Nachhaltigen Schutz gegenüber Viren aus dem Internet bietet das "kontrollierte Surfen". Der VPN-Client ist dabei so konfiguriert, dass der mobile Anwender das Internet ausschließlich getunnelt über die Firmenzentrale nutzen darf. Der große Vorteil liegt darin, dass alle Internet-Verbindungen über das zentrale VPN-Gateway laufen und von zentralen Security-Einrichtungen kontrolliert werden.

Neben der VPN-Client-Software müssen die Endgeräte über zusätzliche Sicherheitsmechanismen verfügen, die ausreichend Schutz gegen "Back-Door-Attacken" bieten. Entsprechende Funktionen bietet eine Personal Firewall, die alle ein- und abgehenden Verbindungen überwacht. Idealerweise ist sie direkt in den VPN-Client integriert. Das sorgt nicht nur für eine einfache Bedienung, sondern ist auch Voraussetzung für die Einbindung in ein unternehmensweites Management-System.

Des Weiteren sollte der mobile Anwender keine Möglichkeit haben, Änderungen an den Firewall-Einstellungen vorzunehmen, denn letztlich würde auch eine "durchgeschlüpfte" Malware mit seinen Berechtigungen arbeiten. Diese Forderung steht vordergründig im Widerspruch zur Anmeldung eines mobilen Teleworkers an einem Hotspot. Hier ist eine besondere Vorgehensweise erforderlich: Die Anmeldung findet in der Regel über HTTP oder HTTPS statt, was bedeutet, dass diese Ports vor der Etablierung eines sicheren VPN-Tunnels an der Personal Firewall geöffnet werden müssen sein, was ein grundsätzliches Sicherheitsrisiko darstellt.

Der Anwender könnte in dieser Phase ungehindert im Internet arbeiten und wäre angreifbar. Die Personal Firewall muss deshalb in Abhängigkeit vom Verbindungsstatus dynamisch sicherstellen, dass nur die Hotspot-Anmeldung und der VPN-Aufbau erfolgen, jedoch keine weiteren Programme direkt auf das Internet zugreifen können. Alle Firewall-Mechanismen sollten frühest möglich - idealerweise bereits beim Systemstart - aktiviert werden und gegebenenfalls auch dann aktiv bleiben, wenn kein VPN-Dienst genutzt wird.

Es ist sicherlich in großen Datennetzen heute nicht mehr ausreichend, den Zugriff per einfachem User-Namen und Passwort zu gestatten. Bewährte Methoden der Authentifizierung sind heute der Einsatz von Einmalpasswort-Tokens oder Zertifikaten als Software und auf Smartcards beziehungsweise anderen Formfaktoren wie einer Multimedia-Card. Der VPN-Client muss alle Authentisierungstechniken auch im Umfeld einer Public Key Infrastructure (PKI) nutzen können. Voraussetzung ist natürlich, dass auch auf der Zentralseite entsprechende IT-Strukturen installiert sind und vom VPN-Gateway unterstützt werden.

Um einen VPN-Client rundum sicher zu gestalten, sollte er auch immun gegen eine unbemerkte Installation von Fremd-Dialern sein. Ein eigener, vom Microsoft-DFÜ-Netzwerk unabhängiger Dialer sorgt hier für Abhilfe.