Virtuelle Netzwerke

Tunnel-Link

Eine bis zum Ausbruch der Corona-Krise als aussterbend geltende Technologie erlebt eine neue Blüte: Virtual Private Networks (VPN) bieten bei der Einbindung der Homeoffice-Computer in die Unternehmens-IT vor allem mehr Sicherheit.

* Von Juan Tovar

Die Möglichkeit, auf Daten zuzugreifen, sie zu analysieren und in ökonomisch nützliche Informationen umzuwandeln, ist grundlegend für das Überleben moderner Unternehmen. In der gegenwärtigen Corona-Krise gilt dies mehr denn je. Dies geschieht zunehmend mittels mobiler Arbeit und im Homeoffice. In weiten Teilen der Wirtschaft wird diese Arbeitsweise wahrscheinlich auch über die aktuellen Beschränkungen der Corona-Krise hinaus so bestehen bleiben, weil sie Unternehmen mehr Flexibilität und Kostensenkungen erlaubt. 

Bereits vor der Pandemie stieg der Einsatz von Technologien, die diese virtuelle Vernetzung unterstützen: vor allem Cloud Computing, XaaS («Anything as a Service», sämtliche IT-Komponenten werden über die Cloud bereitgestellt) und SD Wan (Software-definierte Wide Area Networks). 

Wenn Unternehmen diese Werkzeuge nutzen, müssen sie keine eigenen IT-Anlagen mehr unterhalten und können sich besser auf ihr Geschäft konzentrieren.

Bessere Cybersicherheit.
Die durch die Corona-Krise erzwungene stärkere virtuelle und vernetzte Arbeit erfordert in vielen Fällen allerdings stabilere Verbindungen: ein Virtuelles Privates Netzwerk (VPN), das heißt ein in sich geschlossenes, privates virtuelles Kommunikationsnetz. Diese konventionelle Technologie schien in den 2010er Boomjahren fast vergessen zu sein. Jetzt erlebt sie eine kraftvolle Renaissance, weil die via VPN hergestellten Verbindungen nicht nur stabiler, sondern auch sicherer gegen Angriffe von Hackern, Spionen und Saboteuren sind. Denn die Daten werden standardmäßig hochgradig verschlüsselt und der Datenverkehr läuft über einen «Tunnel», der die üblichen öffentlichen Internetverbindungen umgeht, weil der angeschlossene Computer etwa im Homeoffice direkt der IP-Adresse des Unternehmensnetzwerks zugeordnet wird. Für das Netzwerk und alle Kommunikationspartner sieht es so aus, als befände sich der Rechner des Anwenders direkt am Firmenstandort. 

Die VPN-Technik garantiert eine sichere virtuelle Punkt-zu-Punkt-Verbindung zwischen zwei geografisch voneinander entfernten Netzwerken oder Geräten, die normalerweise über das Internet erfolgt. Es gibt grundsätzlich zwei Arten von VPNs: 

  • Zweigstellen verbinden sich untereinander oder mit der Zentrale,
  • ein außerhalb tätiger Mitarbeiter muss eine Verbindung zum Büro herstellen.

Die meisten Firmen und Unternehmen haben einige ihrer Dienste in eine Cloud wie zum Beispiel Office365, AWS oder Google migriert. Daher werden die Daten immer noch auf Servern innerhalb der Internet-Domain eines Unternehmens und in einem LAN mit privaten IP-Adressen gehostet, das von einer oder mehreren Firewalls abgeschirmt wird. Für den normalen Benutzer der IT eines Unternehmens soll es unmöglich sein, auf seine Dateien von einem Ort aus zuzugreifen, der außerhalb all dieser Schutzwälle liegt.  

Starke Verschlüsselungen. 
Für Mitarbeiter, die diesen externen Zugriff benötigen, ist ein Remote Access-VPN die geeignete Technik. Alle großen Firewall-Anbieter wie etwa Cisco oder Fortigate verfügen über spezielle VPN-Lösungen, die eingesetzt werden können, um den Mitarbeitern den sicheren Fernzugriff auf ihre Daten zu ermöglichen. Sie verbinden sich mithilfe eines Client wie zum Beispiel Cisco AnyConnect oder FortiClient über einen IPSec-Tunnel direkt mit der Firewall des Unternehmens. Dabei werden moderne Verschlüsselungsalgorithmen wie beispielsweise AES (Advanced Encryption Standard) verwendet, um die Vertraulichkeit der Daten während der Übertragung zu gewährleisten. 

