Was ist ein VPN?

Die Geschichte des VPN

Das Point-to-Point Tunneling Protocol gilt als Ursprung der sicheren drahtlosen Datenübertragung und wurde 1996 veröffentlicht. Vor PPTP war für den sicheren Informationsaustausch zwischen zwei Computern eine kabelgebundene Verbindung erforderlich, die sich jedoch aufgrund des Umfangs der erforderlichen physischen Infrastruktur in großem Maßstab als ineffizient und unpraktisch erwies. Wenn die Sicherheit einer kabelgebundenen Verbindung nicht gewährleistet werden konnte, waren die übertragenen Daten daher anfällig für Angriffe oder Diebstahl.

Mit dem Aufkommen von Verschlüsselungsstandards und individuellen Hardwareanforderungen für diese sicheren drahtlosen „Tunnel“ entwickelte sich PPTP schließlich zu dem bis heute gängigen VPN-Server. Da dieser ohne Kabel auskam, konnten sich Unternehmen, die eine sichere drahtlose Datenübertragung brauchten, viel Aufwand und Kosten sparen. Auf dieser Grundlage bauten dann Anbieter wie Cisco, Intel und Microsoft eigene physische und virtuelle VPN-Services auf.

Wie funktioniert VPN?

Ein VPN funktioniert, indem es für eine Standardverbindung zwischen User und Internet einen virtuellen, verschlüsselten Tunnel erstellt, der den User mit einem Gerät in einem Rechenzentrum verbindet. Dieser Tunnel schützt den Traffic während der Übertragung, sodass böswillige Akteure, die Webcrawler verwenden und Malware einsetzen, keine User- oder Unternehmensdaten stehlen können. Einer der gängigsten Verschlüsselungsalgorithmen für VPNs ist der Advanced Encryption Standard (AES), eine symmetrische Blockchiffre zum Schutz von Daten während der Übertragung.

Meistens können zudem nur authentifizierte User Daten durch den VPN-Tunnel senden. Je nach VPN-Typ und Anbieter müssen sie sich ggf. erneut authentifizieren, um ihre Daten durch den Tunnel zu schicken und vor Hackern zu schützen.

Arten von VPNs

VPNs stellen eine praktische Sicherheitslösung dar, die auch für kleinere Anforderungen oder Zwecke verwendet werden kann. Hier sind einige Beispiele für VPNs:

Cloud-VPN: VPNs können auf virtuellen Maschinen bereitgestellt werden, um sie „cloudfähig“ zu machen. Dadurch werden die Hardware-Funktionen eines VPNs durch (künstliche) Cloud-Funktionen wie höhere Skalierbarkeit und Endgeräteschutz ergänzt. Diese können für größere Unternehmen nützlicher sein als eine typische eigenständige VPN-Appliance. Jedoch fehlt ihnen möglicherweise immer noch die Flexibilität, eine Remote- oder Hybrid-Belegschaft in großem Umfang zu unterstützen

Personal/Mobile VPN: Unternehmen wie ExpressVPN und NordVPN bieten herunterladbare VPN-Apps an, damit User die Daten auf ihren Privatgeräten schützen können. Dies ist eine gute Option, wenn Sie in unsicheren WLAN-Netzwerken im Internet surfen. Zum Schutz Ihrer Geräte stehen einige kostenlose VPNs zur Verfügung, die jedoch später kostenpflichtig werden.

Remote-Zugriff-VPN: Diese VPNs sind speziell für User konzipiert, die außerhalb von Unternehmensstandorten arbeiten. Sie werden typischerweise im Rechenzentrum eines Unternehmens eingesetzt, können aber erweitert werden (zulasten von Web- und/oder App-Leistung), um Remote-User vor Malware und anderen Bedrohungen zu schützen. Diese kamen nach dem Ausbruch der COVID-19-Pandemie sehr häufig zum Einsatz.

Wofür werden VPNs verwendet?

Ein VPN eignet sich, um einer überschaubaren Anzahl von Mitarbeitern in Zweigstellen oder an Remote-Standorten einen gesicherten Zugriff auf Unternehmensressourcen zu gewähren. Wenn einige Mitarbeiter unterwegs sind oder sich von einem Café aus verbinden, können Unternehmen einen VPN-Service verwenden, um VPN-Client-Software bereitzustellen, die es Remote-Usern ermöglicht, eine sichere Verbindung von einem Endgerät außerhalb des Netzwerkperimeters herzustellen.

Teilweise wurden VPNs damals sogar zur standortübergreifenden Verbindung zwischen zwei Netzwerken (z. B. dem eigentlichen Unternehmensnetzwerk und einem Zweigstellennetzwerk) eingesetzt. VPNs eignen sich zum Einsatz für verschiedene Anwendungsfälle, insbesondere mit Blick auf die Notwendigkeit, User an Remote-Standorten und in Zweigstellen vom Internet-Traffic fernzuhalten. Mit der zunehmenden Akzeptanz von Remote-Arbeit bzw. hybriden Belegschaften setzt sich jedoch bei den Unternehmen auch verstärkt die Erkenntnis durch, dass VPNs unter heutigen Vorzeichen keinen ausreichenden Schutz mehr bieten.

