VPN: Mehr Sicherheit für Unternehmensnetzwerke
24.04.2023
Hackerangriffe, Tracking, Spionage – solchen Gefahren sind vor allem Großunternehmen ausgesetzt – denken zumindest viele. Doch das ist ein Irrtum: Kleine und mittelständische Unternehmen (KMU) werden immer häufiger Ziel von Cyberkriminellen. Ein virtuelles privates Netzwerk (VPN) hilft, solche Angriffe zu verhindern. Was steckt hinter virtueller Vernetzung für Firmen via VPN?
Was ist ein VPN (Virtual Private Network)?
Sie leiten ein kleineres oder mittleres Unternehmen (KMU)? Dann ist die Investition in ein VPN eine Sicherheitsmaßnahme, die Sie auch mit überschaubaren Mitteln zeitnah realisieren können. Einfach gesagt stellt so ein virtuelles privates Netzwerk einen sicheren Tunnel zwischen zwei Geräten her. Ähnlich einer SSL- oder TLS-Verbindung nutzt ein VPN Authentifizierungs- und Verschlüsselungsfunktionen. Das VPN verschlüsselt also die Identität der Geräte sowie ihrer Nutzerinnen und Nutzer. Gleiches gilt für den Datenaustausch zwischen den Geräten.
Die Gründe für den Einsatz eines VPN sind dabei vielfältig: Kriminelle haben es auf mehr als nur ihre Firmendaten wie Marken-, Patent- und Technologiedokumentationen abgesehen. Auf der Liste der Risiken, die bei durchbrochener Cybersecurity für Unternehmen eintreten können, stehen unter anderem:
Identitätsdiebstahl und -missbrauch
Datenfälschung
Datenveränderung
Abfangen und Ausspähen von Daten
Phishing, etwa im Bereich Onlinebanking
Lahmlegen von Webseiten
Im Unternehmensalltag werden VPNs häufig genutzt, um die (mobilen) Endgeräte der Beschäftigten mit dem Unternehmensnetzwerk zu verbinden. Ihre Mitarbeiterinnen und Mitarbeiter können sich so verschlüsselt und authentifiziert von unterwegs oder aus dem Homeoffice mit dem Firmennetzwerk verbinden. Ob E-Mail-Programm, Abteilungsordner oder Intranet: Mit einem Firmen-VPN kann Ihre Belegschaft von extern auf alle Dienste zugreifen, die sie auch vor Ort im Büro benutzt. Auch die direkte Kommunikation zwischen einzelnen Netzwerkteilnehmern und die Verbindung zwischen ganzen Standorten Ihres Unternehmens lässt sich mithilfe von VPN-Lösungen absichern.
So funktioniert ein VPN
Moderne VPN-Softwareprodukte sind für die Installation auf IT-Infrastrukturen mit bis zu 100.000 und mehr Client-Rechnern ausgelegt. Für die Einrichtung der Software im Firmennetzwerk werden eine vertrauenswürdige Stelle (meist diejenige, die geschützt werden soll, also die Firmenumgebung an der Zentrale) sowie die Adressen der VPN-Gegenstellen benötigt. Die vertrauenswürdige Stelle lässt sich nun ein sogenanntes CA-Zertifikat ausstellen. Hierdurch wird von unabhängiger Seite bestätigt, dass die beantragende Stelle diejenige ist, für die sie sich ausgibt – eine Art fälschungssichere, digitale Visitenkarte.
Die Abkürzung CA steht dabei für „Certificate Authority“. Ausgebende Zertifizierungsstellen hierfür sind beispielsweise die Organisationen IdenTrust, DigiCert oder GlobalSign. In Deutschland ist es möglich, derartige Zertifikate auch über die Bundesnetzagentur zu erhalten.