Die Anwender haben die Wahl unter einer Vielzahl von Optionen – zum Beispiel welche Daten über den VPN-Tunnel geleitet werden sollen und welche nicht («Split-Tunneling»). Spezielle Sicherheitstechnologien gegen Hackerangriffe wie beispielsweise Cisco Umbrella oder Fortinet Security Fabric können von den Kunden integriert werden.

Unabhängige Services. 
Darüber hinaus gibt es auch VPN-Dienste von Drittanbietern, die plattformunabhängig auf den Endgeräten der Anwender etwa im Homeoffice installiert werden. Diese Lösungen verwenden einen Backbone aus privaten Servern, um den Datenverkehr zu verschlüsseln und zu tunneln, während die öffentliche IP-Adresse des Anwenders maskiert wird. Das ermöglicht nicht nur die Verschlüsselung des Datenverkehrs, sondern verbirgt auch den geografischen Standort des jeweiligen Arbeitscomputers. Diese Fähigkeit ist besonders in Ländern notwendig, in denen der Internetzugang durch Regierungsrichtlinien zensiert wird. Solche Service-Angebote umfassen auch die Endpunktsicherheit und eine Bedrohungsanalyse sowie Spyware- und Malware-Scanner. Anbieter von VPN-Software im deutschsprachigen Raum sind zum Beispiel Nord-VPN, Perimeter 81 oder Tor Guard. 

Die Auswahl aus so vielen Optionen hängt ab von der Größe der Anwenderorganisation, dem  Budget und der im Unternehmen installierten Hardware – falls die IT-Abteilung für die Übernahme des VPN-Vorhabens qualifiziert ist. Informationen und Analysen unabhängiger Experten oder Institute können bei der Entscheidung helfen. Für kleine und mittlere Betriebe, die sich über einen drahtlosen Router – wie unter anderem Lynksys, Netgear oder Asus – mit dem Internet verbinden, wäre ein VPN-Dienst in Business-Qualität wahrscheinlich mehr als ausreichend, um die Bedürfnisse ihres Unternehmens zu befriedigen. Wissensquellen spezieller Internetdienste wie etwa Comparitech oder Techradar reichen aus, um mit dieser Form von VPN zu beginnen. 

Komplexe Lösungen. 
Große Unternehmen benötigen in der Regel ein «Enterprise Infrastructure VPN», das zu den eigenen spezifischen IT-Standards passt. Die nötigen Informationen zu diesem Thema bieten unabhängige Marktforschungsinstitute wie etwa Gartner.  

Auf der anderen Seite hat jeder VPN-Anbieter verschiedene technische Produktlinien zur Auswahl: bei Cisco zum Beispiel zwischen ASA 5500-X und Firepower Next-Generation Firewall. Um das richtige Produkt auswählen zu können, muss unter anderem der nötige Datendurchsatz im Netzwerk ermittelt werden. Und natürlich spielt die Budgetfrage eine große Rolle: Denn in jeder Linie sind die Preisunterschiede zwischen den einzelnen Modellen enorm. 

Unabhängig von der ausgewählten Technik muss die IT-Abteilung für den VPN-Einsatz qualifiziert sein (zum Beispiel durch ein Cisco-Zertifikat). Nur dann ist sie in der Lage, die Technik korrekt zu installieren und zu konfigurieren sowie die passenden IT-Dienste einzusetzen.

Lohnt sich also der VPN-Einsatz? Angesichts der nun plötzlich zum Standard avancierten Homeoffice-Arbeit lautet die Antwort klar: ja. Vor allem der bessere Schutz vor Cyberkriminellen fällt ins Gewicht: Denn zuhause fühlen sich viele Mitarbeiter entspannter; weil die IT-Experten, die laufend auf die Einhaltung der neuesten Sicherheits-Patches und Antiviren-Definitionen achten und strenge Firewall-Regeln durchsetzen, nicht ständig präsent sind – zumindest nicht physisch. 

Ohne VPN ist die Verbindung der Heimcomputer an das Unternehmensnetz nicht sicher – vor allem bei Windows-Betriebssystemen: Der Nutzer meldet sich über ein Default-Konto mit Administratorrechten an und kann im Prinzip jede beliebige Software herunterladen – auch solche mit Viren, Trojanern und anderen Computerschädlingen.  

