IT-Sicherheit in Zeiten mobiler Mitarbeiter

VPN – ein traditioneller Sicherheitsansatz mit Limitierungen

Als Area Director CEE verantwortet Mathias Widler bei Zscaler die Geschäftsentwicklung in Zentral- und Osteuropa. Umfangreiche Sicherheitsexpertise bringt er durch seinen Werdegang bei Sicherheits-Hard- und Software-Anbietern mit.
Jahrzehntelang wurde der sichere externe Zugriff auf Unternehmensnetzwerke über VPN-Technologie gewährleistet. Dies sollte von Unternehmen nun auf den Prüfstand gestellt werden. Denn durch den Zugriff auf das ganze Netzwerk entstehen Schutzlücken für Unternehmens-Assets.
VPN: Global aufgestellte Unternehmen nutzen den traditionellen Sicherheitsansatz. Doch dieser limitiert die Sicherheit des Unternehmens zunehmend.
VPN: Global aufgestellte Unternehmen nutzen den traditionellen Sicherheitsansatz. Doch dieser limitiert die Sicherheit des Unternehmens zunehmend.
Foto: Shutterstock - a-image

Viele Mitarbeiter kennen dieses Szenario: Fehler 800: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der ungeduldige Anwender verbindet sich nach dieser Fehlermeldung ohne jegliche Sicherheitsinstanz mit dem Unternehmensnetzwerk. Und öffnet damit Türen für Hacker.

VPN: Geschichte und Funktionsweise

ISDN, Frame Relay, ATM oder das Internet. All diese Technologie gilt als Grundlage für die VPNs, die wir heute kennen. Das Prinzip ist dabei immer das gleiche. Ein Gerät oder ein Rechner verbindet sich mit einem Netzwerk mit dem Ziel, Daten sicher zu übertragen.

Die Grundidee eines VPNs ist technisch recht einfach. Über das Internet sollen Daten sicher übertragen werden. Dazu wird mithilfe eines Tunneling-Protokolls eine virtuelle Verbindung aufgebaut, die verschlüsselt ist. Diese Verbindung wird Tunnel genannt, denn der Inhalt ist für andere nicht sichtbar. Durch den Tunnel ist es möglich, logische Verbindungen zwischen beliebigen Endpunkten, etwa einem Router, Gateways oder Client-Software, aufzubauen. Über den Tunnel haben Nutzer sodann Zugriff auf das Netzwerk, hinter dem die Unternehmensapplikationen liegen.

Software Defined Infrastructure in Deutschland 2016

Software Defined Infrastructure in Deutschland 2016

Software Defined Infrastructure (SDI) hilft Ihnen IT-Ressourcen kosteneffizienter und flexibler zu nutzen.
Weitere Vorteile und eine Roadmap zur SDI laut IDC erfahren Sie in dieser Studie.

Unternehmen müssen sicherstellen, dass die Anwendungen für ihre Mitarbeiter stets verfügbar sind. Daher legen sie ihre Rechenzentren meist redundant über drei Standorte weltweit aus. Sie implementieren Load Balancer, die für die parallele Verarbeitung der Anfragen auf mehreren Systemen sorgen, und zusätzlich VPN-Konzentratoren im Rechenzentrum. Um den Zugriff auf Applikationen im Netzwerk einzuschränken, ist zudem eine Firewall nötig. Eine Appliance zum Schutz vor DDoS-Attacken (Distributed Denial of Service) ist notwendig, damit Angreifer das Netzwerk nicht überlasten können. Letztlich sind Unternehmen meist gegen den möglichen Ausfall eines Rechenzentrums gewappnet und erzeugen redundante Anordnungen, die unweit des eigentlichen Rechenzentrums stehen.

Die Limitierungen des VPN-Ansatzes

Die traditionelle VPN-Implementierung hält dem heutigen Fortschritt der Digitalisierung nicht mehr stand. Zum einen sind VPNs statische Netzwerkverbindungen, und die Skalierbarkeit geht nur mit großem Konfigurationsaufwand und hohen Kosten einher. Jedes Nutzergerät, das via VPN auf das Unternehmensnetzwerk zugreifen soll, muss manuell eingerichtet werden. Und auch die Rechenzentren sowie ihre Duplikate unterliegen aufgrund von Hardware, wie Load Balancern, VPN-Konzentratoren, DDoS-Schutz und Firewalls, einem großen Verwaltungsaufwand und erzeugen enorme Komplexität. Durch diese statischen Verbindungen ist es zudem entsprechend kompliziert, Cloud-Applikationen einzubinden.

