Outline:
Traditionelle VPNs wurden für eine andere Zeit entwickelt und können heutzutage nicht mehr mithalten. Tatsächlich zeigen 91 Prozent der Sicherheitsverantwortlichen Bedenken, dass VPNs zu einem Sicherheitsvorfall führen könnten.
Unternehmen benötigen dennoch eine Methode, um Mitarbeiter und externe Partner miteinander zu verknüpfen. Da Angreifer jedoch immer häufiger gestohlene Zugangsdaten, falsch konfigurierte Systeme und zu offene Netzwerkkommunikationskanäle ausnutzen, ist deutlich: klassische VPNs sind nicht mehr ausreichend – es ist an der Zeit, den sicheren Remote-Zugriff zu aktualisieren.
Eine Lösung für den Fernzugriff über eine VPN-Verbindung verbindet Nutzer mit dem Netzwerk eines Unternehmens, indem ein verschlüsselter Kanal zwischen einem Gerät und den internen Systemen des Unternehmens geschaffen wird. Dadurch entsteht eine direkte Verbindung, die dem Endgerät umfassenden Zugriff auf die Ressourcen des Unternehmens ermöglicht.
Das im Jahrzehnt der 1990er entwickelte Modell für virtuelle private Netzwerke war ursprünglich besonders geeignet für lokale Szenarien, in denen Mitarbeiter über einige wenige Unternehmenslaptops eine Verbindung zu einem zentralen Netzwerk herstellten. Einige Jahrzehnte später hat sich die Welt stark verändert, während VPNs im Wesentlichen gleich geblieben sind: Der Client authentifiziert den Nutzer, erstellt den Tunnel und leitet den Datenverkehr weiter, als befände sich der Benutzer physisch im internen Netzwerk. Diese direkte Verbindung sorgt für Geschwindigkeit und eine nahtlose Nutzungserfahrung, birgt jedoch auch Nachteile.
Die Technologie der Virtual Private Networks hat sich über Jahrzehnte hinweg kaum verändert und wurde nie für die heutigen hybriden Arbeitsumgebungen und aufwendigeren Sicherheitsbedrohungen konzipiert. Da immer mehr Mitarbeiter aus der Ferne arbeiten, sich das Ökosystem von externen Partnern erweitert und Angreifer…VPN-Schwachstellenauf das Visier nehmen, ist es wichtiger als je zuvor, den Remote-Zugriff zu modernisieren.
Nutzung von Schwachstellen: VPNs als erste Angriffswege
Schon seit mehreren Jahren lässt sich ein kontinuierlicher Anstieg komplexer Cyberangriffe beobachten, die Virtual Private Networks als ersten Angriffsziel wählen. VonIvanti Connect Secureab Cisco hinaus gibt es viele Praxisbeispiele, die die Gefahren von Zero-Day-Exploits in VPNs verdeutlichen.
Studien belegen, dass diese Gefahr weiter wächst. Gemäß dem Data Breach Investigations Report 2025 von Verizon sind Zero-Day-Exploits, die sich gegen Edge-Geräte und VPNs richten, im vergangenen Jahr fast verzehnfacht worden, und 56 Prozent der Firmen waren im letzten Jahr mindestens einmal von einem Cyberangriff im Zusammenhang mit einem VPN betroffen.
Standardmäßig unsicher: Offene VPN-Ports
Viele VPN-Systeme öffnen mindestens einen TCP-Port, um den Zugang zum Internet zu ermöglichen. Abhängig vom Produkt und der Einstellung können zahlreiche Ports geöffnet und über das Internet erreichbar sein, darunter beispielsweise IPSec über UDP-Port, DNS-Port sowie Fernzugriffsports. Dies bedeutet, dass jeder im Internet versuchen kann, ein VPN mit bekannten Sicherheitslücken, die noch nicht behoben wurden, oder unbekannten Schwachstellen, die nicht repariert werden können, zu kompromittieren.
