehmen können. Beschränken Sie MAB auf bestimmte Switch-Ports und stellen Sie sicher, dass die MAC-Adressdatenbank streng kontrolliert wird. Konfigurieren Sie für das Gesundheitswesen und das Transportwesen Richtlinien zur Statusüberprüfung (Posture Assessment), um branchenspezifische Compliance-Anforderungen zu erfüllen.

Schritt 5: Parallele Einführung und Umstellung

Führen Sie die Umstellung niemals sofort durch. Strahlen Sie die neue 802.1X SSID parallel zum bestehenden Netzwerk aus. Verteilen Sie das neue WiFi-Profil über das MDM. Überwachen Sie die Akzeptanz und beheben Sie Registrierungsfehler. Sobald sich mehr als 95 % der Geräte erfolgreich über die neue SSID authentifizieren, nehmen Sie das Altsystem außer Betrieb.

-

Best Practices

EAP-TLS vorschreiben. Akzeptieren Sie niemals EAP-PEAP oder EAP-TTLS als primäre Authentifizierungsmethode für Unternehmensgeräte. Diese Methoden basieren auf Benutzername/Passwort-Anmeldedaten innerhalb eines TLS-Tunnels und bleiben anfällig für den Diebstahl von Anmeldedaten. EAP-TLS eliminiert diese Angriffsfläche vollständig.

Echtzeit-Sperrung implementieren. Geplante CRL-Downloads führen zu Sicherheitslücken. Konfigurieren Sie den NAC so, dass OCSP-Prüfungen in Echtzeit durchgeführt werden. Wenn ein Gerät als verloren oder gestohlen gemeldet wird, sperren Sie das Zertifikat bei der Zertifizierungsstelle (CA) und das Gerät verliert bei seinem nächsten Authentifizierungsversuch den Netzwerkzugriff - oder sofort, wenn Change of Authorisation (CoA) implementiert ist.

Sinnvolle Gültigkeitsdauer für Zertifikate festlegen. Eine einjährige Gültigkeitsdauer mit einer automatischen SCEP-Verlängerung, die 30 Tage vor Ablauf ausgelöst wird, ist der Branchenstandard. Eine längere Gültigkeit vergrößert die Sicherheitslücke bei einer Kompromittierung des Zertifikats; eine kürzere Gültigkeit erhöht das Risiko von Ausfällen durch fehlgeschlagene Verlängerungen.

IoT konsequent trennen. IoT-Geräte sollten niemals dasselbe VLAN mit Unternehmens-Endpunkten teilen. Nutzen Sie den NAC, um strenge ACLs für das IoT-VLAN durchzusetzen und nur die spezifischen Protokolle und Ziele zuzulassen, die die jeweilige Geräteklasse benötigt. Für Standorte, die Standortdienste bereitstellen, finden Sie unter Indoor WiFi Positioning Systems: How They Work and How to Deploy Them Informationen darüber, wie sich die Positionierungsinfrastruktur in die gesamte Netzwerkarchitektur integriert.

Mit WPA3 abgleichen. Wo die Hardware dies unterstützt, konfigurieren Sie die Unternehmens-SSIDs so, dass sie WPA3-Enterprise verwenden. Dies schreibt Protected Management Frames (PMF) vor und bietet einen stärkeren kryptografischen Schutz als WPA2. Details darüber, wie sich dies in die breitere Konnektivitätslandschaft von Unternehmen einfügt, finden Sie unter SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .

