Always On und nicht vertrauenswürdige Netzwerke
Die beem App ist so konzipiert, dass sie Ihren beemNet-VPN-Tunnel automatisch aktiv hält und eine sichere Verbindung gewährleistet, ohne dass der Benutzer eingreifen muss. Die "Always On"-Funktion kann von Ihrem beem-Administrator auf verschiedene Weise konfiguriert werden, um den organisatorischen Anforderungen zu entsprechen. Je nach diesen Einstellungen haben die Benutzer Zugriff auf die Option Verbunden bleiben innerhalb der beem App.
Wenn Sie es vorziehen, die Verbindung manuell herzustellen und zu trennen, und Ihr beem-Administrator dies zulässt, kann die App dennoch helfen, indem sie Sie warnt, wenn Sie mit einem nicht vertrauenswürdigen Netzwerk verbunden sind.
Um Verbunden bleiben zu aktivieren oder zu deaktivieren:
- Tippen Sie auf das Symbol ☰ (in der oberen rechten Ecke des Startbildschirms der App).
- Gehen Sie auf Verbindungsdetails (der erste Punkt im Menü).
- Wählen Sie Verbunden bleiben.
Um die Warnung vor nicht vertrauenswürdigem Netzwerk zu aktivieren oder zu deaktivieren:
- Tippen Sie auf das Symbol ☰.
- Besuchen Sie Verbindungsdetails.
- Wählen Sie Warnung vor nicht vertrauenswürdigem Netzwerk.
Verstehen von nicht vertrauenswürdigen Netzwerken
INFO
Das Konzept der nicht vertrauenswürdigen Netzwerke gilt nur, wenn die Funktion "Always On" (Verbunden bleiben) aktiviert ist. Wenn "Verbunden bleiben" nicht aktiv ist, überwacht die beem App keine Netzwerke und kennzeichnet sie nicht als nicht vertrauenswürdig.
Ein nicht vertrauenswürdiges Netzwerk ist jedes Netzwerk, das nicht in beemNet integriert ist und daher nicht durch beemNet geschützt wird. Typische Beispiele sind öffentliche WLAN-Hotspots, private Heimnetzwerke und mobile Datenverbindungen von SIM-Karten, die nicht mit beemNet verbunden sind. Die beem App identifiziert und kennzeichnet solche Netze automatisch als "nicht vertrauenswürdig", informiert den Nutzer und hilft ihm, seine Geräte und Daten zu schützen.
Wenn "Always On" von Ihrem beem-Administrator nicht erzwungen wird oder der Benutzer Verbunden bleiben deaktiviert hat, haben die Benutzer die Möglichkeit, die Warnung vor nicht vertrauenswürdigem Netzwerk zu deaktivieren oder zu aktivieren.
Wenn Nutzer auf Verbindung vom beemNet trennen tippen oder klicken, überprüft die beem App, ob die aktuelle Netzwerkverbindung durch beemNet geschützt ist. Darüber hinaus prüft die beem App bei jeder Änderung der Netzwerkschnittstelle des Client-Geräts, z. B. beim Wechsel von Mobilfunk zu Wlan, ob es nun mit einem nicht vertrauenswürdigen Netzwerk verbunden ist. Wenn die beem App feststellt, dass die aktuelle Netzwerkverbindung nicht durch beemNet geschützt ist, zeigt sie eine Toast-Meldung an, wenn die App im Vordergrund läuft. Läuft sie im Hintergrund, gibt sie eine Systembenachrichtigung an das verwendete Gerät aus.
WARNING
Aufgrund technischer Einschränkungen in iOS und iPadOS kann die beem App keine Benachrichtigungen über nicht vertrauenswürdige Netzwerke anzeigen, während sie im Hintergrund läuft. Um ihren Schutzstatus jederzeit zu überprüfen, können Nutzer die beem App öffnen und den Startbildschirm anzeigen.
beemNet VPN pausieren
Wenn die Funktion Verbunden bleiben aktiviert ist - entweder durch den Benutzer oder durch den beem-Administrator - kann es Szenarien geben, in denen Benutzer die Verschlüsselung vorübergehend unterbrechen müssen oder wollen. Obwohl die Aktionsschaltfläche mit Verbindung vom beemNet trennen gekennzeichnet ist, hängt ihr Verhalten von der aktuellen Netzwerkkonfiguration des Geräts ab:
- Wenn der beem-Administrator dies zulässt, wird die Verschlüsselung für eine bestimmte Zeit unterbrochen.
- Wenn dies nicht erlaubt ist, erscheint eine Toast-Meldung, in der die Einschränkung erklärt wird.
Die Beschriftung der Schaltfläche wird entsprechend dem Ergebnis aktualisiert:
Bleibt das Gerät mit beemNet verbunden, ändert sich die Beschriftung der Schaltfläche in Verbindung verschlüsseln, und auf dem Startbildschirm wird angezeigt, dass die Verschlüsselung unterbrochen ist, während der Schutz aktiv bleibt.
