Wie sicher ist ein VPN-Tunnel? Nicht so sicher, wie Sie vielleicht annehmen
Das Arbeiten aus dem Home-Office, Fernwartung von Servern und Clients sowie Kollaboration. Öffentliche WLAN-Netzwerke und neugierige Blicke. Informationssicherheit und Schutz der Privatsphäre. Das sind einige der Hauptgründe dafür, weshalb Organisationen sich für den Betrieb von Virtual Private Networks (VPN) entscheiden. Aber bieten VPN wirklich den versprochenen Schutz?
Die VPN-Technologie wurde erstmals 1996 eingesetzt, als ein Microsoft-Mitarbeiter das PPTP-Protokoll entwickelte. Das Protokoll schuf eine sicherere private Verbindung zwischen einem Benutzergerät und dem Internet.
Wie sicher ist ein VPN?
Viele VPN-Anbieter behaupten, marktführend beim Schutz vertraulicher persönlicher Daten zu sein, wenn sich Mitarbeiter mit öffentlichen Netzwerken verbinden. In manchen Fällen funktioniert der VPN-Client auch wie versprochen. Durch die Bereitstellung einer verschlüsselten Verbindung auf von der IT verwalteten Geräten, konzentrieren sich diese Lösungen auf den Schutz vertraulicher Daten sowie der persönlichen Daten der VPN-Nutzer. Jemand, der nach einer Sicherheitslücke bei einem öffentlichen WLAN-Hotspot sucht, könnte keine Internetaktivität erkennen. Nutzer, die öffentlichen Internetzugriff ohne Schutz verwenden, können hingegen aufgespürt werden.
Aber was passiert, wenn jemand in einem angrenzenden Büroraum und nicht in einem Fernzug arbeitet? Ein VPN geht immer davon aus, dass der Internetverkehr sicher ist. In vielen Fällen leider ein Trugschluss.
Dies ist auf folgende Punkte zurückzuführen:
Ein VPN-Tunnel stellt sinnbildlich genau dieses dar: Einen Tunnel. VPN-Sicherheit versucht alle Benutzer-Aktivitäten vor Dritten und Hackern zu verbergen, wenn Mitarbeiter oder Dienstleister remote arbeiten. Die einzige Aufgabe dieser Lösungen ist es, Datenströme und bewegte Informationen vor neugierigen Augen und der Möglichkeit des Mitlesen zu verstecken, die es auf vertrauliche Daten abgesehen haben. Eben wie in einem Tunnel, der von außen nicht einzusehen ist. Dementgegen steht jedoch, dass man selbst auch nicht mehr kontrollieren und überwachen kann, was in diesem Verborgenen geschieht. Was somit gänzlich außen vor bleibt, sind alle neuen Angriffsvektoren.
Entwicklung wie z.B. Bring your own device (BYOD), verstärken den Punkt, dass Office IT nicht mehr nur von der IT-Abteilung bereitgestellt und vorzugsweise vor Ort im Büro genutzt wird. Mitarbeiter wollen und nutzen heutzutage regelmäßig ihre eigenen, mobilen Endgeräte bei der Arbeit. Sie vertrauen auf Cloud-, SaaS- und webbasierte Anwendungen. Es ist in den meisten Fällen noch ein Leichtes auf nicht genehmigte Anwendungen wie private Clouddienste zurückzugreifen. Ergo heißt dies, dass eigentlich von Überall und über jedes Einfallstor auf unternehmensinterne Netzwerke zugegriffen werden kann.
Je mehr Angriffsflächen geboten werden, desto weniger können IT-Abteilungen angemessen darauf reagieren und geeignete technische und organisatorische Maßnahmen treffen.
Sicherheitslücken bei VPN und Alternativen
Selbst das beste VPN kann nicht alle Angriffsflächen abdecken, wenn es um den Schutz persönlicher Informationen geht. Warum? Im Gegensatz zu Zero-Trust-Lösungen, die keinerlei Vertrauen in Nutzer setzen, vertrauen traditionelle Netzwerkmodelle blind auf ihre Nutzer. Sobald der Zugriff über VPN-Technologie gestattet wurde, haben Nutzer vollen Zugriff auf das Netzwerk.
Das heißt bildlich gesprochen: Das Netzwerk des Anwenders, der die VPN-Verbindung aufbaut, verknüpft dieses im Normalfall automatisch mit dem Ziel-Netzwerk innerhalb seiner Organisation. Das heißt im Umkehrschluss, dass auch alle potentielle Bedrohungen, die in dem fernen Netzwerk lauern, nun relevant werden für das schützenswerte Unternehmensnetzwerk.