-

Fehlerbehebung und Risikominderung

Fehlerart Ursache Risikominderung
Geräte schlagen bei EAP-TLS nach Zertifikatsverlängerung fehl SCEP-Verlängerung schlägt unbemerkt fehl SCEP-Server-Protokolle überwachen; Warnmeldungen für fehlgeschlagene CSR-Übermittlungen einrichten
Zertifikatsvalidierung schlägt aufgrund von Zeitabweichungen fehl NTP-Fehlkonfiguration NTP-Synchronisierung auf allen Endpunkten und in der gesamten Infrastruktur erzwingen
IoT-Geräte können sich nicht authentifizieren Kein 802.1X-Supplicant MAB mit strengen MAC-Adresskontrollen und einem isolierten VLAN implementieren
Massenaussperrung von Geräten nach CA-Migration NAC vertraut der alten Root-CA nicht CA-Migrationen schrittweise durchführen; die neue Root-CA vor dem Widerruf der alten in den NAC-Vertrauensspeicher aufnehmen
Gesperrte Geräte behalten den Netzwerkzugriff Sperrung nur über CRL mit langen Download-Intervallen OCSP und CoA für Echtzeit-Sperrung implementieren

Für spezifische BLE-basierte IoT-Geräte unterscheidet sich die Authentifizierungsarchitektur von über WiFi verbundenen Endpunkten. Siehe BLE Low Energy Explained for the Enterprise für die spezifischen Sicherheitsaspekte, die für Bluetooth Low Energy-Infrastrukturen gelten.


ROI und geschäftliche Auswirkungen

Der Business Case für eine SCEP-NAC-MDM-Integration ist im Vergleich zu den Kosten von Alternativen eindeutig.

Metrik Vor der Implementierung Nach der Implementierung
IT-Service-Desk-Tickets (Netzwerkzugriff) Hoch - Passwort-Resets, Schlüssel-Rotationen Nahezu null - automatisierter Zertifikatslebenszyklus
Mittlere Zeit bis zum Widerruf eines kompromittierten Geräts Stunden (manueller Prozess) Sekunden (OCSP + CoA)
PCI-DSS-Zugriffskontroll-Compliance Manuell, audit-intensiv Automatisiert, kontinuierlich durchgesetzt
BYOD-Onboarding-Zeit 15-30 Minuten pro Gerät Unter 5 Minuten ohne IT-Beteiligung

Bei einem Bestand von 500 Geräten reduziert der Verzicht auf eine manuelle Zertifikatsverwaltung und passwortbezogene Service-Desk-Tickets den netzwerkbezogenen IT-Support-Aufwand in der Regel um 25 - 35%. Der Wert der Risikominderung - die Vermeidung einer einzigen auf Anmeldedaten basierenden Sicherheitsverletzung - übersteigt routinemäßig die gesamten Implementierungskosten. Für Organisationen des öffentlichen Sektors und des Gesundheitswesens, die an die GDPR gebunden sind, ist die Fähigkeit, eine automatisierte, auditierbare Zugriffskontrolle nachzuweisen, ein erheblicher Compliance-Vorteil.

Schlüsseldefinitionen

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das die Ausstellung und den Widerruf digitaler Zertifikate für Geräte ohne Benutzereingriff automatisiert und als Kommunikationsschicht zwischen der MDM-Plattform und der Zertifizierungsstelle fungiert.

Wird von MDM-Plattformen verwendet, um X.509-Zertifikate nahtlos auf Tausenden von Endpunkten im großen Stil bereitzustellen. IT-Teams stoßen auf SCEP, wenn sie MDM-Profile für die 802.1X WiFi-Authentifizierung konfigurieren.

NAC (Network Access Control)

Eine Sicherheitslösung, die Richtlinien auf Geräten durchsetzt, die auf die Netzwerkinfrastruktur zugreifen möchten. Dabei werden Authentifizierungsdaten, Zertifikatsgültigkeit und der Compliance-Status des Geräts bewertet, bevor der Zugriff gewährt wird.

Fungiert als Gatekeeper am Netzwerkrand. IT-Teams konfigurieren NAC-Richtlinien, um zu definieren, welche Geräte basierend auf ihren Zertifikatsattributen und dem MDM-Compliance-Status Zugriff auf welche VLANs erhalten.