Eine aufwändige Einzelkonfiguration für die späteren Nutzerinnen und Nutzer des VPNs ist nicht zwingend notwendig. Die Authentifizierung erfolgt häufig durch entsprechende Mechanismen und Programme bei der Windows-Anmeldung oder per Log-in mithilfe von PKI-Chipkarten (diese enthalten einen Authentifizierungsschlüssel) oder Smartcards (eine Art elektronischer Ausweis). Diese physisch unterstützten Mechanismen sind besonders sicher, da sie ohne die betreffenden Karten kein Log-in zulassen. Sie setzen allerdings spezielle Lesegeräte voraus und das Risiko eines Kartenverlusts ist nicht unerheblich.
Diese Arten von VPNs gibt es
Die Einsatzgebiete Ihres Firmen-VPN beschränken sich nicht nur auf die Verschlüsselung der Firmenkommunikation, einschließlich der Firmendaten. Vor allem Unternehmen im B2B-Segment können auf verschiedene Art und Weise von einem Business-VPN profitieren. Ein Überblick.
Site-to-Site-VPN: Sichere Verbindung zwischen Standorten
Mit einem Site-to-Site-VPN können Sie sämtliche Niederlassungen Ihres Unternehmens miteinander verbinden. Dafür verbinden sich mehrere lokale Netzwerke mittels lokaler VPN-Router an den jeweiligen Unternehmensstandorten über das Internet zu einem virtuellen Großnetz. Sämtliche Mitarbeitende können so von jedem Standort auf das Firmennetzwerk zugreifen und verschlüsselt miteinander kommunizieren.
End-to-Site-VPN/Remote-Access-VPN: Sichere Einwahl in das Unternehmensnetzwerk
Diese Art von VPN ist der typische Anwendungsfall, wenn es um mobiles Arbeiten von unterwegs aus und mit Zugriff auf das interne Firmennetzwerk geht. Mit einem End-to-Site-VPN können sich Ihre Kolleginnen und Kollegen bei Kundenbesuchen verschlüsselt über das WLAN des Kunden in das eigene Firmen-VPN einloggen und auf firmeninterne Dateien zugreifen.
End-to-End-VPN: Sichere Verbindung zwischen zwei Netzwerkteilnehmern
Ein End-to-End-VPN ist der einfachste denkbare Fall eines Site-to-Site-VPN. Damit können Ihre Beschäftigten im Homeoffice auf einzelne Rechner im Büro zugreifen. Zum Beispiel auf den Rechner oder das Tablet, an dem sie üblicherweise im Büro arbeiten.
Die verschiedenen VPN-Verschlüsselungsprotokolle
VPN ist nicht gleich VPN: Je nach Einsatzfeld kommen unterschiedliche Verschlüsselungsprotokolle zum Einsatz. Was jeweils dahinter steckt, erfahren Sie hier:
OpenVPN: Der De-facto-Standard
Bei OpenVPN handelt es sich um den Quasi-Branchenstandard im VPN-Umfeld. Viele kommerzielle Anbieter unterstützen OpenVPN und normalerweise vereint der Standard auch andere Protokolle unter seinem Dach. OpenVPN gilt zudem als besonders sicher, ist aber nicht so leistungsfähig wie andere Vertreter in diesem Umfeld.
WireGuard: Newcomer mit verbesserter Performance
Das relativ neue Alternativprotokoll WireGuard möchte OpenVPN und Co. durch verbesserte Performance den Rang ablaufen. Seit 2020 ist es fester Bestandteil von Linux und funktioniert wie eine alternative Netzwerkschnittstelle. WireGuard gilt tatsächlich als leistungsfähig und wird breit unterstützt. Jedoch gilt es als nicht ganz so sicher wie OpenVPN.
PPTP und SSTP: Erstes Protokoll auf dem Markt
Die wesentliche Eigenschaft des Point-to-Point-Tunneling-Protocols (PPTP) ist die Tatsache, dass es als erstes überhaupt verfügbare VPN-Protokoll schon seit 1999 im Einsatz ist und lange Zeit sehr beliebt war. Inzwischen wurden jedoch viele Schwachstellen identifiziert. Es gilt als knackbar und sein Einsatz ist nicht mehr empfehlenswert. Sein Nachfolger SSTP (Secure-Socket-Tunneling-Protocol) bietet mehr Sicherheit, jedoch ist das Protokoll als Microsoft-eigene Entwicklung vor allem im entsprechenden Umfeld weit verbreitet und nicht unumstritten.
