Wer heute über die Vorzüge von Virtual Private Networks diskutiert, meint in der Regel den Datentransfer via Internet - eine Bedeutung, die der Begriff nicht immer hatte. Ursprünglich bezeichnete er ein Verfahren, um abgeschlossene Unternehmensnetze über öffentliche Wählleitungen zu realisieren. Im Zeitalter der globalen Vernetzung ist unter dem Stichwort fast nur noch von der Übertragung verschlüsselter Daten über das Internet die Rede.
Mit der Verschiebung des Begriffs gewinnen allerdings Sicherheitsfragen an Bedeutung, weil das weltweite Netz nach wie vor als sehr unsicher gilt. Zwar tragen Hersteller von VPN-Equipment dem Rechnung, indem sie ihre Geräte mit Security-Features wie Verschlüsselung, Zugangskontrolle und Authentifizierung ausstatten. Doch ist das wirklich genug? Nigel Deighton, Analyst bei der Gartner Group, bezweifelt dies, denn "Schlüssel, die aus den USA exportiert werden dürfen, sind schon geknackt worden", gibt er zu Bedenken. Die dort für den Export erlaubte Schlüssellänge ist bei symmetrischen Verfahren auf 40 Bit, mit besonderen Auflagen auf 56 Bit beschränkt.
Die unterschiedlichen Regelungen verschiedener Regierungen in bezug auf Verschlüsselung kommen erschwerend hinzu. Frankreich beispielsweise verbietet die Kryptographie und stimmt nur in seltenen Fällen Ausnahmegenehmigungen zu. "Wenn Sie da eine Niederlassung haben, sind VPNs keine gute Lösung", warnt Heiner Genzken, Pressereferent Fachpresse bei Intel. In Ländern wie Saudi Arabien ist Verschlüsselung sogar ganz verboten.
Schwierigkeiten, die Hersteller nur allzu oft in ihrer vollmundigen Werbung verschweigen. Neben der Sicherheitsproblematik kehren sie auch gerne die mangelnde Zuverlässigkeit und die fehlende Garantie von Bandbreite im Internet unter den Teppich. Gerade dieses Manko könnte sich jedoch für VPNs zum Fallstrick entwickeln. "Ein Internet-Service-Provider (ISP) kann in seinem eigenen Netz wenigstens in einem gewissen Rahmen Garantien übernehmen", gibt Nigel Deighton zu Bedenken. Beim Übergang vom Netz eines ISP zum anderen, so der Analyst, ist das allerdings nicht mehr möglich. Genauso wenig kann ein Provider die Verfügbarkeit des Netzes garantieren.
Aus diesen Gründen empfehlen Marktforscher der Meta Group, das Internet nur für den Transport spezifischer Anwendungen wie etwa E-Mail zu benutzen, denen unvorhersehbare Latenzzeiten und Staus wenig anhaben. In Frage kommen eventuell auch User geringer Priorität, aber keinesfalls geschäftskritische Applikationen.
Sollen mit dem VPN nicht nur mobile Mitarbeiter angebunden, sondern verschiedene Unternehmen vernetzt werden, kommt noch ein anderes Problem hinzu - die Adressierung. Weil die meisten IP-Adressen schon vergeben sind, benutzen viele Firmen intern eine andere Adressierung. Daraus erwächst das Problem, daß die Adressierung zwischen verschiedenen Unternehmen nicht immer eindeutig ist. "Die Übersetzung der Adressen ist alles andere als einfach. Hier muß noch einige Arbeit getan werden", skizziert Deighton das Dilemma.
Entscheidet sich eine Company trotzdem für ein Virtual Private Network, muß sie sich noch durch einen Dschungel von unterschiedlichen Technologievarianten kämpfen: Es gibt nämlich Hardware-, Router-, Firewall- und Software-basierte VPNs. Während Router-basierte Lösungen nach Angaben der Hersteller einfach und kostengünstig zu installieren sind, halten Konkurrenten dem entgegen, Router seien nicht sicher, da sich ihre Konfigurationen von außen manipulieren lassen.
Umgekehrt gelten Hardware-basierte Systeme (wie das VPN-Produkt von Radguard) im anderen Lager als proprietär und kostspielig. Sie besitzen aber einen eigenen Chip für die Verschlüsselung und entlasten damit den Server, so daß eine höhere Performance erzielt wird. In einem Test der "Network World" schneiden denn auch diese Komponenten in Sachen Sicherheit und Performance am besten ab. Allen gemeinsam ist, daß sie Tunnel nutzen, um LANs über das Internet zu verbinden (siehe Glossar).