Schutz durch Algorithmen. 
Diese Sorge im Hinblick auf die Cybersicherheit eines konventionellen Homeoffice-Internet-Anschlusses ist keineswegs übertrieben. Denn bei der überwiegenden Mehrheit der Heimarbeitsrechner setzt keine MD5 Checksum-Sicherheitstechnik ein. MD5 ist die Abkürzung für «Message Digest Algorithm 5» («Nachrichten-Überprüfungs-Algorithmus»): Die Prüfsummen (Checksums) bestehen aus 32 Hexadezimalzahlen und werden beim Versender und beim Empfänger einer Nachricht oder Dateiübertragung abgeglichen. Nur wenn die Summen beider übereinstimmen, sind die Daten sauber und dürfen passieren.

Und selbst wenn im Homeoffice der Mitarbeiter MD5-Prüfungen eingesetzt werden, bleibt das hohe Restrisiko durch die anderweitige private Nutzung des Computers – etwa durch die Installation von Computerspielen.   

Was die Verletzbarkeit vernetzter Homeoffice-Computer zusätzlich erhöht, ist die Tatsache, dass die Anwender dazu neigen zu glauben, dass ihre persönliche Antivirus-Software sie vor jeder Bedrohung   schützt. Aber dem ist nicht so: Der renommierte US-Experte für Cybersicherheit Kevin Mitnick zum Beispiel bewies mehrfach, dass jede Antivirus-Lösung von versierten Hackern umgangen werden kann. 

Nach Ansicht vieler Fachleute garantiert selbst das Herunterladen einer App auf ein Smartphone von einer vertrauenswürdigen Quelle nicht, dass eine Anwendung keinen Schaden anrichtet. Denn Malware dringt immer wieder in offizielle Datenrepositorien ein. Prinzipiell kann jedes Gerät infiziert werden, das nur einen einfachen Virenschutz hat und in kein VPN-System eingebunden ist.  

 

Das CIA-Prinzip. 
Um die Daten in immer weiter verzweigten, virtuellen Unternehmensnetzwerken zu schützen, sollten neben der Technik (VPN) die drei Hauptkonzepte der Informationssicherheit beachtet werden, die Fachleute unter dem Akronym CIA zusammenfassen:

  • Confidentiality (Vertraulichkeit): Unbefugte haben keinen Zugriff auf Informationen. Diejenigen Nutzer, die meist nur zur Einsicht eines bestimmten Teils der Informationen im Unternehmensnetz berechtigt sind, dürfen auch nur diese zu sehen bekommen.  
  • Integrität: Alle Informationen müssen korrekt und vollständig sein. Sie dürfen nicht von Personen ohne die entsprechende Berechtigung bearbeitet werden.
  • Availability (Verfügbarkeit): Informationen müssen zugänglich sein, wo und wann auch immer sie im Unternehmen benötigt werden. 

Diese Prinzipien müssen gerade angesichts des exponentiellen Anstiegs der Heimarbeit in den meisten Unternehmen beachtet werden. 

Mit der Einrichtung eines VPN-Dienstes ergeben sich für die Anwenderunternehmen zahlreiche praktische Vorteile:  Nicht nur der gesamte Datenverkehr wird verschlüsselt; mithilfe der Technologie werden auch die Endgeräte geschützt. Somit ist ein korrekt installiertes VPN-System auch integraler Bestandteil einer umfassenderen IT-Sicherheitslösung.

Insgesamt erweist sich damit die jahrelang teils verpönte VPN-Technologie als ein stabiles Mittel, um die organisatorisch zunehmend virtuellen und dezentralen Strukturen in der Wirtschaft auf ein sicheres Fundament zu stellen – auch für die Zeit nach der Corona-Krise.

Juan Tovar arbeitet als Cisco-zertifizierter IT-Sicherheitsexperte mit Sitz in Carácas, Venezuela. Von dort aus hilft er Unternehmen in aller Welt bei der praktischen Implementierung leistungsstarker und sicherer Computernetzwerke – neben Englisch und Spanisch auch auf Deutsch. juantovarm@yahoo.com

 

 

Quelle: BUSINESS INTELLIGENCE MAGAZINE, www.bi-magazine.net

© ProfilePublishing Germany GmbH 2020. Alle Rechte vorbehalten. 

Vervielfältigung nur mit Genehmigung der ProfilePublishing Germany GmbH

Business Intelligence Magazine: Springe zum Start der Seite