Virtual Private Networks (VPNs) sind inzwischen über den ursprünglichen Anwendungsfall hinaus erweitert worden, um mobile Endgeräte remote mit dem Firmennetzwerk zu verbinden.
Selbst in einer Welt, in der wir private Geräte und Apps aus der Cloud nutzen, ist ein VPN weiterhin die bevorzugte Lösung für den Remote- und Cloud-Zugriff.
Als sich die meisten Firmen im letzten Jahr gezwungen sahen, auf Remote Working-Modelle umzustellen, brauchten sie eine schnelle Lösung für den sicheren Zugriff auf Unternehmensressourcen. Für viele war diese Lösung ein VPN. Allerdings sind VPNs nicht für den Einsatz von Bring Your Own Device (BYOD) und Cloud-Apps konzipiert.
VPNs erlauben zwar den Remote-Zugriff, sind aber in punkto Sicherheit unzureichend – auch wenn das überraschend klingen mag. VPNs wurden nämlich für den Fall entwickelt, dass lediglich ein kleiner Teil der Belegschaft vom Homeoffice aus arbeitet. Außerdem setzen sie zu viel Vertrauen voraus – in die Geräte und in die Nutzer. In der aktuellen Situation, in der hybride Arbeitsmodelle überwiegen, sollte sich jedes Unternehmen Gedanken machen, wie man insgesamt einen sicheren Zugriff gewährleistet.
Die Schwierigkeiten einer „Remote-First-Belegschaft“
VPNs kamen vor rund zwanzig Jahren auf den Markt und wurden zur De-facto-Methode, um Laptops mit Unternehmensrechenzentren zu verbinden. Für die Verbindung wurden damals noch Modems und Dienste wie iPass verwendet. Ein VPN lief dann über Dienste wie iPass, um ein „privates Netzwerk“ zu schaffen und die Übertragung sicher zu halten. Nur hat sich seitdem die technologische Landschaft drastisch verändert. In vielerlei Hinsicht wurden VPNs entwickelt, um Probleme von gestern zu lösen. Inzwischen sorgen weit verbreitete Cloud-Apps dafür, dass wir professionelle Daten völlig anders speichern und darauf zugreifen. Jemand wie ich verbindet sich beispielsweise mit dem internen Entwicklungssystem, greift auf Dokumente im Google Workspace zu, sendet Slack-Nachrichten an Kollegen und nutzt Zoom für seine Meetings. All das kann ich genauso einfach auf meinem Smartphone erledigen wie auf meinem Laptop. Viele Kunden machen ähnliche Erfahrungen, einschließlich des Zugriffs auf Anwendungen wie AWS, Azure oder SAP S/4HANA. Durch das flächendeckende Remote Working haben wir uns daran gewöhnt, nahtlos auf alles zuzugreifen, was wir brauchen, egal wo es sich befindet und mit dem Gerät unserer Wahl.
Ein anderes nicht minder schwerwiegendes Problem ist, dass Unternehmen keine ausreichende Transparenz über ihre komplexen IT-Umgebungen haben. Im Gegensatz zu früher, als nur vom Arbeitgeber ausgegebene Geräte in vom Unternehmen verwalteten Netzwerken verwendet wurden, greifen Mitarbeiter heute über Geräte, Netzwerke und Software auf Ressourcen zu, über die ein IT-Team keine Kontrolle hat oder von denen es vielleicht nicht einmal etwas weiß. Dadurch hat sich die Angriffsfläche deutlich verbreitert.
Warum VPNs für moderne Arbeitsumgebungen unzureichend sind
Eines der größten Probleme von VPNs liegt darin, dass sie vollen Netzwerkzugriff bieten, egal wer und was sich gerade verbindet. Und es ist nicht nur das verbundene Gerät selbst, das zugreift, sondern genauso alles, was sich im Netzwerk dieses Geräts befindet. Unabhängig davon, ob es sich um eine Malware oder ein kompromittiertes Konto handelt – es gibt nichts, was sie daran hindert, sich innerhalb der Infrastruktur zu bewegen und dort Schaden anzurichten.
Die Erfolgsbilanz der VPNs ist zudem mäßig, wenn es an das Thema User Experience geht.
Wenn man es gewöhnt ist, direkt auf die Cloud zuzugreifen, führt ein VPN mit zusätzlicher Anmeldung dazu, dass Arbeitsabläufe beeinträchtigt werden. Als würde man von Boston nach New York City über Los Angeles reisen – ineffizient. Wenn Websites verlangsamt laden oder Downloads eine gefühlte Ewigkeit in Anspruch nehmen, liegt es wahrscheinlich daran, dass der Datenverkehr gezwungen ist, eine ineffiziente Route zu nehmen.
Was ist die Alternative?
Um die aktuellen Probleme anzugehen, reichen VPNs nicht aus. Sichere Zugangstechnologien wie Zero Trust Network Access (ZTNA) oder Cloud Access Security Broker (CASB) setzen dort an, wo VPNs enden. Secure Access Service Edge (SASE)-Technologien erlauben einen granularen Zugriff auf genau die Anwendungen und Daten, die ein Mitarbeiter braucht – und nur auf diese. Dabei wird das Verhalten von Benutzern und Geräten kontinuierlich überwacht, um den Zugriff dynamisch auf Basis des Risikos anzupassen. So senkt man das Risiko der typischen lateralen Bewegungen durch das Netz, macht die Verbindung zwischen Benutzer und App effizient und geht, was sie Absicherung der Verbindung anbelangt, weit über die Verschlüsselung des Datenverkehrs zwischen zwei Punkten hinaus.
ZTNA erlaubt die nahtlose Verbindung zu allen Apps, ohne Daten zu gefährden
VPNs verdienen durchaus auch mal ein Lob. Aber die Probleme, für deren Lösung sie einst entwickelt wurden, sind nicht mehr relevant. Aktuell besteht die Herausforderung darin, Mitarbeitern die Freiheit und Flexibilität zu geben, von überall aus mit Anwendungen in der Cloud zu arbeiten und gleichzeitig sämtliche Daten zu schützen. Die Abkehr von Technologien wie VPNs hin zu Alternativen der nächsten Generation wie ZTNA ist ein guter Anfang.
Zero Trust gilt nicht nur für On-Premise-Software, vielmehr muss ein Unternehmen in der Lage sein vom Endpunkt bis zur Cloud, dynamischen Zugriff zu bieten.
Sundaram Lakshmanan, CTO SASE Products bei Lookout