L2TP/IPsec: Überholter Standard mit einem gewissen Sicherheitsrisiko
Beim L2TP („Layer 2 Tunneling Protocol“) ist es unbedingt erforderlich, dieses mit einem geeigneten Verschlüsselungsmechanismus wie IPSec („Internet Protocol Security“) zu kombinieren, da es von Haus aus unverschlüsselt ist. Da das Protokoll im Verdacht steht, bereits geknackt worden zu sein, wird es heute kaum noch im Umfeld besonders sicherheitskritischer Daten eingesetzt.
IKEv2: Mobil besonders stark
Das Verschlüsselungsprotokoll IKEv2 („Internet Key Exchange Version 2“) wird genau wie L2TP häufig mit IPSec kombiniert, um einen optimalen Grad an Verschlüsselung zu erreichen. Das Protokoll ist nicht nur unter Windows, sondern z. B. auch für iOS verfügbar. Es gilt als besonders stabil und zuverlässig, insbesondere unterwegs.
Vor- und Nachteile von Virtual Private Networks
Ein Firmen-VPN schützt Ihr Netzwerk zuverlässig und fortlaufend vor dem unautorisierten Zugriff Dritter. Sprich: Das Abhören, Abfangen, Mitlesen, Kopieren und Manipulieren Ihrer Firmendaten und Kundeninformationen wird verhindert. So können Sie jederzeit sicher sein, dass nur die kommunizierenden Mitarbeitenden Informationen miteinander austauschen, die Teil Ihres Netzwerks und zu dessen Nutzung autorisiert sind – unabhängig davon, von wo sie über das Internet auf das Firmen-VPN zugreifen.
Ein Vorteil von VPN ist eine sichere, quasi-private Verbindung innerhalb eines öffentlichen Netzwerks. Für die VPN-Implementierung in Ihr Firmennetzwerk müssen Sie somit keine zusätzliche IT-Infrastruktur aufbauen, da diese bereits existiert und die benötigte Software vom VPN-Anbieter bereitgestellt wird. Sie verbinden sich je nach gewählter Konfiguration nicht mehr direkt mit dem (potenziell unsicheren) Internet, sondern zuerst mit einem VPN-Server. Von dort aus gelangen Sie schließlich auf verschlüsselte Art und Weise auch ins öffentliche Netzwerk.
Ein Firmen-VPN ermöglicht außerdem die Priorisierung kritischer Applikationen in Ihrer Unternehmenskommunikation. So können etwa Videokonferenzen und Voice-over-IP-Telefonie standortunabhängig priorisiert und länderübergreifend übermittelt werden. So können Sie für Ihr Unternehmen sicherstellen, dass alle Bereiche des Firmennetzwerks über notwendige, aber nicht überflüssige Kapazitäten verfügen. Stets gewährleistet sind: höchstmögliche Datenraten bei maximaler Geschwindigkeit, Stabilität und Sicherheit.
Gratis-Lösungen mit Einschränkungen
Allerdings sind die meisten Gratis-Lösungen im VPN-Umfeld eher einfacher Natur und auf die Bedürfnisse von Endkunden zugeschnitten. Die Frage nach den Kosten für eine Business-Lösung ist daher berechtigt, lässt sich jedoch nicht pauschal beantworten. Fakt ist: Die Ausgaben für Ihr Firmen-VPN sind im Vergleich zu den Kosten, die durch Datendiebstahl oder -missbrauch entstehen können, überschaubar. Entscheidend für den Preis eines Business-VPNs ist das zugrundeliegende Softwaremodell. Etabliert sind Software-on-Demand- (aus der Cloud) und Software-on-Premises-Lösungen, die auf den eigenen Servern installiert werden.
