Sind VPNs für Remote Work noch zeitgemäß?

VPN ist eine Technologie, die über viele Jahre gute Dienste für Unternehmen geleistet hat. Doch die Rahmenbedingungen haben sich geändert. Immer mehr Mitarbeiter arbeiten remote und die digitale Kollaboration zwischen Unternehmen erfordert einen zunehmend intensiven Datenaustausch.

Ist dies mit einem klassischen VPN noch zu händeln? Oder sind neue Ansätze notwendig, um eine sichere Kommunikation zwischen Clients und Netzwerken zu realisieren?

Anzeige

Anzahl der externen Zugriffe auf Netzwerke steigt

Die digitale Zusammenarbeit ist eine Arbeitsform, die im Zuge der Corona-Krise ihren endgültigen Durchbruch geschafft hat. Dies gilt nicht nur intern, sondern über Unternehmensgrenzen hinweg. Für die IT hat diese Entwicklung zu neuen Herausforderungen geführt. Waren es früher nur einzelne Mitarbeiter, die remote auf das Netzwerk zugriffen, so sind Unternehmen heute mit einer weitaus größeren Benutzeranzahl und -vielfalt konfrontiert. Zunächst arbeitet das eigene Personal mittlerweile verstärkt mobil. Erschwerend kommt hinzu, dass auch andere Anwender wie Dienstleister, Lieferanten und Kunden temporär oder dauerhaft auf die IT-Ressourcen im Unternehmen zugreifen müssen. Das heißt: Die Zahl der Verbindungen, Geräte und Formen der Zusammenarbeit steigt kontinuierlich. Dennoch einen reibungslosen, sicheren Zugriff zu gewährleisten, ohne dabei zu viel Aufwand und Kosten zu verursachen, gestaltet sich deshalb zunehmend schwierig.

Wenn VPN an seine Grenzen stößt

VPN-Technologie ist seit Jahrzehnten Standard – und dies nicht zu Unrecht. Denn sie ermöglicht einen sicheren Zugriff auf Systeme und Netzwerk-Ressourcen. Allerdings stammen VPNs aus einer Zeit, in denen Unternehmensnetzwerke noch einer Burg mit dickem Schutzwall glichen. Dieser „Castle and Moat-Ansatz“, auch bekannt als Perimetersicherheit, galt bis dato als wirksame Methode um Ressourcen sicher abzuschirmen. Allerdings geht der Ansatz davon aus, dass alle Aktivitäten innerhalb des abgesicherten Perimeters sicher sind. Das heißt, alles und jeder im internen Netzwerk wird automatisch als vertrauenswürdig eingestuft. Als sich die meisten Anwendungen und Daten noch im eigenen Rechenzentrum befanden, war diese Strategie durchaus legitim.

Bleiben wir beim Schaubild der Burg, so kann VPN als sicheres Torhaus für autorisierte Benutzer bezeichnet werden. Es gewährleistet befugten Anwendern also einen sicheren Zugang zum Perimeter. Ist das Tor jedoch einmal durchschritten, haben Nutzer praktisch uneingeschränkten Zugriff auf Ressourcen innerhalb der Burg. Im Hinblick auf die unternehmensübergreifende digitale Zusammenarbeit, doch auch angesichts der Zunahme von Cyberangriffen, ist dieser Ansatz problematisch. Weiterhin ist zu berücksichtigen, dass sich die Netzwerke verändert haben. Sie sind heute viel komplexer, verteilter und dynamischer als je zuvor. Anwendungen und Daten befinden sich in der Cloud. Ressourcen müssen für mobile Mitarbeiter und auch für externe zur Verfügung gestellt werden.

Anzeige

All diese Faktoren führen dazu, dass das klassische VPN an seine Grenzen stößt. Dies beginnt bei dem enormen Aufwand in der IT-Abteilung. So müssen sich die Mitarbeiter tagtäglich mit der IP-Verwaltung, Firewall-Zugriffsregeln, der Bereitstellung sowie mit der Konfiguration von Clients und Zertifikaten abmühen. Bei mehr als einer Handvoll Knoten und Dutzenden Benutzern wird dies schnell zum Vollzeitjob. Der Aufwand steht in solchen Szenarien kaum noch im Verhältnis zum Nutzen. Zudem ist ein schneller Ressourcenzugriff nicht mehr sichergestellt. Davon abgesehen bieten VPN-Clients nicht mehr die Benutzerfreundlichkeit, die Anwender heute erwarten. Störfaktoren wie erhöhte Latenz, eingeschränkte Performance und Verbindungsprobleme machen die Technologie unbeliebt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Welche Alternativen zu VPN gibt es?

