VPN - sichere Netzwerkverbindungen für KMU

Unabhängig vom weiteren Verlauf der Corona-Pandemie, haben Verantwortliche vieler kleiner und mittelständischer Unternehmen (KMU) und deren Mitarbeiter die Vorteile einer Arbeit aus dem Homeoffice zu schätzen gelernt. Auch für Außendienstmitarbeiter oder Angestellte unterschiedlicher Standorte ist regelmäßig ein Zugriff auf das gemeinsame Firmennetzwerk notwendig. Erfolgt dieser über das Internet, besteht ein unkalkulierbares Risiko bei der Übertragung sensibler Daten.

Internetprotokolle wie HTTPS sorgen nur bedingt für Abhilfe. Voraussetzung ist nämlich, dass die Verbindung zum korrekten Server aufgebaut wurde. Zudem verbleibt bei mit einfachen Zugangsdaten gesicherten Netzwerkressourcen ein Restrisiko, dass Hacker die Zugangsdaten ausspähen oder erraten. Die Lösung für eine sichere Kommunikation kann ein VPN sein. Dieses baut eine verschlüsselte Verbindung zwischen zwei Endgeräten auf, zum Beispiel zwischen einem Laptop und dem Firmen-Server. Vorgeschaltet ist ein sicherer Authentifizierungsprozess.

Ein paar Details zum VPN

Wünschenswert wäre es, wenn jeder Mitarbeiter sich direkt, ohne Umweg über das Internet, per Netzwerkkabel mit einem Switch oder Router im internen Netzwerk verbinden könnte. Das VPN versucht dieses Ideal mittels Hard- und Software nachzubilden. Gerade so, als würde sich der Rechner physikalisch im Netzwerk befinden. Danach läuft in den meisten Fällen der gesamte Netzwerkverkehr vom eingebundenen Gerät über das interne Netz, auch ausgehende Internet-Verbindungen. Es wird dafür eine sogenannte Punkt-zu-Punkt-Verbindung zwischen zwei Netzwerkgeräten geschaffen. Essenziell für die sichere Kommunikation ist die Authentifizierung. Diese ist in der Regel Basis für das anschließend angewendete Verschlüsselungsverfahren. Dabei ist ein Schlüssel notwendig, der auf beiden Seiten bekannt sein muss, damit übertragene Daten beim Empfänger entschlüsselt werden können.

Dies ist der Angriffspunkt bei herkömmlicher Verschlüsselung im Internet. Hier muss der Schlüssel zunächst über die noch unverschlüsselte Verbindung getauscht werden. Dabei kommen meist asymmetrische Verfahren mit einem öffentlichen und einem privaten Key zur Anwendung. Diese schützen nicht zu hundert Prozent vor sogenannten Man-in-the-middle-Angriffen, bei denen Informationen abgefangen werden. Ebenso bleiben Phising-Attacken möglich: Angreifer bilden den vermeintlich korrekten Server nach und empfangen unberechtigt die Daten.

Vorteil eines VPNs für KMU

Vorteil bei der Einrichtung eines VPNs in KMU ist insbesondere, dass die für die Verschlüsselung verwendeten Keys im Vorfeld bei der Einrichtung vom Administrator direkt auf den Geräten hinterlegt werden können. Eine Übertragung über das Internet ist nicht erforderlich. Noch sicherer ist die Verwendung von Smartcards, auf denen die Zertifikate hinterlegt und mit einem Passwort geschützt werden können.

Die Umsetzung von VPN-Netzwerken erfolgt im Einzelfall mittels verschiedener Protokolle oder Softwarelösungen. Einige davon sind:

• IPSec (Internet Protocol Security),
• SSL/TLS (Secure Sockets Layer / Transport Layer Security),
• PPTP (Point-to-Point-Tunneling Protocol),
• SSTP (Secure Socket Tunneling Protocol),
• OpenVPN (freies Softwareprodukt auf Basis von TLS).

Unterschiedliche Arten von VPNs

Ein VPN-Tunnel kann in diverser Form realisiert werden. Es sind insbesondere mehrere Topologien bei der Anbindung möglich:

1. SSL-VPN: Hierbei handelt es sich häufig um ein "VPN-light", bei dem die Clients per Webbrowser eine sichere Verbindung zum Server aufbauen. Zu beachten ist dann, dass mittels anderer Anwendungen übertragene Daten nicht geschützt sind. Es gibt auch vollwertige SSL-VPN-Systeme.

2. End-to-End: Bei dieser Variante wird nur eine sichere Verbindung zwischen zwei Endgeräten aufgebaut. Dabei kann eines der Geräte beispielsweise ein Netzwerkspeicher sein. Diese Form eignet sich für kleine Netzwerke mit wenigen Anwendern oder die Absicherung von Internetverbindungen über öffentliche Hotspots.