MDM (Mobile Device Management)

Software, die von IT-Abteilungen verwendet wird, um die Endpunkte von Mitarbeitern über mehrere Betriebssysteme hinweg zu überwachen, zu verwalten und zu sichern. Sie dient als zentrale Single Source of Truth für Geräteidentität und Compliance.

Der Initiator des SCEP-Registrierungsprozesses und die Quelle der Statusdaten, die von der NAC abgefragt werden. Ohne MDM-Integration kann die NAC keine statusbasierte Zugriffskontrolle durchführen.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Network Access Control, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, und eine erfolgreiche Authentifizierung erfordert, bevor der Port geöffnet wird.

Das zugrunde liegende Protokoll, das Geräte zur Authentifizierung zwingt, bevor der Switch oder Access Point Datenverkehr zulässt. Es wird sowohl auf der Netzwerkinfrastruktur als auch auf dem 802.1X-Supplicant des Geräts konfiguriert.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Der sicherste EAP-Standard, der eine gegenseitige Authentifizierung erfordert, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige digitale Zertifikate vorlegen müssen, was passwortbasierte Angriffe auf Anmeldedaten eliminiert.

Der Goldstandard für drahtlose Netzwerksicherheit in Unternehmen. IT-Architekten sollten EAP-TLS gegenüber PEAP oder TTLS vorschreiben, wann immer eine Gerätezertifikatsinfrastruktur vorhanden ist.

CSR (Certificate Signing Request)

Ein Block aus kodiertem Text, der von einem Gerät generiert wird und dessen öffentlichen Schlüssel sowie Identitätsdetails enthält. Dieser wird an die Zertifizierungsstelle übermittelt, um ein signiertes X.509-Zertifikat anzufordern.

Wird während des SCEP-Registrierungsprozesses automatisch vom Gerät generiert. Der private Schlüssel, der dem CSR entspricht, verlässt das Gerät nie, wodurch sichergestellt wird, dass das Zertifikat nicht dupliziert werden kann.

MAB (MAC Authentication Bypass)

Eine Fallback-Authentifizierungsmethode, bei der das Netzwerk die Hardware-MAC-Adresse des Geräts als Anmeldedaten verwendet. Sie wird für Geräte verwendet, die nicht über die Fähigkeit eines 802.1X-Supplicants verfügen.

Wird für ältere IoT-Geräte wie Drucker, Sensoren und intelligente Raumsteuerungen verwendet, die nicht an EAP-TLS teilnehmen können. Sollte immer zu einer Zuweisung zu einem stark eingeschränkten VLAN führen.

OCSP (Online Certificate Status Protocol)

Ein Internetprotokoll, das verwendet wird, um den Widerrufsstatus eines digitalen X.509-Zertifikats in Echtzeit abzurufen, und das eine Alternative zum Herunterladen und Analysieren von Zertifikatwiderrufslisten bietet.

Entscheidend für NAC-Systeme, die den Netzwerkzugriff sofort sperren müssen, wenn ein Gerät kompromittiert oder als gestohlen gemeldet wird. OCSP liefert den Status in Echtzeit; CRL-Downloads erzeugen ein Zeitfenster für den Widerruf.

CoA (Change of Authorization)

Eine RADIUS-Erweiterung (RFC 5176), die es dem NAC ermöglicht, eine aktive Netzwerksitzung dynamisch zu ändern oder zu beenden, ohne auf das Ablaufen der Sitzung oder eine erneute Authentifizierung des Geräts zu warten.

Wird verwendet, um ein Gerät sofort zu trennen, wenn sein Zertifikat widerrufen wird oder sich sein MDM-Compliance-Status ändert. Unerlässlich für die Durchsetzung von Zero-Trust in Echtzeit.