Handarbeit und Schwierigkeiten bei der Skalierung
Die Einrichtung eines VPN kann komplex sein und zu zahlreichen Sicherheitslücken führen, die schwerwiegende Folgen haben können. Wenn beispielsweise Kunden von Cisco ihre VPN-Clients nicht mit MFA konfigurierten, konnten Angreifer Brute-Force-Angriffe oder gestohlene Anmeldeinformationen nutzen, um Zugang zum Netzwerk zu erlangen. Diese Problematik wird durch das Wachstum von Netzwerken, Mitarbeiterschaften und Anbieterlandschaften zunehmend aufwendiger.
Unzureichende Transparenz und Kontrolle
VPNs folgen dem Prinzip der vollständigen Freiheit: Sobald eine Verbindung über ein VPN hergestellt wird, haben Nutzer in der Regel uneingeschränkten Zugriff, da traditionelle Systeme keine Erkennung von Geräten und Benutzern ermöglichen. Daher ist es nicht überraschend, dass die meisten Sicherheitsverantwortlichen Berichte über Angriffe mit seitlicher Bewegung nach VPN-basierten Vorfällen machen. Sobald Angreifer Zugang zum Netzwerk über ein VPN erlangen, stellt die Begrenzung der Sicherheitsvorfälle eine große Herausforderung dar. Dieses Problem führt zu unterschiedlichen Sicherheitsstandards für Remote- und lokale Verbindungen. Aaron Steinke, Leiter der Infrastruktur bei La Trobe Financial, sagte: „In der Vergangenheit haben wir oft Situationen erlebt, in denen Menschen mehr Netzwerkzugriff haben, wenn sie im VPN sind, weil sie nicht ausreichend kategorisiert und klassifiziert werden können.“
Schnell zunehmende Gefahren durch Zugriff von Dritten
Von Anbietern und Beratern bis hin zu verschiedenen weiteren externen Partnern – die Verknüpfung von externen Stellen mit dem Netzwerk spielt eine entscheidende Rolle in modernen Geschäftsprozessen, birgt jedoch ein immer größeres Risiko. Im letzten Jahr waren 30 Prozent der Sicherheitsvorfälle auf irgendeine Weise mit der Beteiligung Dritter verbunden – ein Anstieg um 15 Prozent gegenüber dem Vorjahr. Als Gegenmaßnahme sind 92 Prozent der Unternehmen besorgt, dass externe Partner über VPNs mögliche Zugänge in das Netzwerk schaffen könnten.
Sicherheit bei Remote-Zugriff: Aktuelle Anforderungen
Sicherheitsteams benötigen heutzutage einen flexiblen, kontextbasierten Zugriff, der sich an Identität, Gerät und weitere Risikofaktoren anpasst. Um diesen Anforderungen zu entsprechen, gründen moderne Lösungen für den sicheren Remote-Zugriff sich häufig auf einige grundlegende Prinzipien:
- Geringstmögliche Berechtigungen:Nutzer dürfen nur auf die bestimmten Systeme oder Anwendungen zugreifen, die für ihre Aufgabenstellung notwendig sind.
- Identitätsbasierte Kontrolle:Die Entscheidung über den Zugriff muss sich auf die Identität von Nutzern, Geräten oder Anwendungen stützen.
- Kontinuierliche Überprüfung: Jede Sitzung und jede Transaktion müssen dynamisch authentifiziert und autorisiert werden. Chris Boehm, Field CTO bei Zero Networks, erläutert, dass die kontinuierende Überprüfung auf Verhaltens- und Kontextfaktoren basieren sollte:„Regelmäßige Prüfungen sollten nicht zu mehr MFA-Anfragen oder strengeren NAC-Regeln führen. Das sind aktuelle Prüfungen, die zum Zeitpunkt der Zugriffsgewährung durchgeführt werden. Eine echte kontinuierliche Prüfung erfolgt mithilfe von Verhaltens- und Kontextsignalen wie Prozessaktivitäten, Kommunikationsmustern und Zeiteinteilung, um das Vertrauen dynamisch neu zu bewerten.