3. Side-to-Side: Hier werden zwei räumlich getrennte Netzwerke über das Internet mit einem VPN-Tunnel verbunden. Dabei fungiert jeweils ein Gerät pro Netzsegment als "Schleuse", das sogenannte Gateway. Entsprechend ist diese Form in erster Linie dafür gedacht, Netzwerke an unterschiedlichen Standorten abgesichert miteinander zu koppeln.

4. End-to-Side: In diesem Fall verbinden sich einzelne Rechner von außerhalb über das Gateway mit dem Firmen-Netzwerk. Typischer Anwendungsfall in KMU ist der Fernzugriff von Mitarbeitern aus dem Homeoffice oder von einer Geschäftsreise.

Die Praktische Umsetzung

Der VPN-Tunnel lässt sich sowohl rein softwareseitig als auch mit entsprechender Hardware umsetzen. Sind im Firmennetzwerk professionelle dedizierte Firewall-Lösungen im Einsatz, die entsprechend die Verbindung zum Internet absichern, enthalten diese mit hoher Wahrscheinlichkeit auch die Funktionalität zur Einrichtung eines VPN. Geräte von zum Beispiel Zyxel, Cisco, Sophos und Juniper, die auch in vielen KMU verbreitet sind, haben diese in der Regel integriert. Gleiches gilt für zahlreiche Router. Bereits Basis-Modelle der Fritz!Box des Anbieters AVM können mit wenigen Schritten so konfiguriert werden, dass sie als End-to-Side- oder Side-to-Side-Lösung fungieren. Ausführliche Anleitungen für alle gängigen Betriebssysteme werden auf der Webseite von AVM bereitgestellt.

Zudem können in Server-Betriebssystemen von Microsoft Windows und den meisten Linux-Distributionen VPN-Zugangspunkte mit Bordmitteln erstellt werden. Bei Windows heißt die notwendige Software Remote-Access-Server (RAS). Unter Linux ist beispielsweise OpenVPN oder Wireguard eine mögliche Alternative.
Sollen nur die Internetzugriffe des KMU abgesichert oder anonymisiert werden, reicht dagegen ein entsprechender Dienst wie Avira Phantom oder NordVPN aus. Hier ist allerdings die Auswahl eines vertrauenswürdigen Anbieters für die sichere Kommunikation entscheidend. Schließlich läuft der gesamte Netzwerkverkehr des Anwenders über dessen Server.

VPN-Tunnel - FAQs für KMU

Wann macht ein VPN für KMUs Sinn?

Immer dann, wenn regelmäßig ein Fernzugriff auf ein internes Firmen-Netzwerk benötigt wird. Dies sollte bei der dauerhaften Einrichtung von Homeoffice-Arbeitsplätzen geprüft werden. Ebenso, wenn Außendienstmitarbeiter häufig auf das Firmennetz zugreifen müssen. Aber auch dann, wenn Mitarbeiter oft Geräte in ungesicherten öffentlichen Netzwerken verwenden, bietet ein VPN-Tunnel die Möglichkeit für eine sichere Kommunikation.

Ist ein VPN-Tunnel wirklich sicher?

Die verwendeten Verschlüsselungsverfahren gelten grundsätzlich als sicher und bei ausreichender Schlüssellänge mit heute vorhandener Rechenleistung als nicht "knackbar". Entscheidend für die sichere Kommunikation ist die korrekte Konfiguration und der sorgsame Umgang mit den Zugangsdaten, wie Zertifikaten, Passwörtern oder Smartcards. Einfachster Angriffspunkt bleiben die verwendeten Schlüssel.

Kann ein VPN-Tunnel gehackt werden?

Jedes mit einem Netzwerk verbundene Gerät kann gehackt werden. Dies gilt allerdings auch für Geräte im internen Firmennetz, wenn eine Internetverbindung existiert. Realistisch gesehen ist es jedoch ebenso möglich, in nahezu jedes Gebäude einzubrechen und Hardware zu entwenden. Den existenten Gefahren sollte sich jeder Nutzer bewusst sein und es potentiellen Angreifern so schwer wie möglich machen. Daher muss Firmware verwendeter Hardware und Software allgemein regelmäßig aktualisiert werden. Zudem sollten Verantwortliche sich von Zeit zu Zeit über mögliche Sicherheitslücken verwendeter Produkte informieren. Ob das eigene Netzwerk ausreichend abgesichert wurde, lässt sich im Vorfeld durch einen "Probealarm" in Form eines Penetration-Tests abklären.

Sichere Kommunikation im VPN-Tunnel

Ein VPN stellt ohne Zweifel einen Zugewinn an Sicherheit für KMU dar. Sobald sensible Firmendaten über das öffentliche Internet ausgetauscht werden müssen, bietet es eine vergleichsweise einfache und kostengünstige Alternative zu kommerziellen Datenübertragungs- und Cloudlösungen. Wichtig für die dauerhaft sichere Kommunikation ist die fachgerechte Installation und Einrichtung sowie eine regelmäßige Überprüfung auf mögliche Schwachstellen.