Ausgearbeitete Beispiele

Ein Luxusresort mit 500 Zimmern muss sein operatives Back-of-House-Netzwerk sichern. Das Personal nutzt gemeinsam genutzte Tablets für die Haushaltsführung, während das Management Firmen-Laptops verwendet. Beim aktuellen WPA2-PSK-Netzwerk wurde der vorab freigegebene Schlüssel mehrfach weitergegeben, was im vergangenen Jahr zu zwei Sicherheitsvorfällen führte. Wie sollte das IT-Team den Übergang zur zertifikatsbasierten Authentifizierung ohne Betriebsunterbrechung gestalten?

Phase 1 - Vorbereitung (Woche 1-2): Stellen Sie eine Cloud-basierte RADIUS/NAC-Lösung bereit und integrieren Sie diese in das bestehende MDM. Konfigurieren Sie ein SCEP-Profil im MDM, um gerätebasierte Zertifikate an alle Tablets und Laptops zu verteilen. Verwenden Sie gerätebasierte Zertifikate (die an die Seriennummer des Geräts gebunden sind) anstelle von benutzerbasierten Zertifikaten, damit sich gemeinsam genutzte Tablets automatisch authentifizieren, unabhängig davon, welches Personalmitglied sie gerade verwendet. Phase 2 - Parallele Bereitstellung (Woche 3-4): Senden Sie eine neue, versteckte SSID aus, die für 802.1X EAP-TLS konfiguriert ist. Verteilten Sie das neue WiFi-Profil über das MDM an alle registrierten Geräte. Überwachen Sie das NAC-Dashboard auf erfolgreiche Authentifizierungen. Phase 3 - Umstellung (Woche 5): Sobald sich mehr als 95 % der Geräte mit der neuen SSID verbunden haben, nehmen Sie das alte WPA2-PSK-Netzwerk außer Betrieb. Löschen Sie den alten PSK aus allen Dokumentationen und Access Points.

Kommentar des Prüfers: Der Ansatz mit gerätebasierten Zertifikaten ist die richtige Wahl für Umgebungen mit gemeinsam genutzten Geräten. Benutzerbasierte Zertifikate würden erfordern, dass jedes Personalmitglied ein eigenes Zertifikat besitzt, was einen Verwaltungsaufwand bedeuten würde, der den Automatisierungsvorteil zunichte macht. Die parallele Bereitstellungsstrategie ist entscheidend - eine sofortige Umstellung würde jedes Gerät ausschließen, bei dem die SCEP-Registrierung fehlschlägt, was zu Betriebsunterbrechungen führen würde. Die versteckte SSID für das neue Netzwerk verhindert, dass Gäste während der Übergangsphase versuchen, sich mit dem Unternehmensnetzwerk zu verbinden.

Eine nationale Einzelhandelskette führt 3.000 neue Point-of-Sale-Terminals in 150 Filialen ein. Das Sicherheitsteam fordert eine strenge PCI-DSS-Netzwerksegmentierung und Zero-Trust-Zugriff. Der Zeitrahmen für die Bereitstellung beträgt 8 Wochen. Wie erleichtern SCEP und NAC dies im großen Stil, ohne dass IT-Personal in jeder Filiale vor Ort sein muss?

Vor der Bereitstellung: Der POS-Anbieter registriert alle 3.000 Geräte vorab im MDM des Einzelhändlers unter Verwendung des Zero-Touch-Registrierungsprogramms des Anbieters. Das MDM ist mit einem SCEP-Profil konfiguriert, das beim ersten Start automatisch ausgeführt wird. Bereitstellung: Wenn ein POS-Terminal in der Filiale eingeschaltet wird, verbindet es sich mit einer temporären Onboarding-SSID (nur Internet, kein Zugriff auf das Unternehmensnetzwerk). Das MDM-Profil wird übertragen, die SCEP-Payload wird ausgeführt, und das Gerät fordert sein X.509-Zertifikat von der CA an und empfängt es. Das MDM überträgt anschließend das WiFi-Profil des Unternehmens. Netzwerkzugriff: Wenn sich das POS-Terminal mit dem Switch-Port der Filiale verbindet, initiiert der Switch 802.1X. Das NAC validiert das Zertifikat, fragt das MDM ab, um zu bestätigen, dass das POS-Terminal konform ist (Verschlüsselung aktiviert, MDM-Agent aktiv, kein Jailbreak erkannt), und weist den Switch-Port dynamisch dem PCI-DSS-VLAN zu. Das POS-Terminal ist nun betriebsbereit. Es war kein IT-Personal vor Ort in der Filiale erforderlich.

