VPN-Management
Volle Kontrolle für mehr Sicherheit
Beruflich genutzte mobile Endgeräte erfordern fast immer einen Zugang zum Unternehmensnetzwerk. Dieser muss abgesichert sein, dabei aber für den Anwender einfach zu nutzen und für den Administrator bequem zu verwalten. Virtual Private Networks können diese Anforderungen erfüllen - sofern der Hersteller schon bei der Entwicklung an ein VPN-Management gedacht und entsprechende Funktionen integriert hat.
Fernzugänge zum lokalen Netz spielen in immer mehr Unternehmen eine große Rolle. Entweder wollen Mitarbeiter mobil arbeiten und sich von ihrem Standort aus mit dem Firmennetz verbinden oder es sind beispielsweise im Rahmen von Industrie 4.0 Wartungszugänge zu Maschinen gefordert. Ganz ohne Fernzugang kommt praktisch keine Organisation aus, selbst kleine und kleinste Firmen benötigen manchmal Support durch einen externen Dienstleister oder Mitarbeiter müssen von unterwegs auf die Dateien auf einem stationären Desktop-PC zugreifen. Doch trotz der extremen Verbreitung mobiler Endgeräten sind viele Unternehmen schlecht auf diese Herausforderung vorbereitet.
Eine Studie von Dimensional Research zeigt, dass fast zwei Drittel (64 Prozent) aller Organisationen einen Cyberangriff auf Mobilgeräte wahrscheinlich nicht abwehren könnten. Zwanzig Prozent der Umfrageteilnehmer sagten, ihr Unternehmen habe bereits einen erfolgreichen Angriff auf die Sicherheit ihrer Mobilgeräte erlebt. Weitere 24 Prozent wussten nicht, ob die Geräte ihrer Mitarbeiter bereits angegriffen worden waren. Dabei lassen sich diese Zugänge seit Langem über ein Virtual Private Network absichern. Um ein VPN zu implementieren, gibt es zahlreiche Möglichkeiten - angefangen beim Protokoll über die Frage, wie man die Clients realisiert, bis hin zur Verwaltung von Zertifikaten und zur Konfiguration. Die Ansprüche der Beteiligten sorgen für eine komplexe Situation: Für die Anwender muss die Nutzung so einfach wie möglich sein, den Administrator soll die Verwaltung wenig belasten.
Trotzdem steht die Sicherheit an erster Stelle, hier darf es keine Kompromisse zugunsten der Nutzer oder Systemverwalter geben. Um dennoch zu einer stabilen und akzeptierten VPN-Lösung zu kommen, ist eine Reihe organisatorischer und technischer Vorkehrungen notwendig.
Wer sich erprobte Anregungen mit dem Siegel des Bundesamts für Sicherheit in der Informationstechnik (BSI) holen will, findet sie in zwei neuen Bausteinen für die überarbeiteten IT-Grundschutzkataloge.
Hilfen vom BSI
Sowohl der Baustein "SYS.3.2.2: Mobile Device Management (MDM)" als auch "OPS.2.4: Fernwartung" enthalten viele grundlegende Informationen über die wichtigsten Voraussetzungen für VPNs im Zusammenhang mit mobilen und stationären Endgeräten. Auch das BSI warnt vor den möglichen Schäden, die durch einen Zugriff von außen entstehen können, selbst wenn aufwendige und wirkungsvolle Mechanismen zur Absicherung des Zugangs implementiert sind. Daher ist es notwendig, den gesamten Lebenszyklus der Informationssicherheit abzudecken. Administratoren sollten auch Bausteine berücksichtigen, die sich mit allgemeinen Sicherheitsvorgaben beschäftigen.
Das BSI nennt "OPS.1.1.3 Patch-Management", "OPS.1.2.1 Änderungs-Management", "ORP.3 Sensibilisierung und Schulung zur Informationssicherheit", "CON.1 Kryptokonzept" und "OPS.1.1.5 Datensicherung". Ebenso sind die Vorgaben der Bausteinschichten "NET (Netze und Kommunikation)", "DER (Detektion & Reaktion)", die Bausteine der Schicht "OPS.2 IT-Betrieb von Dritten" und die Bausteine der Schicht "OPS.3 IT-Betrieb für Dritte" relevant. Bei Cloud-basierten Angeboten ist der Baustein "OPS.2.2 Cloud-Nutzung" zu beachten. Die Bausteine des IT-Grundschutzes sind (fast) immer herstellerunabhängig. Die Hinweise passen unabhängig davon, welche Lösung zum Einsatz kommt.
Definieren und mitteilen
Ganzheitliche Sicherheit erfordert zunächst, die Prozesse, Richtlinien und Vorgaben zu definieren und zu kommunizieren. Sollten Benutzer, Administratoren, Mitarbeiter und Dritte wichtige Regelungen nur unzureichend kennen und nicht anwenden, ist der störungsfreie Betrieb von VPN-Lösungen gefährdet. Das kann die Anwender betreffen, die nicht wissen, warum sie unterwegs das VPN unbedingt nutzen sollen, aber auch die Administratoren, die das Sicherheitsniveau eventuell mit einer fehlerhaften Konfiguration gefährden.
Genauso wichtig ist es, den Auf- und Abbau der VPN-Verbindung im Griff zu haben. Normalerweise sollte die Client-Software auf dem Endgerät den Tunnel automatisch aufbauen und dann unumgehbar sein. Das heißt, dass alle Daten nur über den Tunnel transportiert werden und nicht an ihm vorbei direkt ins Internet. Ein sogenannter "Split-Tunnel", der je nach Anwendung beide Wege zulässt, ist möglich, aber deutlich riskanter. In jedem Fall gilt es, die Metadaten aller Verbindungen zu protokollieren, damit sich ein Missbrauchsverdacht schnell aufklären lässt. Datum und Uhrzeit, öffentliche IP-Adresse und Benutzerauthentifizierung gehören ebenso dazu wie die intern zugeteilte IP-Adresse und die Dauer der Verbindung. Sollen Dritte, zum Beispiel ein Zulieferer oder ein externer Dienstleister, Zugriff per VPN erhalten, empfiehlt es sich, vorher in einer Richtlinie oder einem Vertrag Rechte und Pflichten zu definieren.
Technische Maßnahmen
Ein VPN verschlüsselt die übermittelten Datenpakete mit einer von zwei Methoden: IPSec-VPNs setzen auf OSI-Layer 2 auf und verschlüsseln die Daten transparent für die Anwendungen. Es gibt also keine Kompatibilitätsprobleme zwischen Applikation und VPN. Allerdings erfordert dies einen Client auf dem Endgerät, der auch konfiguriert sein will. Hier ist es entscheidend, dass die VPN-Lösung durchdachte, automatisierbare Funktionen bereitstellt, mit denen sich eine Handvoll oder auch einige Zehntausend Clients verwalten lassen.
Besonders auf den Rollout der Software und der dazu gehörenden Konfigurationsdateien kommt es an, denn später werden immer wieder Updates an die Endgeräte zu schicken sein. Wenn dieser Prozess nicht einfach und fehlersicher umgesetzt ist, schieben Administratoren die Patches entweder auf die lange Bank oder laufen Gefahr, Fehler bei der Verteilung zu machen. Ähnlich sensibel sind die Zertifikate für die Authentifizierung der Clients. Sie müssen auf die Endgeräte verteilt und dürfen weder kompromittiert noch mitgelesen werden. Auch das BSI warnt vor zu schwachen oder fehlerhaft umgesetzten Authentifizierungslösungen bei VPNs. Der Diebstahl von Zugangsdaten wie auch deren unsachgemäße Speicherung und Verwaltung bedrohen die Integrität und Vertraulichkeit von Daten.
Die zweite VPN-Variante, SSL (Secure Sockets Layer), kann mit einfacherer Konfiguration punkten. SSL-VPNs nutzen auf Seiten des Clients entweder vorhandene Komponenten des Browsers oder laden ad hoc ein Java- oder Active-X-Applet herunter. Das ist auch bei fremden Endgeräten möglich, für die der Anwender keine Administrationsrechte hat oder erhält. Allerdings liegt hierin auch eine Schwachstelle: Solche Endgeräte lassen sich nicht kontrollieren und könnten Schadsoftware enthalten, die Passwörter für den VPN-Zugang mitlesen. Beide Techniken sind heute bei vielen Anbietern nicht mehr strikt getrennt. Hybride VPNs akzeptieren Anfragen von IPSec- wie auch von SSL-Clients.