Außerdem: VPNs schützen das Unternehmensnetzwerk nicht wenn Nutzer sich vor Ort, aus dem „eigenen“ Netzwerk anmelden. VPN-Tunnel setzen meist nicht nur auf eine viel zu simple einstufige Authentifizierung des Benutzers, sondern beschränken sich auch auf den reinen Fernzugriff von Außerhalb. Das stellt eine Gefahr für Unternehmensressourcen dar. Handelt es sich sogar um ein kostenloses VPN-Tunnel mit Ad Tracking und Werbung, steigt das Risiko sogar unermesslich.
VPN an und für sich, verfolgt die richtigen Ziele – mehr Informationssicherheit, mehr Online-Privatsphäre und Datenschutz, Schutz kritischer Assets. Jedoch gibt es hierfür effektivere Alternativen.
3 Gründe VPN durch eine PAM-Lösung mit integriertem Remote Support zu ersetzen:
1. Hohes Risiko durch unkontrollierbare Sicherheitslücken
VPNs setzen gesamte Netzwerke einer Gefahr durch verteilte DDoS- und Sniffing- und Spoofing-Angriffe aus. Denn VPN verbindet zwei eigentlich voneinander getrennte Sicherheitszonen. Sobald ein Angreifer oder Malware über ein infiziertes verbundenes Gerät in ein Netzwerk einbindet, kann das gesamte interne Unternehmensnetzwerk betroffen sein.
Mit VISULOX erhalten externe, als auch interne Benutzer Zugriff auf einen eigenen Workspace – Ohne VPN, auf Wunsch per Single Sign On (SSO) und vorheriger Multi Faktor Authentifizierung (MFA). Der Zugriff erfolgt auf Anwendungsebene, wodurch bewusst voneinander getrennte Sicherheitszonen zu keinem Zeitpunkt miteinander verknüpft werden.
2. Schwierige Skalierung und geringer Benutzerkomfort mit VPN-Verbindungen
VPN-Tunnel werden in der Regel für eine geringe Anzahl von Remote-Mitarbeitern bereitgestellt. Oft heißt es, dass vor allem privilegierte Benutzer vorzugsweise im Unternehmensnetzwerk selbst arbeiten sollen. heute aber gibt es Unternehmen, die überwiegend Remote-Arbeitsplätze zur Verfügung stellen. Sei es aufgrund von äußeren Einflüssen, wie bspw. der Home-Office Pflicht durch die Corona Pandemie oder aber auch der Wandel des Arbeitslebens selbst. VPN Infrastrukturen werden hier schnell zu Engpässen und stellen eine kritische Abhängigkeit für Unternehmen her. Dies gilt vor allem für traditionelle Client-Server-Anwendungen, die viel Bandbreite benötigen und nicht einfach zu skalieren sind.
VISULOX stellt jedem Anwender, ob aus der Finanzabteilung, der Produktion oder IT-Administration einen geeigneten und Ihm bekannten Workspace per Webbrowser bereit. Darüber hinaus bietet VISULOX als PAM-Lösung grundlegende Sicherheitsfunktionen, wie z.B. Multi Faktor Authentifizierungen, Single Sign On, Session Recording und kontrollierten Datentransfer. VISULOX denkt mit und skaliert aufgrund eines dynamischen Lizenzmodells automatisch die gesamte Belegschaft durch concurrent Benutzer, ohne dass der Aufwand innerhalb der IT-Abteilung merklich erhöht wird. VISULOX kann ohne Agent auf Clients oder Servern unmittelbar und ohne Betriebsunterbrechung in Betrieb genommen werden.
3. Der Zugriff auf VPN erfolgt über ungemanagte private Endgeräte
Das ist ein sehr hohes Risiko, da eine interne IT-Abteilung keinen Einfluss auf den Sicherheits-Zustand persönlicher Computer sowie privater mobiler Endgeräte hat. Diese Geräte könnten mit Ransomware oder Malware infiziert sein, die Angreifer nutzen, um ein Einfalltor in Unternehmensnetzwerke zu kreieren oder vertrauliche Daten auszuspionieren. Vor allem der meist uneingeschränkt möglich Datentransfer, bspw. über verknüpfte Netzlaufwerke bietet einen erheblichen Angriffsvektor, der aber nicht nur das Risiko des Einschleusens von Schadsoftware, sondern auch den Abfluss von wertvollen Informationen nach draußen begünstigt.
VISULOX arbeitet wie die bekannte Sicherheitskontrolle an Flughäfen und scannt jede zu übertragende Datei. Ausnahmslos jeder Datentransfer – ob rein oder raus – durchläuft diesen Scan. VISULOX erlaubt es feste Regeln zu definieren und somit den gesamten Datentransfer zu kontrollieren. Die Verbindung erfolgt von der Anwendung zu VISULOX und erst dann zum Server und umgekehrt, so dass die Sicherheitszonen zu jedem Zeitpunkt aufrechterhalten werden.