VPNs (Virtual Private Networks) sind eines der wichtigsten Werkzeuge, um Mitarbeiter*innen und Geschäftspartnern von extern einen sicheren Zugriff auf ein internes Unternehmensnetzwerk zu ermöglichen. Unter Anwendung von Verschlüsselungen wird ein abhörsicherer Tunnel für Daten vom Client zum Unternehmensnetzwerk hergestellt. Darüber können User*innen die Vorteile von internen Diensten nutzen, die normalerweise nur den Benutzer*innen vor Ort zur Verfügung stehen. Das können z. B. ein Intranet, Drucker, sensible Dokumentenspeicher oder vorwiegend andere lokal eingeschränkte und interne Systeme sein. Umgesetzt werden diese VPNs typischerweise im Unternehmensnetzwerk über dezidierte Server oder auch z.B. als Zusatzfunktion auf vorhandenen Firewalls. Diese Gateways müssen natürlich über das Internet und meist global erreichbar sein. Solche Zugangspunkte zu geschützten Netzbereichen sind daher beliebte potentielle Ziele für Angreifer. Da auch immer wieder Schwachstellen in Software, bei der Implementierung oder auch im Betrieb auftreten und gefunden werden, sind einige Punkte für den sicheren Umgang ganz besonders zu beachten. Zur möglichen Verbesserung des Sicherheitsniveaus dieser wesentlichen Services ist von der US-Amerikanischen Cyber Security Agency ein Best-Practice-Paper zusammengestellt worden, das bei der Planung und Administration zur sicheren Umsetzung von VPNs unterstützen soll [1].

Fünf Wesentliche Empfehlungen zur sicheren Auswahl und den Betrieb von VPN-Lösungen

• Wählen Sie eine bekannte, bewährte und standardisierte Lösung
  Es beginnt schon bei der Systemauswahl: Bei bekannten und weit verbreiteten Herstellern, deren Produkte gut dokumentiert und getestet sind, ist das Risiko für versteckte Sicherheitslücken deutlich geringer. Da ein VPN-Service oft weltweit über das Internet erreichbar ist, soll die Lösung mit nachvollziehbaren, aktuellen Sicherheitsstandards entwickelt worden sein und regelmäßige Updates für System und Clients erfahren. Besondere Details, wie z.B. der optimierte Funktionsumfang, die ausschließliche Verwendung von signierter Software und ein abgesicherter Boot-Prozess gegen unerlaubte Veränderungen, unterscheiden solche Systeme von „Selbstbauprojekten“.
• Absichern des Systems bereits bei der Planung und Installation
  Auf nicht notwendige Funktionen soll verzichtet bzw. diese nach Möglichkeit deaktiviert werden. Auch die Erreichbarkeit soll nur wirklich beabsichtigte Systeme umfassen bzw. nur notwendige Verbindungen sollen erlaubt werden. Alle optionalen Zusatzfunktionen oder Fallback-Varianten (wie z.B. der Rückschritt auf eine schwächere Verschlüsselung) sollen unbedingt deaktiviert bleiben. Der Administrationszugriff ist ausschließlich von intern empfohlen, um mögliche Fernzugriffs-Schwachstellen im Vorhinein zu minimieren.
• Sichere, aktuell gehaltene Konfiguration und Betrieb
  Verwenden Sie stets eine aktuelle Verschlüsselung und starke Authentifizierung für alle Benutzer und Endgeräte. Richten Sie das VPN sicher nach empfohlenen Best-Practices ein und verwenden Sie ausschließlich aktuelle, robuste Methoden ohne Unterstützung für bereits ältere Algorithmen. Optimal wird nicht nur der Nutzer, sondern auch das Endgerät z.B. mit Geräte-Zertifikaten eindeutig autorisiert. Verschiedene Nutzerrollen erlauben genau nur den Zugriff auf die internen Systeme, die für die jeweilige Aufgabe benötigt werden.
• Achten Sie auf Herstellerinformationen und halten Sie Ihr System stets aktuell
  Neue Softwareupdates sollten besonders für Fehlerbehebungen so schnell als möglich angewendet werden. Es macht hier Sinn, die VPN-Funktionen auf ein dezidiertes Gateway zu legen, um diesen Service so schnell und flexibel wie möglich zu aktualisieren ohne andere Systeme zu beeinträchtigen.
• Überwachung, Monitoring und Protokollierung
  Ein so zentrales Service soll stets gut überwacht und die Nutzung sowie allfällige Vorkommnisse extern aufgezeichnet werden. Durch die Auswertung von Aktivitäten, Zugriffen sowie auch Häufigkeiten und Intervallen der Authentifizierung der Benutzer, kann ein Sollstand festgestellt werden. Dadurch ist es dann möglich, Abweichungen besser und rechtzeitig zu erkennen. Die Überwachung findet am besten kontinuierlich und mit Unterstützung von weiteren externen Systemen statt, bei denen regelmäßig auf Auffälligkeiten geachtet werden kann.

Zusatztipp: Verwenden Sie keine vermeintlich „freien“ VPN-Services von externen Anbietern

Auch wenn VPN oft als „Addon-Security“ für offene WLAN-Netze oder ähnliches beworben wird: Seien Sie kritisch gegenüber günstigen oder Gratis-VPN-Services. Bezahlen Sie nichts für die Services, sie sind nur allzu oft selbst das Produkt. Im besten Fall werden „nur“ Nutzungsdaten verkauft oder auch vermehrt Werbung eingeblendet und verschickt. In ungünstigen Fällen ist die VPN-Software möglicherweise mit anderer Schadsoftware verseucht und kann das System für andere Schwachstellen öffnen [2].

Fazit: Trotz der Entwicklung zu immer mehr Cloud-Services bleibt VPN nicht nur für Homeoffice und den Zugriff der Mitarbeiter*innen auf bestehende interne Ressourcen immens wichtig. Hierzu bieten VPN-Lösungen einen wesentlichen und oft unterschätzten Zugang zu internen Ressourcen des eigenen Netzwerks, der nach wie vor einen zentralen Sicherheitsaspekt darstellt. Auf die sichere und robuste Umsetzung, aber auch einen nachhaltig sicheren Betrieb darf dabei keinesfalls vergessen werden!

Quellen: