Datenschutz im Homeoffice

Angriffe laufen ins Leere

Autor:Autor: Clemens A. Schulz / Redaktion: Diana Künstler • 18.3.2021 • ca. 2:35 Min

Inhalt

Zielscheibe VPN
Angriffe laufen ins Leere

Man spricht hier auch von einer Always-on-Lösung: Sobald eine Netzwerkverbindung am Remote-Gerät aufgebaut wird, ist der VPN-Tunnel an. Gleichzeitig ist ohne eine VPN-Verbindung Windows offline. Einzig im Fall, dass der VPN Client ein sicheres Netzwerk erkennt – beispielsweise im Büro – deaktiviert er sich von selbst. Eine solche „friendly network detection“ ermöglicht es dem User, in verschiedenen Netzwerkumgebungen kontinuierlich sicher zu arbeiten.

Technisch umsetzen lässt sich diese Schnittstellenkontrolle mit Hilfe einer „Virtuellen Maschine“. Ein solcher Hypervisor – auch als „Virtual-Machine-Monitor (VMM)“ bezeichnet – ist eine Software, die zwischen der Hardware eines Rechners und dem Betriebssystem angesiedelt ist. Das ist der entscheidende Vorteil gegenüber anderen softwarebasierten Hochsicherheits-VPN-Lösungen. Denn selbst wenn Hacker über eine Sicherheitslücke in das Betriebssystem eindringen würden, hätten sie keinen Zugriff auf die VPN-Funktion. Ein weiterer positiver Effekt: Potenzielle Angriffe aus dem Windows-Betriebssystem auf die Basis-Firmware laufen ins Leere. Die Lösung fungiert also wie eine UEFI-Firewall.

Performance bleibt erhalten

Mit einem derart softwarebasierten VPN-Client lassen sich im Falle eines Lockdowns alle Mitarbeiter von heute auf morgen sicher an das Firmennetzwerk anbinden. Eine Anschaffung von Hardware ist nicht erforderlich. Für die Authentifizierung des Nutzers kann beispielsweise eine Smart Card zum Einsatz kommen, die am Laptop eingeschoben wird.

Ein softwarebasierter VPN-Client hat einen weiteren entscheidenden Vorteil: Da die Hardware der Geräte nicht ersetzt wird, bleibt die Performance nahezu vollständig erhalten. Das betrifft auch die Grafikbeschleunigung. Auch aufwändige Grafikdaten lassen sich dadurch gut übertragen. Das ist beispielsweise für eine hohe Auflösung entscheidend, wie sie etwa Videokonferenzen erfordern. Die Technologie des Hypervisors bietet die Basis für weitere Anwendungen. Beispielsweise ist es zukünftig auch möglich, so genannte Snapshots von Windows zu machen. Für den Fall, dass Windows bei einem Ransomware-Angriff verschlüsselt wird, lässt sich das System mit zwischengespeicherten „System-Schnappschüssen“ zurücksetzen. Auch für eine vom Betriebssystem unabhängige Festplattenverschlüsselung kann ein Hypervisor eingesetzt werden.

Clemens A. Schulz, Director Desktop Security von Rohde & Schwarz Cybersecurity

Post-Quantum-Kryptografie

Damit eine VPN-Anwendung den Anforderungen des BSI entspricht, muss sie auch die geforderten kryptografischen Verfahren umsetzen. State of the Art ist die sogenannte Elliptic Curve Cryptography (ECC). Diese Form der Verschlüsselung erstellt besonders schnell sehr kleine und effiziente Verschlüsselungs-Keys und ist trotzdem hochsicher.
VPN-Verschlüsselungen sollten sich auch an einer Post-Quantum-Strategie orientieren. Das Problem: Quantencomputer könnten zukünftig die derzeit gängigen Public-Key-Verschlüsselungsverfahren unsicher machen. Die Hochleistungsrechner sind dann in der Lage, die heutigen asymmetrischen kryptografischen Verfahren zu brechen. Daher gefährden sie den sicheren Datenverkehr. Um den hohen Sicherheitsstandard auch in Zukunft zu halten, wird zurzeit sowohl an Post-Quantum-Kryptografie als auch am sogenannten Quantenschlüsselaustausch geforscht. Dabei werden Quantenzustände zur Verteilung kryptografischer Schlüssel eingesetzt, die aufgrund fundamentaler quantenphysikalischer Gesetze weder unbemerkt kopiert noch mitgelesen oder gar manipuliert werden können. Sichere, klassisch symmetrische kryptografische Verfahren können dann benutzt werden, um die Vertraulichkeit und Integrität der eigentlichen Nutzdaten zu schützen. Mit diesen neuen Entwicklungen wird der Weg geebnet für eine zukunftsfähige und hochsichere VPN-Nutzung.

1 2