Kommentar des Prüfers: Dieses Szenario zeigt die Leistungsfähigkeit der Kombination von Zero-Touch MDM-Registrierung mit SCEP-Automatisierung. Die temporäre Onboarding-SSID ist ein entscheidendes Designelement - sie bietet Internetzugang für den MDM-Registrierungsprozess, ohne das Unternehmensnetzwerk offenzulegen. Die dynamische VLAN-Zuweisung stellt sicher, dass selbst wenn ein unbefugtes Gerät irgendwie eine gültige MAC-Adresse erhalten würde, es dennoch die EAP-TLS-Zertifikatsprüfung nicht bestehen und der Zugriff auf das PCI-VLAN verweigert würde. Diese Architektur erfüllt gleichzeitig die PCI-DSS-Anforderung 1 (Netzwerksegmentierung) und die Anforderung 8 (eindeutige Geräteidentifikation).

Übungsfragen

Q1. Ihre Organisation migriert von WPA2-Enterprise mit PEAP-MSCHAPv2 zu EAP-TLS. Während des Pilotprojekts stellen Windows-Laptops und iPhones erfolgreich eine Verbindung her, aber 200 Barcodescanner im Lager können sich nicht authentifizieren. Die Scanner unterstützen 802.1X, können jedoch die SCEP-Nutzlast des MDM nicht verarbeiten - sie laufen auf einem proprietären, eingebetteten Betriebssystem ohne Unterstützung für MDM-Agenten. Was ist die sicherste architektonische Lösung, die die Netzwerksegmentierung beibehält, ohne dass die Scanner ausgetauscht werden müssen?

Hinweis: Ziehen Sie alternative Mechanismen zur Bereitstellung von Zertifikaten in Betracht, die keinen MDM-Agenten erfordern, und überlegen Sie, welche Kontrollen zur Netzwerksegmentierung für Geräte gelten sollten, die nicht an einer vollständigen Zustandsbewertung teilnehmen können.

Musterlösung anzeigen

Da die Scanner 802.1X unterstützen, aber keine SCEP- oder MDM-Registrierung, ist der sicherste Ansatz die manuelle Bereitstellung von Gerätezertifikaten über eine dedizierte Zertifikatsvorlage mit einem eingeschränkten Schlüsselverwendungsprofil. Die Zertifikate werden einmalig während eines Wartungsfensters installiert. Das NAC wird so konfiguriert, dass es diese Zertifikate akzeptiert, aber die Scanner einem dedizierten VLAN für den Lagerbetrieb mit strengen ACLs zuweist - nicht dem gesamten Unternehmens-VLAN -, da eine Zustandsbewertung nicht möglich ist. Falls die manuelle Zertifikatsbereitstellung betrieblich nicht skalierbar ist, konfigurieren Sie alternativ MAB als Fallback speziell für die MAC-OUIs der Scanner-Hardware, wobei das NAC sie demselben eingeschränkten VLAN zuweist. Dokumentieren Sie dies als bekannte Ausnahme in Ihrem Risikoregister und planen Sie den Austausch der Scanner im nächsten Hardware-Aktualisierungszyklus ein.

Q2. Ein Netzwerksicherheitsmanager stellt fest, dass das MDM beim Melden eines gestohlenen Laptops durch einen Mitarbeiter einen Befehl zum Remote-Löschen sendet, das Gerät jedoch noch bis zu 12 Stunden lang - dem aktuellen RADIUS-Sitzungstimeout - mit dem Unternehmens-WiFi verbunden bleibt. Während dieses Zeitfensters könnten Daten über das Gerät exfiltriert werden. Wie sollte die Architektur geändert werden, um den Netzwerkzugriff sofort nach der Meldung eines Gerätediebstahls zu beenden?