Für welches Modell Sie sich entscheiden, hängt letzten Endes von verschiedenen Faktoren ab. Neben der Branche, in der Sie tätig sind, sind das vor allem die Größe Ihres Unternehmens, die Anzahl Ihrer Beschäftigten sowie die damit einhergehenden Anforderungen und Bedürfnisse. Erst wenn Sie diese Parameter definiert haben, können Sie eine grobe Vorstellung darüber erhalten, auf welchem Preisniveau sich ein adäquater VPN-Schutz für Ihr Unternehmen bewegen dürfte. Eine ausführliche Beratung zu diesem Thema lohnt sich also.
Wie sicher sind VPNs?
Kernstück eines VPNs ist das VPN-Protokoll, ein Regelwerk, in dem die Prozesse definiert sind, mittels derer Ihre sichere Verbindung ins Internet hergestellt wird. Entscheidend bei diesem Protokoll sind zwei Themen: Autorisierung und Authentifizierung. So erhalten nur berechtigte Personen Zugriff auf Ihr Firmennetzwerk oder auch nur Teile davon. Dem unerlaubten Eindringen Dritter und dem Missbrauch von Daten und Informationen sowie der Sabotage Ihres geistigen Eigentums wird damit ein Riegel vorgeschoben.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, empfiehlt ausdrücklich den Einsatz eines VPNs. Aus diesem Grund gibt es hierzulande VPN-Software-Clients mit BSI-Zulassung. Diese ist dann zum Beispiel für die Verarbeitung von Daten der Geheimhaltungsstufen „Verschlusssache – nur für den Dienstgebrauch“, „RESTREINT UE/EU RESTRICTED“ sowie NATO RESTRICTED“ zugelassen.
Wichtig zu wissen: Auch ein VPN ist nicht „unknackbar“. Den gängigen Sicherheitsanforderungen (je nach Branche, Implementierung und konkreter Situation) genügen Sie hiermit dennoch und sind deutlich besser aufgestellt als ein Unternehmen ohne entsprechende Lösung.
So finden Sie das richtige VPN für Ihr Unternehmen
Eine professionelle VPN-Lösung für Ihr Unternehmen zu finden, ist im Grunde nicht schwer. Dennoch sollten Sie auf mehrere Punkte achten. Hier die wichtigsten im Überblick.
Feste VPN-Server und IP-Adressen: Anbieter von VPN-Lösungen für den B2B-Bereich sollten Ihnen bei Bedarf auch eigene Server und feste eigene IP-Adressen zur Verfügung stellen können (Software-on-Premises).
Server-Standort: Entscheiden Sie sich für das Modell Software-on-Premises, sollte der VPN-Server möglichst auf dem Gelände Ihres Unternehmenshauptsitzes bzw. am Standort mit den meisten Mitarbeitenden liegen, um die bestmögliche Performance zu garantieren. Auch für Compliance-Aspekte ist dies von Bedeutung (Stichwort Datenschutzgrundverordnung, DSGVO).
Sicherheitsgarantien: Ob Verschlüsselung, Leistung oder Bandbreite: Achten Sie bei einer VPN-Lösung darauf, dass mit stets aktuellen Sicherheitsmechanismen gearbeitet wird. Zwei-Faktor-Authentifizierung, Kill-Switch-Funktionalität (dazu weiter unten mehr), starke Verschlüsselungsprotokolle sowie ein Schutz vor DNS-Leaks sind hier die Mindestanforderungen. Eine gute VPN-Lösung sollte zudem die Möglichkeit bieten, firmeneigene Router und Firewalls direkt mit dem VPN zu verbinden. So können Sie alle Geräte in Ihrem Firmennetzwerk gebündelt absichern.
Verbindungsprotokolle: Stellen Sie sicher, dass der VPN-Server Ihres Anbieters oder die Softwarelösung in Ihrem Serverpark die bestehenden Verbindungen nicht protokolliert. Ist dem so, sollten Sie nach einem anderen Anbieter Ausschau halten. Nur wenn Ihre Protokolle weder angelegt noch gespeichert werden (No-Logs-Policy) können Sie sicher sein, dass diese nicht in falsche Hände geraten.
