Ist es an der Zeit, sich von VPNs zu verabschieden? Zero Trust vs. Virtual Private Network

Von Patrick McBride

Virtuelle private Netzwerke (VPNs) werden schon seit Jahrzehnten genutzt und haben sich dank der weit verbreiteten Fernarbeit immer mehr durchgesetzt. Doch immer deutlicher gelangen damit auch Leistungs- und Sicherheitsprobleme mit VPNs in den Fokus.

Anbieter zum Thema

Virtuelle Private Netzwerke haben ausgedient – Zero Trust heißt die Technik, auf die IT-Verantwortliche jetzt setzen sollten!
Virtuelle Private Netzwerke haben ausgedient – Zero Trust heißt die Technik, auf die IT-Verantwortliche jetzt setzen sollten!
(Bild: © photoopus / Vlado Paunovic - stock.adobe.com)

Kommen wir zunächst zu den Leistungsproblemen: Wie viele IT-Fachleute wissen, können VPNs schnell an ihre Kapazitätsgrenzen stoßen und lassen sich nur schwer skalieren. Je mehr Benutzer sich anmelden, desto langsamer werden die Verbindungen, was wiederum die Produktivität beeinträchtigt.

Aber das ist nicht das größte Problem: VPNs verwenden ein veraltetes Sicherheitsmodell nach dem Prinzip „Burg und Burggraben“. Der gesamte Schutz befindet sich an der Peripherie, und wenn der Angreifer erst einmal drin ist, gibt es kaum noch eine Möglichkeit der Gegenwehr. Um Hacker in Schach zu halten ist es für Unternehmen daher an der Zeit, VPNs aufzugeben und zu einer Zero-Trust-Architektur überzugehen.

VPNs und Zero-Trust: ein kurzer Überblick

Warum IT-Abteilungen den Übergang zu einer Zero-Trust-Sicherheitsarchitektur ernsthaft in Erwägung ziehen sollten, zeigt sich, wenn man die Unterschiede zwischen einem VPN- und einem Zero-Trust-Sicherheitsmodell betrachtet:

  • VPN: Bietet einen verschlüsselten Tunnel zwischen dem Unternehmensnetzwerk und dem Gerät des Benutzers. Die Daten sind verschlüsselt und geschützt, und der Benutzer hat in der Regel den gleichen Zugriff auf Anwendungen, Dienste und Dateien, als ob er im Büro auf der Hardware des Unternehmens arbeiten würde.
  • Zero Trust: Wie der Name schon sagt, vertraut das Netzwerk keinem Gerät oder Benutzer. Die Benutzer erhalten keinen pauschalen Zugriff auf Anwendungen, Dienste und Dateien, sondern lediglich Zugriff auf die Ressourcen, die sie für die jeweilige Aufgabe benötigen. Selbst innerhalb des Unternehmensnetzes werden die Geräte vor dem Zugriff auf Unternehmensdaten einer Verifizierung und Authentifizierung unterzogen.

Hier zeigt sich, dass sich die Sicherheitsmaßnahmen von VPNs und Zero Trust deutlich voneinander unterscheiden. In einem VPN hat bspw. ein IT-Manager Zugriff auf das gesamte Netzwerk, während auch er in einem Zero-Trust-Netzwerk nur auf die Dienste zugreifen kann, die er gerade nutzt.

Warum VPNs so unsicher sind

VPNs sind nicht so sicher, wie man sich das vorstellt, denn die Zugangskontrolle ist ein einziger Perimeter mit mehreren Stufen des Zugangs zu sensiblen Informationen im Unternehmensnetzwerk nach der Authentifizierung. Ein weiteres Problem sind die Benutzer und Geräte selbst: Das VPN hat keinen Einblick in die Sicherheit eines Geräts.

Aus diesem Grund ist das Hacken über ein VPN ein attraktives Ziel, insbesondere wenn es sich um das Konto einer Person mit einer höheren Zugriffsstufe handelt. Ist der Hacker erst einmal im Netzwerk, hat er Zugang zu allem, was er möchte.

Warum Zero Trust sicherer ist

Die Abschaffung des Konzepts des Vertrauens in einem Netzwerk trägt wesentlich zu dessen Sicherheit bei. Indem Benutzer und Geräte gezwungen werden, sich ständig zu authentifizieren und den Ressourcenzugriff auf die Dateien und Daten zu beschränken, die sie für die jeweilige Aufgabe benötigen, sind Benutzer und Geräte ein viel weniger attraktives Ziel für Hacker.

Da viele Dienste und Anwendungen inzwischen cloudbasiert sind, muss der Datenverkehr nicht mehr durch das Unternehmensnetzwerk geleitet werden. Sogar das Richtlinienmodul und der Richtlinienadministrator können sich in der Cloud befinden: Auf diese Weise gelangen die meisten böswilligen Akteure nicht in Ihre unternehmenseigene Infrastruktur.