So nutzen Unternehmen VPN

In Geschäftsumgebungen nutzen Unternehmen VPNs zum Schutz von Remote-Usern, die an Mobilgeräten oder anderen unsicheren Endpunkten arbeiten. Einige Firmen stellen ihren Mitarbeitern auch Laptops für das Homeoffice zur Verfügung. Im Zuge der Corona-Pandemie wurde dies gängige Praxis.

Unternehmen setzen VPNs ein, um Remote-Usern über ihre Heimnetzwerke sicheren Zugriff auf Unternehmensressourcen zu ermöglichen. Die meisten Internetanbieter befolgen robuste Sicherheitsprotokolle zum Schutz nicht vertraulicher Daten in Heimnetzwerken. Wenn es jedoch um vertrauliche Daten geht, reichen die Sicherheitsmaßnahmen für privates WLAN allein nicht aus. Unternehmen müssen daher VPN-Protokolle verwenden, um die Sicherheit dieser Daten zu gewährleisten.

Durch die Nutzung eines VPN-Anbieters können Unternehmen mithilfe dieser Protokolle den standardmäßigen Traffic vom Router zum Rechenzentrum unterbrechen und ihn stattdessen durch einen verschlüsselten Tunnel leiten. Dadurch werden die Daten geschützt und der Internetzugang für User gesichert, die im Homeoffice arbeiten, was die Angriffsfläche des Unternehmens zumindest geringfügig verkleinert.

Vor- und Nachteile der Verwendung eines VPN

Vorteile

VPNs können die Sicherheit für Unternehmen oder auch Einzelpersonen vereinfachen. Im Kern sind sie für folgende Anwendungsszenarien konzipiert:

• Berechtigungen beschränken. VPNs erfordern eine Authentifizierung der User, bevor sie Zugriff auf das Netzwerk erhalten.
• Drosselung verhindern. Der verschlüsselte Tunnel eines VPN macht die Verbindung nach außen unsichtbar, sodass die Bandbreite theoretisch größer und die Geschwindigkeit hoch bleibt.
• Sichere Geräte. Remote-Desktops sowie Geräte mit Android- und iOS-Betriebssystemen können mithilfe eines VPN geschützt werden.

Herausforderungen

Trotz dieser Vorteile bringen VPNs jedoch auch einige Hindernisse mit sich, die IT-Abteilungen Kopfzerbrechen bereiten oder sogar das Risiko erhöhen können. VPNs:

• User werden im Netzwerk platziert. VPNs ermöglichen Mitarbeitern und Dritten Direktzugriff auf das Unternehmensnetzwerk. Sobald ein User über VPN ins Netzwerk gelangt, wird er als „vertrauenswürdig“ eingestuft und profitiert von lateraler Bewegungsfreiheit innerhalb des Netzwerks.
• Höhere Kosten und Komplexität. Die Bereitstellung von VPNs ist mit hohen Kosten verbunden – erst recht, wenn Latenzen und Kapazitätsbeschränkungen die Replizierung der Gateway-Stacks in sämtlichen Rechenzentren erforderlich machen.
• Mangelnde Skalierbarkeit. VPNs sind naturgemäß hardwarebasiert. Sie sind nicht darauf ausgelegt, mit den steigenden Anforderungen eines Unternehmens zu wachsen und zu skalieren, um User, Workloads und Anwendungen zu schützen. Hinzu kommt, dass hybrides Arbeiten mittlerweile zur Norm geworden ist, während die meisten VPNs nicht dafür ausgelegt sind, eine hohe Anzahl von Mitarbeitern an Remote-Standorten zu unterstützen

Einschränkungen von unternehmenstauglichen VPNs

Ein Großteil der Probleme im Zusammenhang mit herkömmlicher Netzwerksicherheit geht auf eine ineffiziente und unsichere VPN-Infrastruktur zurück. Konkret lässt sich festhalten:

• VPNs können die laterale Ausbreitung von Bedrohungen nicht verhindern. Zwar können VPNs Daten in kleinerem Maßstab durch verschlüsselte Tunnel schützen, verhindern aber nicht den weiteren Zugriff auf das gesamte Netzwerk eines Unternehmens, wenn ein Endgerät kompromittiert wurde.
• VPNs sind nicht gut skalierbar. Hardwarebasierte VPNs müssen manuell konfiguriert werden und ihre Bandbreitenbegrenzungen machen häufig redundante Deployments erforderlich. Softwarebasierte VPNs müssen auf jedem Endgerät bereitgestellt werden, sodass die Flexibilität der User eingeschränkt wird.
• VPNs ermöglichen keine Zero-Trust-Sicherheit. Nach der Authentifizierung über ein VPN befindet sich ein User im Netzwerk. Ist er erst einmal auf diese Weise ins System gelangt, kann sich ein Hacker oder Insider von dort aus lateral bewegen, um auf vertrauliche Informationen zuzugreifen oder Schwachstellen auszunutzen, die nicht von innen geschützt sind.