VPN-Support: Nicht nur die VPN-Lösung ist entscheidend für die Sicherheit Ihrer IT-Infrastruktur, auch der Support des jeweiligen Providers. Klären Sie im Vorfeld, wann und über welche Kanäle der Support verfügbar ist und welche Reaktionszeiten ihr präferierter Anbieter garantieren kann.
VPN-Verbindungen: Wir haben das Thema Anzahl der maximal möglichen Clients bereits angesprochen. Trotzdem noch einmal die Erinnerung: Es sollten sich alle Mitarbeiterinnen und Mitarbeiter über die VPN-Lösung mit dem Firmennetzwerk verbinden können. Haben Sie dabei im Hinterkopf, dass einige Ihrer Beschäftigten mit mehreren Geräten gleichzeitig arbeiten. Zudem sollte die VPN-Lösung jederzeit skalierbar sein.
Kompatibilität zu anderen Anbietern: Ein gutes virtuelles Netzwerk sollte zudem kompatibel mit sämtlichen großen Cloud-Anbietern sein. Nur so lassen sich Authentifizierungen, etwa mit LDAP (Verzeichnisdienste im Open-Source-Umfeld) oder Azure Active Directory umsetzen und Cloud-Services von Amazon, Google und Microsoft Azure problemlos anbinden.
Kill-Switch-Funktion: Die Sicherheit Ihrer Firmen- und Kundendaten ist Ihnen wichtig? Dann sollte Ihre VPN-Software einen Kill-Switch beinhalten. Ein Kill-Switch ist ein Tool, das im Ernstfall, etwa bei einem Cyberangriff, den kompletten Zugang zum Firmennetz oder zu Teilen davon sowie zum Internet sperrt.
VPN im Überblick
Ein Virtual Private Network (VPN) stellt sicher, dass Daten zwischen Standorten und/oder Geräten wie Servern, Arbeitsplatzrechnern, Laptops, Tablets oder Smartphones sicher übertragen werden.
Hierzu werden Verschlüsselungsmechanismen eingesetzt, die nur bei berechtigten Stellen bekannt sind und die Daten lesbar machen.
Es gibt verschiedene Arten von VPNs, je nachdem, ob Standorte miteinander, Geräte unereinander oder Geräte mit Standorten verbunden werden sollen.
VPNs gelten als üblicher Standard für die Absicherung der Unternehmenskommunikation und sollten in jedem Unternehmen gleich welcher Größe zum Einsatz kommen.
O2 Business Newsletter
Melden Sie sich für den O2 Business Newsletter an und erhalten Sie Informationen zu weiteren Themen, Aktionen und Sonderangeboten für Geschäftskunden.
Häufig gestellte Fragen
Eine VPN-Lösung lohnt sich für Ihr Unternehmen immer dann, wenn ein Zugriff auf wichtige Firmendaten aus der Ferne heraus erfolgt oder eine Authentifizierung der Beschäftigten von unterwegs aus notwendig ist. Dabei ist es unerheblich, ob dieser Zugriff über einen stationären Computer, einen Laptop, ein Smartphone oder ein Tablet erfolgt: Diese müssen jeweils einzeln abgesichert und in die VPN-Umgebung einbezogen werden.
Ihr Unternehmen ist nicht grundsätzlich verpflichtet, ein VPN und dieses in einer bestimmten Form vorzuhalten. Allerdings sagt das Bundesdatenschutzgesetz eindeutig aus, dass Unternehmen „geeignete technische und organisatorische Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit“ ergreifen müssen. Unabhängig von möglichen Wettbewerbsnachteilen und Imageschäden bei Datenlecks kann also auch eine unzureichende Absicherung gegen diese Aspekte rechtliche Konsequenzen nach sich ziehen.
Nein, vielmehr handelt es sich bei SSL („Secure Socket Layer“) um ein Verschlüsselungsprotokoll, das bei VPN-Verbindungen neben IPSec („Internet Protocol Security“) zum Einsatz kommt. Während SSL Benutzer mithilfe von Zertifikaten authentifiziert und leicht zu administrieren ist, basiert IPSec auf der Verschlüsselung von Datenpaketen und ist besonders sicher.
Passend zum Thema
