Mobile Clients bringen Wachstum für SSL-VPN

Keine Frage: Vor allem für den Einsatz von Clients, die nicht dem direkten Einfluss des jeweiligen Betreibers eines webbasierten Service unterliegen, ist der verschlüsselte SSL-Tunnel ideal. Anders als das Virtuelle Private Netz (VPN) auf IPSec-Basis kommt das SSL-Pendant auf der Client-Seite ohne permanente Software aus. Hier genügt ein Browser, der in der Regel per Java-Applet oder ActiveX-Steuerelement realisiert wird. Mit ihm werden alle notwendigen Steuerdaten lediglich für die Zeit der Verbindung auf den PC beziehungsweise künftig vor allem auch auf das jeweilige mobile Gerät geladen. »Diese Verfahrensweise erspart auf den VPN-Clients den kompletten Betriebsaufwand, also Installation, Konfiguration, Anpassungen und Wartung«, beschreibt Andre Hohner, Senior Consultant beim Beratungshaus Unilog in Frankfurt am Main die Vorteile eines SSL-basierten VPN. Darüber hinaus sei letzteres auch günstiger in der Anschaffung und im Kommunikationsablauf leistungsfähiger als ein IP-Sec-VPN.

Kein Grund, übereilt zu wechseln
Freilich besteht in der Regel kein Grund, übereilt funktionierende IPSec-VPNs gegen SSL-VPNs auszuwechseln. »SSL-VPN und IPSec-VPN haben beide ihre Existenzberechtigung«, meint beispielsweise Helmut Binder, Chief Marketing und Product Management Officer im Bereich Business Services bei T-Systems. So könne für eine Standortvernetzung das Leistungsspektrum eines IPSec-VPN heute noch nicht von einem SSL-VPN erreicht werden. Der T-Systems-Manager rät zudem, den administrativen Aufwand beider VPN-Verfahren genauer zu bewerten und zu prüfen, ob der Einsatz eines SSL-VPN tatsächlich in jedem Fall für das Unternehmen einen Mehrwert mit sich bringe. »Die IPSec-Technik hat sich für das Absichern der Übertragung über öffentliche Netze mit bis zu 256 Bit langen Schlüsseln bewährt, konstatiert Binder. Außerdem seien garantierte Qualitätsniveaus für die Übertragung, beispielsweise im Echtzeit-Datenverkehr, bei Sprache oder Echtzeit-Video nur sinnvoll über IPSec zu realisieren. Für die kostengünstige Anbindung mobiler Arbeitsplätze mit ausgewählten Applikationen sei das SSL-VPN dagegen eine sinnvolle Alternative.
»Der Wechsel zum SSL-VPN hängt von vielen Voraussetzungen ab«, bremst auch Andre Hohner übereilte Entscheidungen. Gegenüber bereits webfähigen Anwendungen sei sein Einsatz zwar immer eine Überlegung wert, aber auch in diesem Fall sei genau zu hinterfragen, mit welchem Aufwand die Integration einzelner Anwendungen verbunden sei, damit der verschlüsselte Tunnel direkt mit der Authentisierung und Autorisierung, wie sie beispielsweise im Nutzer- und Zugangsverwaltungssystem durchgeführt werde, zusammenspielen könne. Darüber hinaus sei auf jeden Fall auch zu überlegen, welche Unternehmensdaten dem SSL-VPN überlassen werden. Greife beispielsweise der Mitarbeiter von einem Internet-Cafe auf zentrale Firmenanwendungen zu, stehe über SSL die Vertrauenswürdigkeit der Client-Umgebung auf dem Spiel, warnt der Berater. Wenn nämlich das generelle Authentisierungskriterium in falsche Hände käme, habe der Angreifer Zugriff auf alle Applikationen, für die der Mitarbeiter eine Berechtigung besitze. Daneben stellt Hohner auch bei den Browsern Nachholbedarf fest. »Speziell ActiveX-Plug-Ins als temporäre SSL-VPN-Clients haben noch Sicherheitsprobleme«, weiß Hohner aus der Einsatzpraxis.

Auf lange Sicht SSL-VPN
Unter dem Strich haben deshalb auch nach Hohner IPsec-VPNs weiterhin ihre Daseinsberechtigung. Dennoch ist es für viele Insider nur eine Frage der Zeit, bis das SSL-VPN seinen Konkurrenten langsam, aber sicher ablösen wird. Jeder Schritt weiter, den die Unternehmen in Richtung Web-Technologie gehen, wird die Applikationsdistanz zum SSL-VPN verkürzen. Zumal dieser Tunnel nicht nur den http-Verkehr absichert, sondern auch aufgrund seiner Anordnung auf Sitzungsebene nahtlos mit Systemen für die Nutzer- und Zugangsverwaltung zusammenspielt.

IPSec hat auch einige Vorteile
»Sofern ihre Dienste und Anwendungen in voller Breite webfähig sind, werden die Unternehmen dadurch die Einwahlprozesse bis in die Zielapplikationen hineinsteuern können«, benennt Lars Weimer, Manager für Informationssicherheit bei Ernst & Young in Frankfurt am Main, eine Eigenschaft des SSL-Tunnels, die sich oft als Vorteil erweise. Mit der Client-Berechtigungsprüfung per Zertifikat gegenüber dem Server auf Anwendungsebene sei beim SSL-VPN die komplette Kommunikation abgesichert und die Integrität der Übertragungsdaten gleich mit, unterstreicht der Ernst & Young-Mann. Beim Netzwerk-VPN müsse dagegen jedes Endgerät die IPSec-Protokollerweiterung unterstützen. Ein Vorteil des IPSec-VPN bestehe aber zweifellos darin, dass es generisch einsetzbar sei, weil die Verschlüsselung ohne direkte Applikationseinbindung auf Protokollebene geregelt werde. Gleichwohl sieht auch Weimer die SSL-VPN-Technik mittelfristig vorn, nicht zuletzt wegen der steigenden Zahl der mobilen Clients: »Mobile Endgeräte wie Handhelds und Smartphones, die sich zunehmend in die Unternehmenskommunikation einklinken, werden das auf lange Sicht mittels dynamisch zugeordnetem Browser, nicht über aufwendige IPSec-Clients tun«, ist sich Weimer sicher. Hadi Stiel ist freier Journalistin Bad Camberg.