Halten wir als Zwischenfazit fest: VPN war über lange Zeit ein probates Mittel für den sicheren Netzwerkzugriff. Aktuellen Rahmenbedingungen wird die Technologie jedoch nicht mehr gerecht. Sie verursacht zu viel Verwaltungsaufwand und ist gerade für Zugriffe durch Externe nicht optimal geeignet. Es sind somit Ansätze gefragt, die eine sichere Remote-Arbeit ermöglichen und sich gleichzeitig möglichst unkompliziert bereitstellen lassen.

Wie Lösungen dieser Art aussehen können, wird am besten Anhand eines Beispiels deutlich. Ziehen wir hierfür das Produkt Cordaware bestzero heran. Anwender greifen bei diesem Modell über einen „Zero Trust Network Access“ (ZTNA) auf das Netzwerk zu. Anders als bei einem Standard-VPN haben Nutzer jedoch nicht Zugang zu allen Ressourcen. Vielmehr kann dediziert festgelegt werden, auf welche einzelnen Anwendungen Zugriff gewährt wird. Somit sind Anwendungszugriffe von der Netzwerkebene entkoppelt.

Für die technische Umsetzung nutzt Cordaware bestzero die sogenannte Appsbox. In dieser Box fügen Administratoren alle Anwendungen hinzu, auf die ein bestimmter Nutzer Zugriff haben soll. Der Anwender muss die gewünschte Applikation dann lediglich anklicken, um sie zu starten. Cordaware bestzero ermöglicht auch den gewohnten Aufruf, etwa über das Intranet oder ein Browser-Lesezeichen. Neben internen Anwendungen können über Cordaware bestzero weitere Applikationen und Ressourcen aus verschiedenen Quellen bereitgestellt werden – auch aus der Cloud. Somit spielt es keine Rolle mehr, an welchem Ort sich die Ressource befindet.

Das On- und Offboarding von Benutzern lässt sich durch die Anbindung eines Verzeichnisdienstes wie Microsoft Active Directory (AD) automatisieren. Tritt beispielsweise ein neuer Mitarbeiter dem Vertriebsteam bei, so werden ihm im AD Rollen und Berechtigungen zugewiesen. Nachdem er sich nun an der Appsbox angemeldet hat, erhält er hier automatisch die entsprechenden Anwendungen und Ressourcen. Ändert sich die Rolle oder verlässt der Mitarbeiter das Unternehmen, so werden die Berechtigungen automatisiert geändert beziehungsweise entzogen.

Mit Cordaware bestzero lassen sich darüber hinaus RDP-Verbindungen für Remotedesktops auf sichere Weise bereitstellen. Hierfür musste in der Vergangenheit ein eingehender Port in der Firewall geöffnet werden. Eine sicherheitstechnisch höchst bedenkliche Maßnahme. Da bei bestzero keinerlei eingehende Verbindung benötigt wird, gestaltet sich die Realisierung von Remotedesktopverbindungen weitaus einfacher und zugleich sicherer. Das BSI empfiehlt dieses Vorgehen sogar ausdrücklich. Für zusätzliche Sicherheit sorgt eine 2-Faktor-Authentifizierung beim Verbindungsaufbau. Weiterhin spielt es keine Rolle, wie viele Remotedesktops bereitgestellt werden sollen. Unternehmen benötigen nur noch einzelne ausgehende Verbindungen.

Fazit: Einsatz von VPN sollte überdacht werden

VPN ist nach wie vor ein probates Mittel zur Absicherung des Netzwerkzugriffs – sofern der Überblick nicht verloren geht und der Verwaltungsaufwand nicht zu hoch ausfällt. In Zeiten von Remote Work und komplexen digitalen Ökosystemen treffen diese Probleme jedoch vielerorts zu. Es empfiehlt sich daher, sich mit Alternativen wie Zero Trust Network Access auseinanderzusetzen. Lösungen dieser Art senken nicht nur Aufwand und Kosten, sondern erhöhen auch die Flexibilität, Schnelligkeit und Sicherheit im Umgang mit IT-Ressourcen.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.