- Netzwerkunsichtbarkeit:Um die Angriffsfläche zu reduzieren, dürfen interne Ressourcen niemals direkt mit dem Internet verbunden sein.
- Umfassender, mehrschichtiger Schutz: Moderne Technologien müssen einen umfassenden Schutz für alle Aspekte des Netzwerkverkehrs gewährleisten und dabei Mikrosegmentierung, identitätsbasierte Zugriffsregeln, sichere Remote-Zugriffsmöglichkeiten sowie Just-in-Time-MFA integrieren, um unerlaubte seitliche Bewegungen zu unterbinden und die gesamte Sicherheitslage zu erhöhen.
VPN-Alternativen
Da Unternehmen die Sicherheit der Fernzugriffe stark verbessern wollen, werden sie voraussichtlich verschiedene moderne Lösungen in Betracht ziehen, darunter:
- Zero Trust-Netzwerkzugriff (ZTNA):Bietet sicheren Remote-Zugriff basierend auf detaillierten Richtlinien im Einklang mit dem Zero-Trust-Sicherheitsmodell, bei dem kein automatisches Netzwerkvertrauen besteht. Ohne Ports für das Internet zu öffnen, erzwingtZTNAgenaue Zugriffsregeln basierend auf der Benutzeridentität, dem Gerätestatus und dem Umfeld.
- Sichere Zugangsdienst-Edge-Plattform (SASE):Netzwerk- und Sicherheitsfunktionen wie sichere Web-Gateways und Cloud Access Security Broker werden kombiniert. SASE beinhaltet häufig ZTNA als zentrale Komponente für einen sicheren Remote-Zugriff.
- Software-Defined Perimeter (SDP): Erstellt verschlüsselte Grenzen um spezifische Anwendungen und gewährt nach erfolgreicher Authentifizierung und Autorisierung dynamischen Zugriff auf einzelne Ressourcen.
Anstatt ein Remote-Access-VPN durch ein moderneres Tool mit ähnlichen Kompromissen zu ersetzen, sollten Unternehmen sichere Remote-Access-Lösungen sorgfältig darauf prüfen, ob sie eine detaillierte Kontrolle und umfassende Transparenz ohne Verzögerungen bieten können.
Beim Auswahl einer Lösung ist es wichtig, folgende Fragen zu stellen:
- Ist die Lösung auf einem Modell mit eingeschränkten Zugriffsrechten basiert, das eine präzise Kontrolle über den Zugriff auf Anwendungen und Ressourcen ermöglicht?
- Bietet die Lösung Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA), die mit Ihrem aktuellen Identitätsanbieter (IdP) verbunden werden können?
- Sind die IP-Adressen aller Nutzer während ihrer Verbindung innerhalb des Unternehmens sichtbar?
- Wie wird der Datenverkehr von der Lösung weitergeleitet, um sicherzustellen, dass die Benutzererfahrung nicht durch Verzögerungen beeinträchtigt wird?
Gedanken dieser Art unterstützen Sicherheitsteams dabei, sicherzustellen, dass sie in eine moderne und flexible Sicherheitslösung für den Remote-Zugriff investieren.
Aktueller Fernzugriff: Geschwindigkeit von VPN und Schutz durch ZTNA
Neue Ansätze für Identity Segmentation verändern die Fernzugriffstechnik, indem sie die Sicherheit von ZTNA mit der Geschwindigkeit und Benutzerfreundlichkeit von VPN vereinen. Durch Just-in-Time-MFA werden temporäre Ports für authentizierte Nutzer aktiviert, während der Rest des Netzwerks unzugänglich bleibt. Dies ermöglicht einen sicheren Zugriff auf vorab genehmigte Anwendungen und Dienste ohne Verzögerungen oder übermäßige Rechte.
In Verbindung mit der automatisierten, identitätsbasierten Mikrosegmentierung und einer MFA auf Netzwerkebene unterstützt dieser umfassende Ansatz Sicherheitsteams dabei, das Prinzip der geringsten Berechtigungen für jede Verbindung umzusetzen.
Tags: #SASE | #VPN | #Zero Trust