Wie sinnvoll ist der Weg über einen sicheren Tunnel, ein Virtual Private Network (VPN)?
Wenn es um IT-Sicherheit geht, wird schnell vom VPN Tunnel gesprochen, um mögliche Risiken abzusichern. Warum nutzt dann nicht jeder, immer und überall einen VPN Tunnel? Im Kern lautet die Frage: Wofür bzw. wogegen schützt ein VPN Tunnel wirklich? Aus IT-ler Sicht heißt die Antwort: “Es kommt darauf an“.
Um über den sinnvollen Einsatz eines VPN Tunnels sprechen zu können, sollte vorab geklärt werden, welche Art von Diensten wo zum Einsatz kommen. Die Dienste können Themen wie Freies Surfen, Streamen, Office 365 oder Anwendungen aus dem Unternehmen umfassen. Die Frage nach dem „wo“ kann in die Bereiche Zuhause, Öffentliches (W-)LAN, Büro oder Öffentliches 3G Netzwerk unterteilt werden. Wichtig ist dabei, um welches Endgerät es sich handelt, das genutzt wird: Ein Firmengerät, ein Privatgerät, ein PC in einem öffentlichen Internetcafé usw.
Um auf (sensible) Unternehmensanwendungen zugreifen zu können, ist ein sogenannter Client-VPN Tunnel oft eine sehr sinnvolle und schnell umsetzbare Variante, damit die Anwendung nicht im öffentlichen und somit direkt angreifbaren Internet steht. Diese Lösung ist bei jedem Standort eine gute Variante, solange es sich beim Endgerät um ein sicheres Gerät handelt. Hierzu zählen gemanagte Smartphones, PC usw. Aber auf keinen Fall sollten private PCs oder öffentliche PCs genutzt werden, um sich mit dem Rechenzentrum/Büro des Unternehmens zu verbinden, sofern es nicht explizit dafür ausgelegt ist.
Um so sicher wie möglich und bedenkenlos im Café, am Flughafen oder in der Bahn surfen zu können, ist ein Client-VPN zum Unternehmen oder zu einem Provider eine empfehlenswerte Variante. So können direkte Angriffe bzw. aktive Versuche des Mitlesens im öffentlichen und somit unsicheren Netzwerk des Anbieters unterbunden werden.
Für alle, die sich jetzt Gedanken machen, gibt es Entwarnung: Viele Dienste sind – sofern unterstützt und korrekt konfiguriert – durch Sicherheitsmaßnahmen wie Verschlüsslung oder z. B. HSTS (HTTP Strict Transport Security) bereits vor simplen Angriffen geschützt, auch ohne VPN Tunnel.
Allerdings sollten Sie den öffentlichen VPN Providern nicht bedenkenlos Vertrauen schenken. Denn die Vergangenheit hat gezeigt, dass diese ihren Job nicht immer ohne technische Fehler sowie ohne Hintertüren und Zugriff auf persönliche Informationen machen. Auch ist das Marketing dieser Anbieter oft etwas unpräzise mit Blick auf die darin gemachten Versprechen.
Der VPN-Tunnel als Allzweckwerkzeug?
Zugangsdaten
Die großen VPN Provider werben gerne damit, dass man mit einem VPN Tunnel seine Zugangsdaten schützen kann… Dieses Versprechen ist im Grundsatz richtig. Denn die Angriffe, die auf Zugangsdaten abzielen, werden nur in den wenigsten Fällen durch einen Angriff auf eine genaue Verbindung durchgeführt. Allerdings kann die reine Technik eines VPN-Tunnels bei Themen wie Social-Engineering oder Phishing leider nicht helfen, weil diese Arten von Cybercrime sehr effektiv sind.
Standort/Identität
Oft argumentieren die großen VPN Provider damit, dass sie die Identität sowie die Herkunft des Nutzers beim Surfen verschleiern können. Dies bezieht sich auf die Quell-IP-Adresse, die beim Anbieter des Web Dienstes, auf den man zugreift, angezeigt wird. Die Quell-IP-Adresse kann sowohl mit einem Firmen VPN Tunnel als auch mit einem Provider VPN Tunnel verändert werden. Dies ist grundsätzlich auch gut so, sofern genau dies das Ziel ist.
Beispielsweise werden auf diese Art Dienste, die nur im Ausland verfügbar sind, erreichbar gemacht. (z.B. Netflix etc.)
Um aber wirklich anonym im Internet unterwegs zu sein, sind weitaus mehr Schritte notwendig, als ausschließlich einen VPN Tunnel aufzubauen und sich auf ein grünes Lämpchen zu verlassen. Stichwort: Cookies, Browser Metadaten, Web-Tracking Hintergrunddienste usw.
Kurz gesagt: IT-Sicherheit ist deutlich komplexer als ein einzelner Marketingsatz es suggerieren mag. Unser Rat lautet deshalb: IT-Sicherheit sollte von Entscheidungsträgern ernst genommen und keinesfalls zwischen Tür und Angel entschieden werden.
Wenn Sie Unterstützung bei der Erstellung eines IT-Sicherheitskonzepts suchen oder sich ganz allgemein beraten lassen möchten, was IT-Sicherheit ausmacht, sprechen Sie uns gerne an.