Zwei-Faktor-Authentifizierung
Gerade bei Fernzugängen ist die weit verbreite Authentifizierung über eine Benutzername/Passwort-Kombination gefährlich. Wenn ein Angreifer die Daten ausspäht, ist der Zugang zum LAN offen, und niemand sieht, ob der Nutzer von Notebook "Müller-Vertrieb" auch wirklich Herr Müller ist. Es ist praktisch unmöglich, Diebstahl oder Erraten einfacher Benutzername/Passwort-Kombinationen auszuschließen; sind die Richtlinien für neue Passwörter hingegen zu streng gefasst, streiken die Anwender: weil sie sich nicht alle zwei Wochen ein neues, komplexes Passwort ausdenken und merken wollen, weil die Time-out-Zeiten zu kurz sind oder weil die restriktiven Einstellungen auf Kosten der Produktivität gehen.
Dabei geht es gerade im Unternehmensumfeld deutlich sicherer und einfacher: Zwei-Faktor-Authentisierung (2FA) ist seit langer Zeit ein etabliertes Mittel, um zur wissensbasierten Authentisierung ("Ich weiß mein Passwort") einen besitzbasierten Faktor hinzuzufügen ("Ich habe etwas, das ich zur Anmeldung benötige"). Die meisten populären Web-Dienste wie Dropbox, Facebook oder Microsoft Onedrive und Office365 bieten 2FA bereits an.
Auch VPN-Lösungen nutzen schon seit Langem 2FA. Früher kam dabei in der Regel ein Token zum Einsatz: Das kleine Gerät mit Display zeigt zeitsynchron zum Login-Vorgang eine Zahl (One-Time Password, OTP) an, das der Benutzer zusätzlich zum Passwort eingeben muss. Token gelten als sehr sicher, sind aber kostspielig. Die IT muss sie konfigurieren, an die Benutzer verteilen und verwalten. Bei Token besteht die Gefahr von Verlust, Diebstahl oder Defekt - und jedes Mal entsteht Verwaltungsaufwand.
Mittlerweile gibt es auch andere 2FA-Umsetzungen, die ohne Token auskommen. Die Bandbreite der Faktoren, die als zweites Authentisierungsmittel Verwendung finden, reicht von einer SMS auf das Handy über eine E-Mail, ein durchgesagtes Kennwort per Telefonanruf, einen USB-Stick oder eine Smartcard bis zu einzigartigen technischen Merkmalen eines persönlichen Endgeräts des Anwenders. Für die Authentisierung via SMS genügt ein einfach ausgeführtes Mobiltelefon, ein modernes Smartphone ist nicht notwendig.
Integrierte 2FA-Lösung
Für Installationen mit kleinen Benutzerzahlen reicht es in der Regel aus, einen lokalen Server mit spezieller Software und externer Hardware auszustatten, der das OTP per SMS versendet. Die externe Hardware ist deshalb vonnöten, weil im normalerweise abgeschirmten Rechenzentrum keine 3G/4G-Verbindung zustandekommt. Installationen mit großen Benutzerzahlen setzen auf eine Schnittstelle zu vordefinierten SMS-Versanddienstleistern. Das Verfahren gilt als unkompliziert und sehr sicher (siehe Kasten): Die Software erzeugt und versendet das Einmalpasswort erst, wenn sich der Anwender bereits mit einem ersten festen Passwort authentisiert hat.
In den letzten Wochen gab es Berichte über Schwächen im Mobilfunkprotokoll SS7, die zu finanziellen Verlusten für Bankkunden führten: Angreifer fingen SMS-Nachrichten mit One-Time-Passwörtern oder mobilen TANs ab und räumten die Konten leer. Im Prinzip besteht dieses Risiko auch bei einer SMS mit OTP für den VPN-Zugang. Das heißt aber nicht, dass die SIM grundsätzlich als Medium für OTP oder TAN ungeeignet ist: Im Fall der bekannt gewordenen Angriffe ist die SIM-Karte nur ein Faktor in der Zwei-Faktor-Athentifizierung; vorher haben die Angreifer den ersten Faktor, in der Regel Benutzername und Passwort des Online-Zugangs für das Bankkonto, und die Identität des Opfers abgegriffen. Dies passiert meist mittels eines Phishing-Links in einer E-Mail, was immer noch viele Anwender zu bereitwillig anklicken. Ohne den zweiten Faktor wäre schon der geglückte Phishing-Angriff ausreichend, um die Konten zu plündern. Trotz Schwächen ist eine SMS als zweiter Faktor deshalb besser als kein zweiter Faktor.
Lesen Sie mehr zum Thema