Hinweis: Das NAC muss sofort über die Statusänderung informiert werden, anstatt auf den nächsten Authentifizierungszyklus zu warten. Berücksichtigen Sie sowohl den Mechanismus zur Sitzungsbeendigung als auch den Mechanismus zur Verhinderung einer erneuten Authentifizierung.

Musterlösung anzeigen

Implementieren Sie zwei komplementäre Kontrollen. Konfigurieren Sie erstens das MDM so, dass es sofort nach der Kennzeichnung eines Geräts als verloren oder gestohlen einen Webhook an das NAC sendet. Das NAC sendet dann eine RADIUS Change of Authorization (CoA) Disconnect-Request-Nachricht an den spezifischen Access Point oder Switch-Port, wodurch die aktive Sitzung sofort beendet wird. Widerrufen Sie zweitens das Zertifikat des Geräts in der CA und stellen Sie sicher, dass das NAC für die OCSP-Prüfung in Echtzeit anstelle einer CRL-basierten Sperrung konfiguriert ist. Dies bedeutet, dass selbst wenn sich das Gerät vor der Verarbeitung der CoA erneut verbindet, die EAP-TLS-Authentifizierung bei der OCSP-Prüfung fehlschlägt. Beide Kontrollen zusammen verkürzen das Risiko-Zeitfenster von 12 Stunden auf unter 60 Sekunden.

Q3. Bei einer Sicherheitsüberprüfung des Netzwerks eines großen Konferenzzentrums wird festgestellt, dass der SCEP-Server über das öffentliche Internet mit einem statischen Challenge-Passwort erreichbar ist, um die Remote-Registrierung von Geräten zu ermöglichen. Der Auditor stuft dies als kritische Schwachstelle ein. Wie sollte der SCEP-Registrierungsprozess neu strukturiert werden, um die Remote-Registrierung beizubehalten, während das Risiko des statischen Passworts eliminiert wird?

Hinweis: Der SCEP-Server benötigt eine Möglichkeit zu überprüfen, ob das anfordernde Gerät tatsächlich vom MDM autorisiert ist, ohne sich auf ein gemeinsam genutztes Geheimnis zu verlassen, das aus einem Gerät extrahiert oder abgefangen werden könnte.

Musterlösung anzeigen

Ersetzen Sie das statische Challenge-Passwort durch dynamische, gerätespezifische Einmal-Challenge-Passwörter, die vom MDM generiert werden. Der Workflow gestaltet sich wie folgt: (1) Das MDM generiert während der Registrierung ein eindeutiges, zeitlich begrenztes Challenge-Passwort für jedes Gerät. (2) Das MDM fügt diese Challenge in die an das Gerät übertragene SCEP-Payload ein. (3) Das Gerät fügt die Challenge in seinen CSR ein. (4) Der SCEP-Server validiert die Challenge vor der Weiterleitung des CSR an die CA über eine API mit dem MDM. (5) Die Challenge wird sofort nach der Verwendung ungültig gemacht. Dies stellt sicher, dass nur vom MDM verwaltete Geräte erfolgreich ein Zertifikat erhalten können und dass ein Angreifer selbst bei Entdeckung der SCEP-URL ohne eine gültige Einmal-Challenge keine gültigen Zertifikate generieren kann. Beschränken Sie den SCEP-Server zusätzlich auf HTTPS und implementieren Sie nach Möglichkeit ein IP-Allowlisting für die Egress-IPs des MDMs.

Weiterlesen in dieser Reihe

Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken

Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.

Leitfaden lesen →

WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.

Leitfaden lesen →

Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.

Leitfaden lesen →