Selbst die besten VPNs können nicht alle Online-Aktivitäten sichern, da einige ihrer Verschlüsselungsprotokolle den heutigen komplexen Bedrohungen möglicherweise nicht gewachsen sind.

Wie wirkt sich ein VPN auf die Performance aus?

VPNs können sichere Tunnel zum Rechenzentrum eines Unternehmens bereitstellen. Allerdings besteht bei diesen Tunneln die Gefahr, dass das Netzwerk gedrosselt wird, da für die sichere Übertragung von Traffic von einem Heimnetzwerk an eine Hardware in einem Rechenzentrum eine größere Bandbreite und Funktionalität erforderlich ist. Sowohl die Performance als auch die User Experience können erheblich beeinträchtigt werden. Darüber hinaus müssen sich User möglicherweise wiederholt beim VPN anmelden, was zu Frustration führt.

Cloud-Netzwerksicherheit: Eine Alternative zu VPNs

Hybride Arbeitsmodelle gehören für Organisationen mehr und mehr zum Alltag und Cloud-Modelle werden zur Norm. Vor diesem Hintergrund zeichnet sich immer deutlicher ab, dass althergebrachte Firewall-Ansätze den Anforderungen von Cloud-Umgebungen und Zero-Trust-Sicherheit nicht gerecht werden können.

Stattdessen empfiehlt sich die Umstellung auf einen zukunftsfähigen Digital-First-Ansatz, der auf das Zeitalter der Cloud und Mobilität ausgerichtet ist:  eine cloudbasierte Sicherheitslösung, die Sicherheit vom Netzwerk entkoppelt und Richtlinien überall dort durchsetzt, wo Anwendungen gehostet werden und User darauf zugreifen.

Durch die Verlagerung der Sicherheit vom Netzwerk in die Cloud folgt der komplette Netzwerk-Security- Stack den Usern im Prinzip zu jedem Standort. Sicherheitsmaßnahmen werden standortunabhängig angewendet und gewährleisten ein konsistentes Schutzniveau – ob in der Zweigstelle, im Homeoffice, am Flughafen oder in der Unternehmenszentrale.

Im Vergleich zu herkömmlicher Netzwerksicherheit bietet eine gute Cloud-basierte Sicherheitslösung folgende Vorteile:

• Schnellere User Experience: Jeglicher User-Traffic gelangt über den kürzesten Weg zur Anwendung oder zum Ziel im Internet.
• Erstklassige Sicherheit: Der gesamte Internet-Traffic, ob verschlüsselt oder unverschlüsselt, wird überprüft und die Risikoerkennung durch Echtzeit-Korrelation von Bedrohungsdaten verbessert.
• Reduzierte Kosten: Dank der kontinuierlich aktualisierten Cloud-Infrastruktur entfällt die Notwendigkeit, laufend neue Appliances zu erwerben und zu warten.
• Einfachere Verwaltung: Da die Lösung als Service bereitgestellt wird, reduziert sich der Aufwand für die Verwaltung mehrerer Geräte.

Durch den Wechsel zu einem cloudbasierten Security-Stack stellen Sie sicher, dass Ihre User schnellen, sicheren und richtlinienbasierten Zugriff auf Drittanbieter- sowie private Anwendungen erhalten. Gleichzeitig ist Vorsicht geboten: Zwar werben zahlreiche Anbieter mit cloudbasierten, cloudfähigen Sicherheitslösungen, dahinter verbergen sich jedoch häufig nachgerüstete, virtualisierte Legacy-Appliances. Nicht so bei Zscaler: Unsere Sicherheitslösung wurde in der Cloud und für die Cloud entwickelt.

Zscaler Private Access™ (ZPA™)

Zscaler Private Access™ (ZPA™) ist ein cloudbasierter ZTNA-Service (Zero Trust Network Access), der sicheren Zugriff auf alle privaten Unternehmensanwendungen ermöglicht, ohne dass ein Remote-Access-VPN erforderlich ist. Entsprechend dem Zero-Trust-Modell nutzt ZPA die Zscaler Security Cloud, um skalierbaren Remote- und lokalen Zugriff auf Unternehmensanwendungen zu ermöglichen, ohne User im Netzwerk zu platzieren. Mithilfe mikroverschlüsselter TLS-Tunnel und cloudbasierter Durchsetzung von Unternehmensrichtlinien erstellt ZPA ein sicheres Segment zwischen einem autorisierten User und einer bestimmten Anwendung.

Die einmalige Architektur des ZPA-Service mit ausgehenden Verbindungen vom App Connector zur ZPA Public Service Edge macht sowohl Netzwerk als auch Anwendungen im Internet unsichtbar. Das Modell erstellt eine isolierte Umgebung rund um jede Anwendung statt um das Netzwerk. Dadurch werden laterale Bewegungen und die Ausbreitung von Ransomware verhindert.