In einem Zero-Trust-Netz wird der Zugriff nicht allein auf der Grundlage einer korrekten Authentifizierung gewährt. Ein Zero-Trust-Netzwerk setzt auch eine Reihe von Sicherheitsrichtlinien durch, um den Zugriff aufrechtzuerhalten. Angenommen, ein Benutzer oder Gerät verbindet sich mit veralteter Software oder fehlenden Sicherheits-Patches. Das Netzwerk kann dann den Zugang einschränken und bei schwerwiegenden Problemen den Zugang blockieren, bis das Problem behoben ist. Das geschieht unabhängig davon, ob es sich um ein firmeneigenes Gerät im Netzwerk des Unternehmens oder um ein privates Gerät handelt, das sich aus der Ferne verbindet.

Die US-Regierung setzt auf Zero Trust

Die vielleicht wichtigste Bestätigung für eine Zero-Trust-Strategie kam im Mai von der US-Regierung. Präsident Biden unterzeichnete einen Erlass, der alle Bundesbehörden und Auftragnehmer anweist, Anwendungen und Systeme auf Zero Trust umzustellen.

Die Anordnung beinhaltet die Verlagerung von Anwendungen aus internen Netzwerken in die Cloud, die Verbesserung der allgemeinen Überwachung von Bedrohungen und Vorfällen sowie die Einführung von Multi-Faktor-Authentifizierung und Verschlüsselung aller Daten – alles wesentliche Konzepte des Zero-Trust-Sicherheitsmodells.

Wie man auf Zero Trust umstellt

Der Übergang zu Zero Trust erfolgt in drei Phasen, die jeweils eine weitere Sicherheitsebene zum Unternehmensnetzwerk hinzufügen.

1. Führen Sie eine erste Sicherheitsbewertung durch: Sie werden sich nicht angemessen schützen können, wenn Sie Ihre aktuelle Sicherheitslage nicht kennen. Beginnen Sie mit der Identifizierung potenzieller Angriffsflächen und möglicher Ziele wie sensibler Daten, Anlagen, Anwendungen und Dienste (DAAS). Überprüfen Sie anschließend die Benutzerkonten, entfernen Sie ungenutzte oder alte Konten und überprüfen Sie die den verbleibenden Konten zugewiesenen Berechtigungen. Stellen Sie sicher, dass kritische Werte zuerst geschützt werden, aber wählen Sie diese sorgfältig aus, damit die Unterbrechungen minimal sind.

2. Wissen, wo Ihre Daten sind und wohin sie gehen: Sie müssen nun wissen, wo sich Ihre Daten befinden und wer Zugriff darauf haben könnte. Achten Sie auch darauf, wie Dienste von Drittanbietern mit dem Unternehmensnetzwerk verbunden sind und welchen Zugang sie haben. Nutzen Sie die passwortlose Authentifizierung, um Ihr Netzwerk weiter abzusichern: Passwörter sind ein bevorzugtes Ziel für Hacker, die Ihr Netzwerk infiltrieren wollen. Beschränken Sie den Datenzugriff immer auf das, was der Benutzer für die Erledigung seiner Aufgabe benötigt.

3. Gehen Sie in puncto Sicherheit in die Offensive: Schließlich ist es an der Zeit, in puncto Sicherheit proaktiv zu handeln und ein Echtzeit-Überwachungssystem einzurichten. Der Einsatz von MFA, einer robusten Richtlinie und Mikrosegmentierung zum Schutz hochsensibler Informationen trägt wesentlich dazu bei, den Datenschutz zu verbessern und die Gefährdung im Falle eines Vorfalls zu begrenzen.

Wie man Zero Trust erreichen kann

Eine Methode, um Zero Trust zu erreichen ist granulare Autorisierungsrichtlinien zu implementieren, die den Zugriff auf Ressourcen auf der Grundlage der Sicherheitslage des Geräts, des Standorts und anderer Faktoren einschränken. Dabei werden Passwörter durch sichere Anmeldedaten, die auf X.509-Zertifikaten und öffentlich-privaten Schlüsselpaaren basieren, ersetzt. Jegliche wissensbasierte Authentifizierung, die ein beliebtes Ziel für Angreifer ist, wird somit eliminiert.

Wenn ein Unternehmen eine Null-Vertrauens-Strategie verfolgt, wird es dieses Ziel nicht erreichen, solange es alles auf eine grundsätzlich unsichere Authentifizierungsmethode stützt: den Benutzernamen und das Passwort.

Patrick McBride.
Patrick McBride.
(Bild: Beyond Identity)

Diese passwortlose Plattform lässt sich mit nur wenigen Zeilen zusätzlichen Codes problemlos in die meisten bestehenden SSO-Lösungen integrieren und unterstützt Organisationen bei ihren Bemühungen, ihre Ressourcen zu sichern.

Über den Autor

Patrick McBride ist Chief Marketing Officer bei Beyond Identity.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47873340)