IT-Sicherheit in Zeiten mobiler Mitarbeiter

VPN – ein traditioneller Sicherheitsansatz mit Limitierungen

12.07.2016
Von 


Als Area Director CEE verantwortet Mathias Widler bei Zscaler die Geschäftsentwicklung in Zentral- und Osteuropa. Umfangreiche Sicherheitsexpertise bringt er durch seinen Werdegang bei Sicherheits-Hard- und Software-Anbietern mit.
Jahrzehntelang wurde der sichere externe Zugriff auf Unternehmensnetzwerke über VPN-Technologie gewährleistet. Dies sollte von Unternehmen nun auf den Prüfstand gestellt werden. Denn durch den Zugriff auf das ganze Netzwerk entstehen Schutzlücken für Unternehmens-Assets.
VPN: Global aufgestellte Unternehmen nutzen den traditionellen Sicherheitsansatz. Doch dieser limitiert die Sicherheit des Unternehmens zunehmend.
VPN: Global aufgestellte Unternehmen nutzen den traditionellen Sicherheitsansatz. Doch dieser limitiert die Sicherheit des Unternehmens zunehmend.
Foto: Shutterstock - a-image

Viele Mitarbeiter kennen dieses Szenario: Fehler 800: Die Remoteverbindung wurde aufgrund von VPN-Tunnelfehlern nicht hergestellt. Der ungeduldige Anwender verbindet sich nach dieser Fehlermeldung ohne jegliche Sicherheitsinstanz mit dem Unternehmensnetzwerk. Und öffnet damit Türen für Hacker.

VPN: Geschichte und Funktionsweise

ISDN, Frame Relay, ATM oder das Internet. All diese Technologie gilt als Grundlage für die VPNs, die wir heute kennen. Das Prinzip ist dabei immer das gleiche. Ein Gerät oder ein Rechner verbindet sich mit einem Netzwerk mit dem Ziel, Daten sicher zu übertragen.

Die Grundidee eines VPNs ist technisch recht einfach. Über das Internet sollen Daten sicher übertragen werden. Dazu wird mithilfe eines Tunneling-Protokolls eine virtuelle Verbindung aufgebaut, die verschlüsselt ist. Diese Verbindung wird Tunnel genannt, denn der Inhalt ist für andere nicht sichtbar. Durch den Tunnel ist es möglich, logische Verbindungen zwischen beliebigen Endpunkten, etwa einem Router, Gateways oder Client-Software, aufzubauen. Über den Tunnel haben Nutzer sodann Zugriff auf das Netzwerk, hinter dem die Unternehmensapplikationen liegen.

Unternehmen müssen sicherstellen, dass die Anwendungen für ihre Mitarbeiter stets verfügbar sind. Daher legen sie ihre Rechenzentren meist redundant über drei Standorte weltweit aus. Sie implementieren Load Balancer, die für die parallele Verarbeitung der Anfragen auf mehreren Systemen sorgen, und zusätzlich VPN-Konzentratoren im Rechenzentrum. Um den Zugriff auf Applikationen im Netzwerk einzuschränken, ist zudem eine Firewall nötig. Eine Appliance zum Schutz vor DDoS-Attacken (Distributed Denial of Service) ist notwendig, damit Angreifer das Netzwerk nicht überlasten können. Letztlich sind Unternehmen meist gegen den möglichen Ausfall eines Rechenzentrums gewappnet und erzeugen redundante Anordnungen, die unweit des eigentlichen Rechenzentrums stehen.

Die Limitierungen des VPN-Ansatzes

Die traditionelle VPN-Implementierung hält dem heutigen Fortschritt der Digitalisierung nicht mehr stand. Zum einen sind VPNs statische Netzwerkverbindungen, und die Skalierbarkeit geht nur mit großem Konfigurationsaufwand und hohen Kosten einher. Jedes Nutzergerät, das via VPN auf das Unternehmensnetzwerk zugreifen soll, muss manuell eingerichtet werden. Und auch die Rechenzentren sowie ihre Duplikate unterliegen aufgrund von Hardware, wie Load Balancern, VPN-Konzentratoren, DDoS-Schutz und Firewalls, einem großen Verwaltungsaufwand und erzeugen enorme Komplexität. Durch diese statischen Verbindungen ist es zudem entsprechend kompliziert, Cloud-Applikationen einzubinden.

Zum anderen wird die Geschwindigkeit durch VPN-Datenübertragung gedrosselt. Das liegt daran, dass die Daten, bevor sie über den VPN-Tunnel zum Rechenzentrum geschickt werden, verschlüsselt werden müssen. Im Zuge der Digitalisierung werden außerdem immer mehr traditionelle Kommunikationskanäle ersetzt und auf elektronische Kommunikation gesetzt.

Expertise zum Streamen

All dies wirkt sich auf die Geschwindigkeit der Verbindung aus. Mit Folgen: Ist die Verbindung zu langsam, verlieren die Mitarbeiter oft die Geduld. Um Geschwindigkeitsverluste gar nicht erst in Kauf nehmen zu müssen, greifen sie wenn immer möglich ohne VPN auf Applikationen zu. Beim Zugang ins Internet ist dies zum Bespiel häufig der Fall. Anstatt über den sicheren Proxy-Server im Unternehmen verbindet sich der Mitarbeiter direkt mit dem Internet.