Wenn die beemNet-Verbindung vollständig getrennt wird und das Gerät ungeschützt bleibt, wechselt die Schaltfläche zu Verbindung zum beemNet, und die Statussymbole für Verschlüsselung und Schutz auf dem Startbildschirm werden rot.
Auto-Reconnect-Verhalten
Wenn der beem-Administrator eine Pausendauer festgelegt hat, wird der verschlüsselte beemNet VPN-Tunnel automatisch wieder aufgebaut, sobald der Timer abgelaufen ist. Diese Funktionalität ist auf Android, Windows und macOS verfügbar, mit einer leicht angepassten Erfahrung auf iOS und iPadOS.
Aufgrund der Plattformbeschränkungen von iOS und iPadOS - insbesondere der fehlenden vollständigen Hintergrundverarbeitung - ist eine automatische Wiederverbindung mit dem beemNet VPN nicht immer gewährleistet. Benutzer werden benachrichtigt, ob der Wiederverbindungsversuch erfolgreich war oder nicht. Wenn der Versuch fehlschlägt, bleibt das VPN inaktiv, bis der Benutzer entweder auf die Benachrichtigung tippt oder die beem App manuell öffnet.
Ein Blick hinter die Kulissen: Auto-Reconnect unter iOS und iPadOS
Auf iOS und iPadOS verlässt sich die beem App auf den Apple Push Notification Service (APNs), um den beemNet VPN-Tunnel wiederherzustellen, da auf diesen Plattformen derzeit kein alternativer Hintergrundmechanismus verfügbar ist.
Schritt 1: Hintergrundbenachrichtigung
Eine Hintergrundbenachrichtigung wird gesendet, um die VPN-Verbindung wiederherzustellen. Apple kann diese Benachrichtigungen jedoch verzögern oder unterdrücken, um den Akku zu schonen und die Systemleistung zu optimieren. Infolgedessen kann sich die Zustellung verzögern - oder in einigen Fällen sogar ganz ausbleiben - was zu einer verzögerten oder fehlgeschlagenen Wiederverbindung führt.Schritt 2: Folgebenachrichtigung
Wenn der VPN-Tunnel nicht innerhalb von fünf Minuten erfolgreich wiederhergestellt wird, wird eine zweite, zeitkritische Benachrichtigung gesendet, um den Benutzer zu informieren. Diese Benachrichtigung ist für eine zeitnahe Zustellung ausgelegt und erscheint nur, wenn der erste Wiederverbindungsversuch fehlschlägt.Hinweis zur Benachrichtigungsreihenfolge
In seltenen Fällen kann es vorkommen, dass die zeitkritische Benachrichtigung vor der Hintergrundbenachrichtigung ankommt, da Apple die Zustellung priorisiert. Dies kann dazu führen, dass Benutzer die beiden Benachrichtigungen in umgekehrter Reihenfolge sehen.
TIP
Die Benutzer sollten immer mindestens eine der beiden Benachrichtigungen erhalten. Ein Neustart des Geräts kann manchmal die Zuverlässigkeit der Zustellung von Hintergrundbenachrichtigungen verbessern.
Ausfallmodus (Fail-Mode) verstehen, eingeschränktem und begrenztem Zugriff
Bei der Konfiguration von "Always On" können Administratoren von beem Plus oder Premium Security Editions zwischen den Modi "fail-open" (offen bei Ausfall) und "fail-close" (geschlossen bei Ausfall) wählen. Die beem Essential und Basic Security Editions sind jedoch immer auf "fail-open" voreingestellt. Dieser Ansatz ermöglicht es Unternehmen, Sicherheit und Verfügbarkeit je nach Unternehmensrichtlinien und spezifischen Anforderungen effektiv zu kombinieren. So kann der Netzwerkzugriff für ein bestimmtes Gerät und einen beem App-Benutzer je nach den Umständen eingeschränkt oder begrenzt werden.
🔒 Geschlossen bei Ausfall priorisiert die Sicherheit: Wenn nur eine (ungeschützte) Internetverbindung verfügbar ist - und es keine sichere, verschlüsselte Verbindung zu beemNet gibt oder eine Systemstörung auftritt - wird der Zugriff auf "alles" automatisch verweigert, um die Sicherheit zu schützen. Steht eine unverschlüsselte beemNet-Verbindung zur Verfügung, bleibt der geschützte Internetzugang erhalten, der Zugriff auf Unternehmensressourcen ist jedoch eingeschränkt.
🚪 Offen bei Ausfall priorisiert Verfügbarkeit: Wenn es keine Verbindung zum beemNet gibt - egal ob verschlüsselt oder nicht - oder eine Systemstörung auftritt, lässt die beem App standardmässig einen ungeschützten Internetzugang zu, um die Verfügbarkeit aufrechtzuerhalten.
