VPN mit Android & Co.

Firmendaten sicher unterwegs nutzen

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Immer häufiger verwenden Mitarbeiter mobile Geräte zur geschäftlichen Kommunikation und senden dabei sensible Daten hin und her. Unternehmen sollten deshalb den mobilen Remote-Zugang gut planen.

Smartphones und Tablets spielen eine immer wichtigere Rolle im Arbeitsalltag, nicht zuletzt aufgrund des Consumerization-Trends in Form von "Bring your own Device" (ByoD). Dabei sind Anwendungsszenarien vielfältig und reichen vom E-Mail-Austausch über das Dokumenten-Sharing bis hin zu mobilen Voice- und Videokonferenzen. Dementsprechend sollten die Kommunikationswege abgesichert werden.

Absicherung der Kommunikation

Ein bewährtes Konzept zur Absicherung des Remote-Zugangs zum Firmennetz besteht in virtuellen privaten Netzen (VPN). Hier kommuniziert der User verschlüsselt durch einen temporären VPN-Tunnel. Zu den verbreiteten VPN-Tunneling-Protokollen zählen PPTP (Point-to-Point Tunneling Protocol) sowie L2TP (Layer Two Tunneling Protocol) in Verbindung mit IPsec (IP Security).

PPTP ist relativ einfach in der Handhabung und lässt sich leicht bereitstellen. Allerdings haftet diesem Verfahren der Ruf an, unsicher zu sein, sofern Benutzer keine komplexen Kennwörter verwenden. Viele Unternehmen nehmen daher von PPTP Abstand. Die alternative VPN-Methode L2TP/IPsec bietet deutlich mehr Sicherheit, da sie eine gegenseitige Echtheitsprüfung einschließt. Allerdings gelangen hierbei Zertifikate zum Einsatz, so dass mit einer L2TP/IPsec-Implementierung eine höhere Komplexität einhergeht.

Außerdem gerät L2TP/IPsec gerne in Konflikt mit Firewalls. Denn dieses VPN-Tunneling-Protokoll setzt voraus, dass eine einwandfreie Kommunika-tion über bestimmte Ports (standardmäßig der TCP-Port 1701 sowie der UDP-Port 500) möglich ist. In der Regel blockieren die Firewalls von Hotspot-Betreibern, Hotels etc. solche Ports jedoch. In solchen Situationen können Benutzer dann mit ihrem Mobilgerät keine VPN-Verbindung zum Unternehmensnetz aufbauen.

Hinzu kommt, dass IPsec bei herkömmlichen IPv4-Internet-Verbindungen, wo NAT (Network Address Translation) den privaten vom öffentlichen IP-Adressraum trennt, ins Straucheln gerät, da hierfür Pakete verändert werden müssen, was IPsec als Manipulation einstuft. Unternehmen, die solchen Problemen aus dem Weg gehen möchten, müssen alternative Mechanismen wie NAT-T (NAT-Traversal) nutzen oder auf eine zügige Verbreitung von IPv6 hoffen, bei dem NAT nicht mehr erforderlich ist.

Reine IPSec-VPNs gibt es ebenfalls. Eine probate Alternative zu L2TP/IPsec-basierten VPNs stellen sie jedoch kaum dar: Diese VPN-Variante dient vor allem der sicheren Kopplung mehrerer statischer Standorte, wenn es beispielsweise um die sichere Anbindung von Außenstellen an die Firmenzentrale geht. Beim Remote-Zugang mehrerer oder eventuell gar Tausender Mobilgeräte stößt ein klassisches IPsec-VPN jedoch an die Grenze des sinnvoll Machbaren.