Zum anderen wird die Geschwindigkeit durch VPN-Datenübertragung gedrosselt. Das liegt daran, dass die Daten, bevor sie über den VPN-Tunnel zum Rechenzentrum geschickt werden, verschlüsselt werden müssen. Im Zuge der Digitalisierung werden außerdem immer mehr traditionelle Kommunikationskanäle ersetzt und auf elektronische Kommunikation gesetzt.

All dies wirkt sich auf die Geschwindigkeit der Verbindung aus. Mit Folgen: Ist die Verbindung zu langsam, verlieren die Mitarbeiter oft die Geduld. Um Geschwindigkeitsverluste gar nicht erst in Kauf nehmen zu müssen, greifen sie wenn immer möglich ohne VPN auf Applikationen zu. Beim Zugang ins Internet ist dies zum Bespiel häufig der Fall. Anstatt über den sicheren Proxy-Server im Unternehmen verbindet sich der Mitarbeiter direkt mit dem Internet.

Und nicht nur eine solche Situation gefährdet die Sicherheit der Unternehmens-Assets. Denn das größte Problem einer typischen VPN-Implementierung ist die Öffnung des gesamten Netzwerks für den Anwender – und nicht nur auf einige wenige benötigte Applikationen. Firewalls erlauben zwar anschließend wieder, den Zugriff einzuschränken, was aber komplex ist. Denn zunächst das Netz zu koppeln, um dann Einschränkungen vorzunehmen ist IT-sicherheitstechnisch ein sehr antiquierter und unzuverlässiger Ansatz – wie die häufigen erfolgreichen Angriffe, die auf diesem Weg erfolgen, belegen.

Mit der voranschreitenden Digitalisierung sind Unternehmen zunehmend mobiler ausgerichtet. Mitarbeiter arbeiten aus dem Home-Office und von unterwegs auf Geschäftsreise. Dennoch benötigen sie Zugriff auf die im Netzwerk vorgehaltenen Daten. Auch stellen sich Unternehmen immer globaler auf, weswegen das Netzwerk nicht nur auf Mitarbeiter weltweit, sondern auch für externe Dienstleister geöffnet wird. All diese Interessensgruppen bekommen via VPN Zugriff auf das Netzwerk des Unternehmens. Nur komplexe Firewall-Konfigurationen, die aufwendig zu erstellen und in der Regel nicht kontinuierlich überprüft werden, schränken den Zugriff ein.

Die Umfrage „Vendor Vulnerability Research 2016“ befragte 600 IT-Experten und ergab, dass 64 Prozent der Befragten schwere Sicherheitsverletzungen ihrer IT in diesem Jahr erwarten. Denn: Je weiter das Netzwerk über einen VPN-Tunnel vergrößert wird, desto mehr potenzielle Sicherheitslöcher können entstehen. Mitarbeiter verlassen das Unternehmen, ohne dass die IT-Abteilung mit der Verwaltung der Zugangsrechte nachkommt. Zugriffe für Gäste und externe Partner werden eingerichtet. Sobald Administratoren nicht alle Zugänge genau dokumentieren, geht die Transparenz verloren und die ursprüngliche Sicherheitsinstanz bekommt Löcher.

Diese Lücken wurden in der jüngsten Vergangenheit für gezielte Angriffe auf Unternehmen ausgenutzt, oftmals über den Umweg von Drittanbietern. Denn sobald ein VPN-Tunnel eingerichtet ist, erhält der entsprechende Anwender meist automatisch Zugang auf große Teile des Unternehmensnetzwerks, inklusive sensibler und geschäftskritischer Daten, wie Finanz- oder personenbezogene Informationen sowie das geistige Eigentum des Unternehmens. Über mögliche Sicherheitslücken zum Beispiel im Betriebssystem oder Fehlkonfigurationen kann sich der Angreifer oftmals rasch auch Zugriff auf Systeme verschaffen, die ursprünglich für diesen VPN-Nutzer gesperrt waren.

Der Zugriff auf das Unternehmensnetz wird immer von außen, also von dem Anwender, der Zugriff möchte, aufgebaut. Sicherer, zeitgemäß und deutlich einfacher administrierbar ist ohne Zweifel ein umgekehrter Ansatz – der sich aber in einer VPN-Umgebung nicht realisieren lässt. In einem solchen Fall fragt das Gerät im Rechenzentrum den Zugriff an, und die Verbindung wird vom Rechenzentrum aus zum Client aufgebaut.

Ist Ihre VPN-Implementierung noch zeitgemäß?

Die Herausforderung für Unternehmen liegt also darin die Risiken zu minimieren, die durch die Öffnung ihres Netzwerks durch einen VPN-Zugang entstehen. Gleichzeitig benötigen und erwarten Mitarbeiter immer mehr Performance in der Zugriffsgeschwindigkeit, denn diese wird mit der steigenden Nutzung von internen wie auch externen Cloud-Applikationen erforderlich.

