Schwerpunkte

Datenschutz im Homeoffice

Zielscheibe VPN

18. März 2021, 10:43 Uhr   |  Autor: Clemens A. Schulz / Redaktion: Diana Künstler | Kommentar(e)

Zielscheibe VPN
© ra2studio-123rf

Ein Nachteil konventioneller VPN-Lösungen ist ihre Abhängigkeit vom Betriebssystem. Abhilfe verspricht ein neuartiger, softwarebasierter Ansatz. Behörden, KRITIS und Unternehmen gewinnen mit solchen VPN-Clients eine sichere Basis für die mobile Arbeitswelt von heute.

Für die Arbeit aus dem Homeoffice oder von unterwegs ist eine Anbindung mobiler Geräte an das Behörden- oder Firmennetzwerk mittels Virtual Private Network (VPN) unverzichtbar. Ein VPN baut über einen „gesicherten Tunnel“ eine Verbindung zwischen dem Endgerät und dem Unternehmensnetz auf. Mit kryptografischen Verfahren wird dabei die Integrität und Vertraulichkeit von Daten geschützt.

Eine der größten Schwächen gängiger VPN-Lösungen ist jedoch, dass diese bei der Installation auf das Betriebssystem aufgesetzt werden. Befällt eine Schadsoftware Windows, dann ist auch der VPN-Client betroffen und Angreifer können die VPN-Verbindung ausschalten. Die Daten fließen dann, vom User unbemerkt, über unsichere und unverschlüsselte Netzwerke – wie das heimische WLAN – ab.

Datenabfluss verhindern

Hacker gewinnen auf diese Weise nicht nur Zugriff auf sensible Daten, sondern auch auf Metadaten, wie etwa die IP-Adressen der Unternehmens-Firewall. Mit diesen Informa-tionen können sie beispielsweise die gesamte Unternehmens-IT angreifen. Auch der Nutzer selbst kann – versehentlich oder mit Absicht – eine im Betriebssystem verankerte VPN- Verbindung ausschalten. Unternehmen und Behörden fehlt bei solchen VPN-Lösungen also vollständig die Kontrolle darüber, welche Netzwerke die Mitarbeiter für die Datenübertragung nutzen. Für den Schutz hochsensibler Daten sind diese VPN-Lösungen daher ungeeignet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb, dass VPN-Lösungen, die für sogenannte „eingestufte“, also schützenswerte, Informationen zum Einsatz kommen, unabhängig vom Betriebssystem arbeiten müssen. Auf diese Weise soll ein Abfluss der Daten selbst bei Schwachstellen und Sicherheitslücken im Betriebssystem verhindert werden. Das Prinzip stammt aus militärischen Anwendungen und wird als „Rot-Schwarz-Trennung“ bezeichnet.

Hardwaresysteme haben Nachteile

Das rote Netzwerk ist ein Rechnernetz, in dem schützenswerte Informationen auch unverschlüsselt liegen dürfen. Unsichere Netzwerke, in die keine schützenswerten Informationen gelangen dürfen, bezeichnet man als schwarze Netzwerke. Auch das Internet zählt zu diesen schwarzen Netzwerken. Rotes und schwarzes Netz müssen in Hochsicherheitsarchitekturen voneinander getrennt sein. Produkte, die zum Beispiel für die Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ zugelassen sind, erfüllen diese Anforderung. Sie bieten dadurch einen besonders hohen Schutz vor Lauschangriffen oder Cyberattacken. Technisch ließ sich die Rot-Schwarz-Trennung für VPN bisher nur mittels Hardwaresystemen umsetzen. In den vergangenen Jahren nutzten viele Behörden und kritische Infrastrukturen daher sogenannte VPN-Boxen. Der Nachteil der Boxen: Für die Arbeit von unterwegs – etwa am Flughafen, in der Hotellobby oder im Taxi – sind die Boxen ungeeignet, da sie eine externe Stromanbindung benötigen.

Spätestens während der Corona-Pandemie, als eine große Zahl an Mitarbeitern von einem auf den anderen Tag ins Homeoffice ging, gelangten diese Hardware-VPN-Lösungen schnell an ihre Grenzen. Denn die Boxen und passenden Laptops müssen für jeden Mitarbeiter, der nun von Zuhause aus arbeitet, angeschafft werden. Das ist nicht nur teuer. Im Falle von Lieferengpässen verzögert sich die Umstellung auf den Remote-Betrieb erheblich. Behörden, kritische Infrastrukturen und alle Unternehmen, die ihre Daten besonders schützen wollen, waren daher in den vergangenen Monaten in einem Dilemma: Herkömmliche VPN-Lösungen bieten zu wenig Schutz – hochsichere Geräte wiederum ließen sich nicht für den Massenbetrieb einführen. Mittlerweile ist es aber technisch möglich, VPN-Lösungen, die unabhängig vom Betriebssystem arbeiten, auch auf Basis von Softwareanwendungen zu entwickeln. Das Prinzip dahinter ist die Kontrolle der Schnittstellen. Dem Betriebssystem wird dabei der Zugriff auf alle Netzwerkschnittstellen der Laptop-Hardware verwehrt. Kontrolliert werden beispielsweise USB-Anschlüsse und kabelgebundene oder kabellose Netzwerke wie das WLAN. Eine radikale Reduktion der Schnittstellen stellt sicher, dass Windows nur einen einzigen Kanal erkennt: den VPN-Client. Nur über dieses sichere Netzwerk können die Daten abfließen.

Kurzgefasst: VPN

Mithilfe von Virtuellen Privaten Netzen (VPNs) können schutzbedürftige Daten über nicht-vertrauenswürdige Netze wie das Internet übertragen werden. Ein VPN ist laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Netz, das physisch innerhalb eines anderen Netzes betrieben wird, jedoch logisch von diesem Netz getrennt ist. VPNs können mithilfe kryptografischer Verfahren die Integrität und Vertraulichkeit von Daten schützen. Die sichere Authentisierung der Kommunikationspartner ist auch dann möglich, wenn mehrere Netze oder IT-Systeme über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind. Bei einem nicht sauber geplanten, aufgebauten oder konfigurierten VPN können Sicherheitslücken entstehen, die alle IT-Systeme betreffen könnten, die mit dem VPN verbunden sind. Angreifern kann es so möglich sein, auf vertrauliche Informationen der Institution zuzugreifen. Ein Beispiel: Wurden Benutzer nicht ordnungsgemäß im Rahmen der VPN-Strategie geschult, könnten sie das VPN in einer unsicheren Umgebung benutzen oder sich von unsicheren Clients aus einwählen. Dies ermöglicht es Angreifern eventuell, auf das gesamte Institutionsnetz zuzugreifen. (DK)

 

Seite 1 von 2

1. Zielscheibe VPN
2. Angriffe laufen ins Leere

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Rohde & Schwarz Cybersecurity