Vergleich zwischen geschlossen bei Ausfall (eingeschränkter & begrenzter Zugriff) und offen bei Ausfall
| Merkmal / Ausfallmodus | 🔒 geschlossen bei Ausfall | 🚪 offen bei Ausfall | |
|---|---|---|---|
| Grundprinzip | Sicherheit geht vor | Verfügbarkeit geht vor | |
| Zugriffstyp | Eingeschränkter Zugriff | Begrenzter Zugriff | Nur Internetzugriff |
| Auslösende Bedingung | Keine sichere, verschlüsselte Verbindung zum beemNet ODER Systemstörung | beemNet-Verbindung ohne Verschlüsselung ODER VPN-Fehlfunktion | Keine Verbindung zum beemNet (verschlüsselt oder unverschlüsselt) ODER Systemstörung |
| Internetzugriff | ✗ Der Zugriff zu allen Netzwerkressourcen wird verweigert | ✓ Internetzugang ist erlaubt und geschützt | (✓) Ungeschützter Internetzugriff ist erlaubt |
| Zugriff zu Geschäftsanwendungen | ✗ Der Zugriff zu allen Netzwerkressourcen wird verweigert | (✓) Begrenzter Zugriff zu Unternehmensdaten und -ressourcen ist erlaubt | Der Zugriff zu allen Unternehmensdaten und -ressourcen wird verweigert. |
| Reaktion auf öffentliches Wi-Fi oder nicht vertrauenswürdiges Netzwerk | ✗ Gesperrt | ✓ Erlaubt | ✓ Erlaubt |
| Benutzerfreundlichkeit (Standardverhalten) | Kann zum Verlust des Zugriffs oder zur Unterbrechung des Dienstes führen | Konnektivität weiterhin mit eingeschränktem Zugriff | Konnektivität weiterhin mit reduzierter Sicherheit |
| Risikobelastung | Minimal (kein ungeschützter Zugriff gewährt) | Höher (Daten können über ein ungesichertes Netz fliessen) | |
| Eignung des Anwendungsfalls | Sensible Umgebungen (z. B. Unternehmen, Einhaltung von Vorschriften) | Weniger sensible Kontexte (z. B. gelegentliches Surfen) | |
In einem "geschlossen bei Ausfall"-Szenario ohne beemNet-Verbindung ist der Zugriff sowohl zum Internet als auch zu Unternehmensressourcen - wie etwa Geschäftsanwendungen - stark eingeschränkt. Wenn die beemNet-Verbindung unverschlüsselt bleibt, werden die meisten Unternehmensressourcen wahrscheinlich unzugänglich bleiben, was den Zugriff einschränkt. Aus der Sicht des Benutzers kann dies einem vollständigen Verlust der Konnektivität, einschliesslich des Internetzugriffs, gleichkommen. Technisch gesehen bestimmt der beem-Administrator, welche Ressourcen unter solchen Bedingungen zugänglich bleiben.
Ungeschützte Internetzugriffsanfragen im "geschlossen bei Ausfall"-Modus
Während eines "geschlossen bei Ausfall"-Szenarios können beem-Administratoren den Nutzern für eine begrenzte, vordefinierte Zeit einen ungeschützten Internetzugriff gewähren. Um den Zugriff zu beantragen, müssen die Benutzer eine kurze schriftliche Erklärung innerhalb der beem App einreichen, in der sie den Bedarf begründen. Diese dokumentierten Ausnahmen helfen Unternehmen, interne Richtlinien und externe Vorschriften einzuhalten.
Benutzererfahrung bei "geschlossen bei Ausfall"-Szenarien
Aus Sicht des Benutzers führt ein geschlossen bei Ausfall-Szenario entweder zu eingeschränktem Zugriff, wenn sowohl Schutz als auch Verschlüsselung nicht verfügbar sind, oder zu begrenztem Zugriff, bei dem der Schutz erhalten bleibt, aber die Verschlüsselung fehlt.
Begrenzter Zugriff bietet eine geschützte Internetverbindung und ermöglicht einen teilweisen Zugriff auf Unternehmensressourcen wie Geschäftsanwendungen. Die beem Essential und Basic Security Editions wenden unter diesen Bedingungen SPI an. Je nach Konfiguration des Administrators können die Security Editions Plus und Premium auch DPI anwenden.
Im Gegensatz dazu verweigert der eingeschränkte Zugriff die Internetverbindung und gewährt, wenn überhaupt, nur minimalen Zugriff zu Unternehmensressourcen. Auf Antrag des Nutzers kann ein vorübergehender ungeschützter Internetzugriff für eine begrenzte Dauer gewährt werden, sofern dies den Richtlinien entspricht.
INFO
Es ist wichtig zu betonen, dass eine gültige Authentifizierung eine Voraussetzung sowohl für den eingeschränkten als auch für den begrenzten Zugriff ist. Ohne ordnungsgemässe Authentifizierung kann unter keinen Umständen auf Ressourcen zugegriffen werden.