IT-Abteilungen sollten sich zunächst die Frage stellen, ob sich die VPN-Implementierung, wie sie im Unternehmen vorzufinden ist, noch mit den Geschwindigkeitsanforderungen der Mitarbeiter und einem heute benötigten Sicherheitsstandard in Einklang zu bringen ist. Auch sollte überlegt werden, wie sich der Zugriff auf Cloud-Applikationen sicherstellen lässt, denn oft stellt der Zugang via VPN aufgrund der statischen Verbindungen einen Konflikt dar. Zuletzt ist es wichtig zu evaluieren, welche Mitarbeiter und externe Dienstleister zu welchen Daten im Unternehmensnetzwerk Zugang haben sollten. Benötigt ein Partner oder eine Drittpartei tatsächlich Zugang auf das gesamte Netzwerk, oder lediglich auf eine ausgewählte Applikation im Zuge einer ausgelagerten Dienstleistung?

Bei vielen Unternehmen erfolgt der Zugriff auf externe Cloud-Applikationen wie AWS über das interne Netzwerk. In diesem Fall wählt sich der Benutzer via VPN ins Unternehmensnetz ein und greift über einen VPN Site-to-Site Tunnel auf AWS zu. Dieser Ansatz ist für den Nutzer sehr langsam und für das Unternehmen teuer. Er verdeutlicht die Grenzen des VPN-Ansatzes. Sinnvoll ist es, Nutzer direkt auf AWS zugreifen zu lassen. In der Regel stellen aber VPNs nur eine Tunnelverbindung her – daher der Umweg über das Unternehmensnetz. Multipoint VPN’s sind zwar technisch realisierbar, aber enorm komplex. Dieses Problem wird mit der zunehmenden Anzahl von Cloud-Applikationen im Unternehmen immer größer. (mb)

 

mwidler@zscaler.com

Hallo Herr Hönig,

danke für Ihre Kommentare. Gerne greife ich Ihre Punkte auf.

„“Der ungeduldige Anwender verbindet sich nach dieser Fehlermeldung ohne jegliche Sicherheitsinstanz mit dem Unternehmensnetzwerk. Und öffnet damit Türen für Hacker.“ Das sollte es im Unternehmensumfeld nicht geben. Moderne VPN-Lösungen verhindern das Abschalten der Personal Firewall und gewährleisten sichere Authentifizierung der Zugänge, zugeschnitten auf die Anforderungen.“

Sie haben vollkommen Recht, dass es das nicht geben sollte, aber in der Realität doch der Fall ist. Bei einem VPN-Zugriff spielen zudem Loadbalancer, VPN Konzentratoren und Firewalls oftmals von verschiedenen Herstellern zusammen. In Großunternehmen werden diese Bereiche auch noch von verschiedenen Teams administriert. Die dadurch vorhandene Fehleranfälligkeit ist leider nicht zu vernachlässigen.

Zudem haben große Unternehmen in der Regel drei VPN-Gateways weltweit. Vom VPN-Gateway geht der Datenverkehr dann zur entsprechenden Applikation. Dies kann zum Beispiel in einem Datacenter des Kunden oder aber auf AWS legen. Nun muss der Datenverkehr vom VPN-Termination Punkt zur Applikation transportiert werden. Das ist unbestreitbar ein Umweg und daher deutlich langsamer als der direkte Weg.

Im Falle einer Infektion eines Clients hilft die Personal Firewall wenig. Oftmals hat ein Botnet dann direkten Access auf Unternehmens-Apps über den VPN-Tunnel. Dies ist eine sehr häufige angewandte Methode von Hackern, um auf Unternehmens-Applikationen Zugriff zu erhalten. Der Umweg über den Perimeter des Unternehmens ist für Hacker in der Regel deutlich schwerer.

„„Die Limitierung des VPN-Ansatzes“: Moderne VPN-Lösungen sind gerade auf Skalierbarkeit und automatische Einrichtung ausgelegt. Offensichtlich wird hier „traditionelles VPN“ mit „VPN von gestern“ verwechselt. Dass sich Anwender direkt mit dem Internet verbinden können, ist in Enterprise-Umfeld heutzutage kaum mehr möglich (siehe oben Personal Firewall). Heutige VPNs erkennen clientseitig Traffic und steuern welche Daten direkt zum Cloud Anbieter gehen und welche Daten im Tunnel verarbeitet werden.“

Ein VPN wurde entwickelt und ist so aufgebaut, dass das Netz um den User erweitert wird, der sich mit dem Netz verbindet. Sicherlich gibt es heute, wie Sie schreiben, zahlreiche Methoden um diese Nachteile zu eliminieren. Der grundlegende Ansatz selbst ist aber immer noch der gleiche. So hat jeder Remote User in der Regel die IP eines internen Netzes. Nicht alles was im VPN-Bereich machbar ist, möchte der Kunde aber auch aufgrund der hohen Komplexität umsetzten, wie etwa der Parallelbetrieb von IPsec und SSL-VPN Protokollen.

