Mehr Datenschutz für Daheimbleiber
Neuartige softwarebasierte Vpn-lösungen arbeiten unabhängig vom Betriebssystem. Behörden, KRITIS und Unternehmen gewinnen mit solchen VPN Clients und einer „friendly network detection“erstmals eine hochsichere und einfach zu handhabende Basis für die mobile Arbeitswelt.
Für die Arbeit aus dem Home Office ● oder von unterwegs ist eine Anbindung mobiler Geräte an das Behördenoder Firmennetzwerk mittels Virtual Private Network (VPN) unverzichtbar. Ein VPN baut über einen „gesicherten Tunnel“eine Verbindung zwischen dem Endgerät und dem Unternehmensnetz auf. Mit kryptografischen Verfahren wird dabei die Integrität und Vertraulichkeit von Daten geschützt.
Datenabfluss verhindern
Eine der größten Schwächen gängiger Vpn-lösungen ist, dass diese auf das Betriebssystem aufgesetzt werden. Befällt eine Schadsoftware Windows, dann ist auch der VPN Client betroffen und Angreifer können die Vpn-verbindung ausschalten. Die Daten fließen dann, vom User unbemerkt, über unsichere und unverschlüsselte Netzwerke – wie das heimische WLAN – ab. Auch der Nutzer selber kann – versehentlich oder mit Absicht – eine im Betriebssystem verankerte Vpn-verbindung ausschalten. Für den Schutz hochsensibler Daten sind diese Vpn-lösungen daher ungeeignet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb, dass Vpn-lösungen, die für sogenannte „eingestufte“– also schützenswerte – Informationen zum Einsatz kommen, unabhängig vom Betriebssystem arbeiten müssen. Auf diese Weise soll ein Abfluss der Daten selbst bei Schwachstellen und Sicherheitslücken im Betriebssystem verhindert werden. Technisch ließ sich das bisher nur mittels Hardwaresystemen umsetzen. In den vergangenen Jahren nutzten viele Behörden und kritische Infrastrukturen daher sogenannte Vpn-boxen. Der Nachteil der Boxen: Für die Arbeit von unterwegs – etwa am Flughafen, in der Hotellobby oder im Taxi – sind die Boxen ungeeignet, da sie eine externe Stromanbindung benötigen.
Reduktion der Schnittstellen
Spätestens während der Corona-pandemie, als zahlreiche Mitarbeiter von einem auf den anderen Tag ins Home Office gingen und zu Daheimbleibern wurden, gelangten diese Hardware-vpn-lösungen an ihre Grenzen. Denn die Boxen und passenden Laptops müssen für jeden Mitarbeiter, der ins Home Office geht, angeschafft werden. Das ist nicht nur teuer. Im Falle von Lieferengpässen verzögert sich die Umstellung auf den Remote-betrieb erheblich. Behörden, kritische Infrastrukturen und alle Unternehmen, die ihre Daten besonders schützen wollen, waren daher in den vergangenen Monaten in einem Dilemma: Herkömmliche Vpn-lösungen bieten zu wenig Schutz – hochsichere Geräte wiederum ließen sich nicht für den Massenbetrieb einführen. Mittlerweile ist es aber technisch möglich, Vpn-lösungen, die unabhängig vom Betriebssystem arbeiten, auch auf Basis von Softwareanwen
dungen zu entwickeln. Dem Betriebssystem wird dabei der Zugriff auf alle Netzwerkschnittstellen der Laptop-hardware verwehrt. Kontrolliert werden beispielsweise Usb-anschlüsse und kabelgebundene oder kabellose Netzwerke, wie das WLAN. Eine radikale Reduktion der Schnittstellen stellt sicher, dass Windows nur einen einzigen Kanal erkennt: den VPN Client. Nur über dieses sichere Netzwerk können die Daten abfließen.
Angriffe laufen ins Leere
Man spricht hier auch von Always-onlösungen: Sobald eine Netzwerkverbindung am Remote-gerät aufgebaut wird, ist der Vpn-tunnel an. Gleichzeitig ist ohne eine Vpn-verbindung Windows offline. Einzig im Fall, dass der VPN Client ein sicheres Netzwerk erkennt – beispielsweise im Büro – deaktiviert er sich von selber. Eine solche „friendly network detection“ermöglicht es dem User, in verschiedenen Netzwerkumgebungen kontinuierlich sicher zu arbeiten. Dafür wird eine Software zwischen die Hardware eines Rechners und das Betriebssystem angesiedelt. Das ist der entscheidende Vorteil gegenüber anderen softwarebasierten Hochsicherheits-vpn-lösungen. Denn selbst wenn Hacker über eine Sicherheitslücke in das Betriebssystem eindringen würden, hätten sie keinen Zugriff auf die Vpn-funktion. Ein weiterer positiver Effekt: Potenzielle Angriffe aus dem Windows-betriebssystem auf die Basis-firmware laufen ins Leere.
Performance bleibt erhalten
Mit einem solchen softwarebasierten VPN Client lassen sich im Falle eines Lockdowns alle Mitarbeiter von heute auf morgen sicher an das Firmennetzwerk anbinden. Eine Anschaffung von Hardware ist nicht erforderlich. Für die Authentifizierung des Nutzers kann eine Smart Card zum Einsatz kommen, die am Laptop eingeschoben wird – eine externe Box oder ein Stromkabel sind nicht erforderlich. Ein softwarebasierter VPN Client hat einen weiteren entscheidenden Vorteil: Da die Hardware der Geräte nicht ersetzt wird, bleibt die Performance nahezu vollständig erhalten. Das betrifft auch die Grafikbeschleunigung. Auch aufwändige Grafikdaten lassen sich dadurch gut übertragen. Das ist beispielsweise für eine hohe Auflösung entscheidend, wie sie etwa Video-konferenzen erfordern. ●
Eine radikale Reduktion der Schnittstellen stellt sicher, dass Windows nur einen einzigen Kanal erkennt: den VPN Client. Nur über dieses sichere Netzwerk können die Daten abfließen.