Und nicht nur eine solche Situation gefährdet die Sicherheit der Unternehmens-Assets. Denn das größte Problem einer typischen VPN-Implementierung ist die Öffnung des gesamten Netzwerks für den Anwender – und nicht nur auf einige wenige benötigte Applikationen. Firewalls erlauben zwar anschließend wieder, den Zugriff einzuschränken, was aber komplex ist. Denn zunächst das Netz zu koppeln, um dann Einschränkungen vorzunehmen ist IT-sicherheitstechnisch ein sehr antiquierter und unzuverlässiger Ansatz – wie die häufigen erfolgreichen Angriffe, die auf diesem Weg erfolgen, belegen.

Mit der voranschreitenden Digitalisierung sind Unternehmen zunehmend mobiler ausgerichtet. Mitarbeiter arbeiten aus dem Home-Office und von unterwegs auf Geschäftsreise. Dennoch benötigen sie Zugriff auf die im Netzwerk vorgehaltenen Daten. Auch stellen sich Unternehmen immer globaler auf, weswegen das Netzwerk nicht nur auf Mitarbeiter weltweit, sondern auch für externe Dienstleister geöffnet wird. All diese Interessensgruppen bekommen via VPN Zugriff auf das Netzwerk des Unternehmens. Nur komplexe Firewall-Konfigurationen, die aufwendig zu erstellen und in der Regel nicht kontinuierlich überprüft werden, schränken den Zugriff ein.

Die Umfrage „Vendor Vulnerability Research 2016“ befragte 600 IT-Experten und ergab, dass 64 Prozent der Befragten schwere Sicherheitsverletzungen ihrer IT in diesem Jahr erwarten. Denn: Je weiter das Netzwerk über einen VPN-Tunnel vergrößert wird, desto mehr potenzielle Sicherheitslöcher können entstehen. Mitarbeiter verlassen das Unternehmen, ohne dass die IT-Abteilung mit der Verwaltung der Zugangsrechte nachkommt. Zugriffe für Gäste und externe Partner werden eingerichtet. Sobald Administratoren nicht alle Zugänge genau dokumentieren, geht die Transparenz verloren und die ursprüngliche Sicherheitsinstanz bekommt Löcher.

Diese Lücken wurden in der jüngsten Vergangenheit für gezielte Angriffe auf Unternehmen ausgenutzt, oftmals über den Umweg von Drittanbietern. Denn sobald ein VPN-Tunnel eingerichtet ist, erhält der entsprechende Anwender meist automatisch Zugang auf große Teile des Unternehmensnetzwerks, inklusive sensibler und geschäftskritischer Daten, wie Finanz- oder personenbezogene Informationen sowie das geistige Eigentum des Unternehmens. Über mögliche Sicherheitslücken zum Beispiel im Betriebssystem oder Fehlkonfigurationen kann sich der Angreifer oftmals rasch auch Zugriff auf Systeme verschaffen, die ursprünglich für diesen VPN-Nutzer gesperrt waren.

Der Zugriff auf das Unternehmensnetz wird immer von außen, also von dem Anwender, der Zugriff möchte, aufgebaut. Sicherer, zeitgemäß und deutlich einfacher administrierbar ist ohne Zweifel ein umgekehrter Ansatz – der sich aber in einer VPN-Umgebung nicht realisieren lässt. In einem solchen Fall fragt das Gerät im Rechenzentrum den Zugriff an, und die Verbindung wird vom Rechenzentrum aus zum Client aufgebaut.

Ist Ihre VPN-Implementierung noch zeitgemäß?

Die Herausforderung für Unternehmen liegt also darin die Risiken zu minimieren, die durch die Öffnung ihres Netzwerks durch einen VPN-Zugang entstehen. Gleichzeitig benötigen und erwarten Mitarbeiter immer mehr Performance in der Zugriffsgeschwindigkeit, denn diese wird mit der steigenden Nutzung von internen wie auch externen Cloud-Applikationen erforderlich.

IT-Abteilungen sollten sich zunächst die Frage stellen, ob sich die VPN-Implementierung, wie sie im Unternehmen vorzufinden ist, noch mit den Geschwindigkeitsanforderungen der Mitarbeiter und einem heute benötigten Sicherheitsstandard in Einklang zu bringen ist. Auch sollte überlegt werden, wie sich der Zugriff auf Cloud-Applikationen sicherstellen lässt, denn oft stellt der Zugang via VPN aufgrund der statischen Verbindungen einen Konflikt dar. Zuletzt ist es wichtig zu evaluieren, welche Mitarbeiter und externe Dienstleister zu welchen Daten im Unternehmensnetzwerk Zugang haben sollten. Benötigt ein Partner oder eine Drittpartei tatsächlich Zugang auf das gesamte Netzwerk, oder lediglich auf eine ausgewählte Applikation im Zuge einer ausgelagerten Dienstleistung?

Bei vielen Unternehmen erfolgt der Zugriff auf externe Cloud-Applikationen wie AWS über das interne Netzwerk. In diesem Fall wählt sich der Benutzer via VPN ins Unternehmensnetz ein und greift über einen VPN Site-to-Site Tunnel auf AWS zu. Dieser Ansatz ist für den Nutzer sehr langsam und für das Unternehmen teuer. Er verdeutlicht die Grenzen des VPN-Ansatzes. Sinnvoll ist es, Nutzer direkt auf AWS zugreifen zu lassen. In der Regel stellen aber VPNs nur eine Tunnelverbindung her – daher der Umweg über das Unternehmensnetz. Multipoint VPN’s sind zwar technisch realisierbar, aber enorm komplex. Dieses Problem wird mit der zunehmenden Anzahl von Cloud-Applikationen im Unternehmen immer größer. (mb)