„Der Zugriff auf das Unternehmensnetz wird immer von außen, also von dem Anwender, der Zugriff möchte, aufgebaut. Sicherer, zeitgemäß und deutlich einfacher administrierbar ist ohne Zweifel ein umgekehrter Ansatz – der sich aber in einer VPN-Umgebung nicht realisieren lässt. In einem solchen Fall fragt das Gerät im Rechenzentrum den Zugriff an, und die Verbindung wird vom Rechenzentrum aus zum Client aufgebaut.“ Warum sollte diese Variante sicherer sein? Es ist doch eher eine Frage der starken Authentisierung. Und moderne VPNs lassen sich mit entsprechenden Management Systemen ebenso einfach administrieren.“

Viele moderne VPN Lösungen können einen transparenten Tunnel zum Zugriff auf das gesamte Netzwerk aufbauen (was ja bei vielen Anwendern auch gewünscht ist), aber auch granularen Zugriff auf einzelne Applikationen gewähren, z.B. für Partner und Lieferanten.

Es ist wesentlich sicherer, wenn eine Verbindung nur von der Applikation von innen aufgemacht wird, denn es vereinfacht die Administration der Firewall am Gateway massiv. So müssen nicht viele Ports geöffnet werden und eine Applikation, die nicht gesehen werden kann, benötigt zum Beispiel keinen DDOS Schutz.

Sicherlich lässt sich mit der Kombination von zahlreichen Komponenten verschiedenster Hersteller ein ähnliches Konzept aufbauen. Durch die Kombination diverser Herstellerprodukte entsteht allerdings ein teureres und schwieriger zu integrierendes Konzept, das zudem Fehleranfälligkeit birgt. Der Zero Trust Ansatz von Zscaler, einen einzelnen, dedizierten User mit einer dedizierten App zu verbinden, ist schnell und leicht zu integrieren, so dass dadurch zahlreiche der aufgeführten VPN-Nachteile eliminiert werden können.

Juergen Hoenig

Viele Aussagen im Artikel beziehen sich scheinbar auf "uralt" VPN-Lösungen.

„ Der ungeduldige Anwender verbindet sich nach dieser Fehlermeldung ohne jegliche
Sicherheitsinstanz mit dem Unternehmensnetzwerk. Und öffnet damit Türen für
Hacker.“ Das sollte es im Unternehmensumfeld nicht geben. Moderne
VPN-Lösungen verhindern das Abschalten der Personal Firewall und gewährleisten
sichere Authentifizierung der Zugänge, zugeschnitten auf die Anforderungen.

„Die Limitierung des VPN-Ansatzes“: Moderne VPN-Lösungen
sind gerade auf Skalierbarkeit und automatische Einrichtung ausgelegt.
Offensichtlich wird hier „traditionelles VPN“ mit „VPN von gestern“
verwechselt. Dass sich Anwender direkt mit dem Internet verbinden können, ist
in Enterprise-Umfeld heutzutage kaum mehr möglich (siehe oben Personal
Firewall). Heutige VPNs erkennen clientseitig Traffic und steuern welche Daten
direkt zum Cloud Anbieter gehen und welche Daten im Tunnel verarbeitet werden.

„Der Zugriff auf das Unternehmensnetz wird immer von außen,
also von dem Anwender, der Zugriff möchte, aufgebaut. Sicherer, zeitgemäß und
deutlich einfacher administrierbar ist ohne Zweifel ein umgekehrter Ansatz –
der sich aber in einer VPN-Umgebung nicht realisieren lässt. In einem solchen
Fall fragt das Gerät im Rechenzentrum den Zugriff an, und die Verbindung wird
vom Rechenzentrum aus zum Client aufgebaut.“ Warum sollte diese Variante sicherer sein? Es ist doch eher eine Frage der starken Authentisierung. Und moderne VPNs lassen sich mit entsprechenden Management Systemen ebenso einfach administrieren.

Viele moderne VPN Lösungen können natürlich einen transparenten
Tunnel zum Zugriff auf das gesamte Netzwerk aufbauen (was ja bei vielen
Anwendern auch gewünscht ist) aber natürlich auch granularen Zugriff auf
einzelne Applikationen gewähren, z.B. für Partner und Lieferanten.

Alles in allem doch ein sehr werblicher Artikel.

comments powered by Disqus