Neben einem solchen Gerät oder entsprechender Software benötigt der VPN-Kunde noch einen Vertrag mit einem ISP. Bei dessen Auswahl empfiehlt Nigel Deighton, nicht nur nach dem Preis zu schielen, sondern auch auf die Netz-Performance zu achten. Darüber hinaus sollten Interessenten prüfen, ob der Anbieter die nötige geografische Reichweite hat und für zeitkritische Applikationen außer dem Internet noch weitere Dienste (zum Beispiel Frame Relay) anbietet.
Telekom führt Pilotprojekte durch
In Deutschland arbeitet beispielsweise die Deutsche Telekom an einer VPN-Lösung auf IP-Basis. Das Produkt "Intraconnect" setzt auf einem Backbone auf, der laut Telekom vom öffentlichen Internet logisch getrennt ist. Für die Leitung vom Kunden-LAN zur Telekom kommen Bandbreiten zwischen 64 Kbit/s und 34 Mbit/s in Betracht. Kriterien für die Tarifierung sind je nach Kundenwunsch Übertragungs-geschwindigkeiten oder -volumina beziehungsweise garantierte Bandbreiten. Intraconnect ist bereits im Rahmen mehrerer Pilotprojekte vermarktet worden, die offizielle Freigabe erfolgt vermutlich in der zweiten Jahreshälfte 1998.
"Die Internet-VPN-Technologie hat noch einen weiten Weg vor sich, bis sie für Mainstream-User geeignet ist", resümiert Nigel Deighton. Das bestätigen die Erfahrungen, die Anwender in den Vereinigten Staaten gemacht haben. Während sich die große Mehrheit abwartend verhält, gibt es dort bereits einige erfolgreiche Implementierungen (zum Beispiel in der Memorial Hospital Alliance in Mount Holly, New Jersey). Doch selbst diese berichten von Kinderkrankheiten wie dem Kampf mit Fehlern in der Software oder Schwierigkeiten beim Fernzugriff.
Eins der bislang ehrgeizigsten VPN-Projekte ist das Automotive Network Exchange (ANX), ein Projekt führender Automobilhersteller für Electronic Commerce über das Internet. Neben den Fabrikanten General Motors, Ford und Chrysler sollen diverse Zulieferer im VPN-Verbund mitfahren. Voraussetzung für den Einsatz von VPN-Produkten im ANX ist die Zertifizierung durch die International Computer Security Association (ICSA). Kürzlich hat die Organisation den Herstellern Network Associates, VPNet, Check Point, Radguard, Axent und Timestep grünes Licht gegeben. Diese gelten damit als untereinander und mit dem Standard "Internet Protocol Security" (IPSec) kompatibel.
Wie in den USA warten auch hierzulande die meisten Anwender ab. Rainer Webel, Leiter Sprach-Datenkommunikation bei Karl Schenk Informationssysteme in Darmstadt, überlegt immerhin, ob er zwischen den Tochtergesellschaften ein VPN aufbauen soll. Der Wunsch, das Internet für die Kommunikation zu nutzen, ging von den Töchtern aus. Webel hat jedoch Bedenken hinsichtlich der Performance und der Sicherheit im Internet. Außerdem benötigten die Töchter dann Firewalls, womit dem Unternehmen ein neuer Kostenfaktor entstehe. Der DV-Manager müßte nämlich zu ihrer Bedienung erst neue Mitarbeiter einstellen. Über das VPN würden E-Mail und SAP-R/3-Daten fließen. In Anbetracht all dieser Unwägbarkeiten überlegt Webel, ob ein Corporate Network nicht doch die bessere Alternative ist.
Abb.1: Sicherheit im VPN
Um über das Internet eines sichere Verbindung zu gewährleisten, müssen die Faktoren Zugangskontrolle, Authentifizierung und Verschlüsselung zusammenspielen. Quelle: Check Point
Abb.2: Zeitliche Entwicklung im VPN-Markt
Am einfachsten lassen sich VPNs für die Anbindung einzelner Mitarbeiter realisieren (D-VPN). Quelle: Meta Group