:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privatsphäre und Datenschutz im Internet Augen auf bei der VPN-Wahl
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Virtual Private Networks – kurz: VPN – haben mit der Coronakrise einen Schub erfahren: Homeoffice-Mitarbeitende sollten idealerweise verschlüsselt und gesichert aufs Unternehmensnetzwerk zugreifen. Allerdings funktioniert das nur, wenn der VPN-Anbieter vertrauenswürdig ist.
VPN-Verbindungen haben große Vorteile: Sie verschleiern den Datenverkehr im Internet und schützen vor unbefugtem Zugriff von außen. Selbst in öffentlichen Netzwerken sind Aktivitäten im Internet dank VPN effizient verborgen. Darüber hinaus verschleiern VPN-Nutzende den Aufenthaltsort. Da die Standortdaten vom VPN-Server aus anderen Ländern stammen können, lässt sich der Standort der Nutzenden nicht ermitteln.
Das VPN kann dabei unterstützen, Privatsphäre und Datenschutz zu erhöhen – allerdings ist es von überaus großer Wichtigkeit, bei der Auswahl des Anbietenden kritisch zu sein. Denn immerhin könnten VPN-Anbietende den Internetverkehr ihrer Kunden sehen. Und ist erst einmal der VPN- Anbietende kompromittiert, ist es auch der Kunde. Deshalb muss der erste Schritt sein, sich einen vertrauenswürdigen VPN-Anbietenden auszuwählen. Dabei gibt es VPN-Lösungen nicht mehr nur für stationäre, sondern auch für mobile Geräte, sodass auch der mobile Datenverkehr anonym gehalten werden kann.
Hardware, Software oder „VPN as a Service“
Tatsächlich gibt es verschiedene VPN-Protokolle und -Lösungen. Ihnen allen gemein ist, dass sie eine geschützte Netzwerkverbindung unter Nutzung öffentlicher Netzwerke aufbauen. Zudem müssen sich Nutzende für die verschlüsselten Verbindungen eines VPN authentifizieren. Es gibt jedoch VPN-Lösungen als Hardware, als Software und als Service.
Über Hardwareboxen werden üblicherweise sogenannte SSL-VPN-Lösungen realisiert. Ein SSL-VPN baut auf die Standards SSL und TLS. Zugänge vom Homeoffice auf das Unternehmensnetzwerk beispielsweise werden via SSL-VPN durch Benutzernamen und Passwort geschützt. Ein HTML5-fähiger Browser ist allerdings Voraussetzung. Wenn ein Unternehmen mit mehreren Standorten über eigene lokale Netzwerke verfügt, die mit dem Wide Area Netzwerk, kurz WAN, verbunden sind, ist ein Site-to-Site-VPN nützlich. Es verschleiert private Intranets und ermöglicht Nutzenden dieser Netzwerke sicheren Zugriff auf Ressourcen. Allerdings ist die Implementierung komplex und diese VPNs sind nicht ganz so flexibel wie SSL-VPNs.
Eine weitere Art ist das Client-to-Server-VPN, bei dem ein VPN-Client auf dem Rechner installiert werden muss. Ist dies geschehen, können sich Homeoffice-Mitarbeitende über eine sichere Verbindung ins Firmennetzwerk einwählen. Sie verbinden sich dabei nicht über den eigenen Internet-Service-Provider (ISP), sondern über den VPN-Anbietenden. Sogenannte End-to-End-VPNs verbinden hingegen zwei Clients miteinander. Ein Client befindet sich dabei innerhalb, der andere außerhalb eines Netzwerks. So können Nutzende beispielsweise direkt Zugang zu einem Server im Netzwerk erhalten. Jedoch wird die Verbindung nicht direkt hergestellt, sondern es wird der Umweg über ein Gateway genommen, mit dem sich die Clients verbinden müssen.
Eigenschaften vertrauenswürdiger VPN-Dienste
Um eine gute VPN-Lösung zu finden, sollten sich Unternehmen wie Nutzende darüber klar werden, was sie von einer VPN-Lösung erwarten. Natürlich muss in erster Linie das VPN selbst vor Kompromittierung geschützt sein. Darüber hinaus sollte ein VPN in der Lage sein, die IP-Adresse zu verschlüsseln und verhindern, dass Nutzende Spuren im Internet wie Suchverlauf, Cookies oder dem Internetverlauf hinterlassen. Starke VPN-Lösungen überprüfen außerdem jede Authentifizierung – etwa durch Zwei- oder Multi-Faktor-Authentifizierung. Da es zudem zu Unterbrechungen der VPN-Verbindung kommen kann, bei denen dann auch die sichere Verbindung unterbrochen ist, sollten gute VPNs Ausfallzeiten erkennen und vorausgewählte Programme beenden, um die Wahrscheinlichkeit einer Datenkompromittierung zu reduzieren.
Wie alles im Leben hat auch die VPN-Medaille zwei Seiten: Es gibt auch Nachteile und Risiken bei der Nutzung eines VPNs. Es kann beispielsweise passieren, dass die VPN-Lösung die Internetgeschwindigkeit reduziert. Das hängt davon ab, wie weit Server und Client voneinander entfernt sind und welche Art von Verschlüsselung genutzt wird. Deshalb ist es ratsam, sich vor dem Entscheiden für oder gegen eine VPN-Lösung über die Qualität der Verbindung zu informieren.
Kostenlose VPNs sind keine echte Option
Das VPN verfolgt das Ziel, die Privatsphäre von Nutzenden zu schützen – es kann jedoch auch eher das Gegenteil erreicht werden. Wer den falschen VPN-Anbietenden auswählt, verbessert sich bezüglich des Datenschutzes nicht unbedingt. Gerade kostenfreie Angebote sollten kritisch betrachtet werden. Hier sind ausreichend Recherchen im Voraus notwendig, beispielsweise über die hinter der VPN-Lösung stehende Technik, über die Entwickler und Erfahrungen von Nutzenden. In aller Regel bestehen Risiken aber nicht beim VPN-Verfahren selbst, sondern bei den Anbietenden. Deshalb ist eine ausführliche Vorauswahl mitentscheidend. Augen auf aber auch bei den gebührenpflichtigen VPNs: Es gibt zwischen den Anbietenden teilweise große Preisunterschiede. Ein guter Tipp ist, den Kosten die Leistungen, Testergebnisse unabhängiger Dritter und Nutzerbewertungen gegenüber zu stellen und sich erst dann zu entscheiden.
Auch die IP-Adresse muss verschleiert werden!
Eines der bedeutendsten Risiken bei VPNs ist, dass Dienstanbietende die IP-Adresse nicht verbergen. In solchen Fällen spricht man von IP-Adressen-Leaks. Server und Geräte, mit denen Nutzende kommunizieren, können über die IP-Adresse herausfinden, dass Nutzende die Quelle des Datenverkehrs sind. Verschleiert die VPN-Lösung hingegen zuverlässig die IP-Adresse, wird der VPN-Dienstanbietende als Quelle des Datenverkehrs verstanden und die Identität von Nutzenden geschützt.
Webbrowser-Plug-ins sind keine Virtual Private Networks
Die kommerziellen VPNs verzeichneten im ersten Halbjahr 2021 rund 41.000 Angriffe. Das sind erschreckende Zahlen, die zeigen, dass die gewählte VPN-Lösung bestimmt, wie hoch das Maß an Privatsphäre und Sicherheit ausfällt. Werden beispielsweise einfach Webbrowser-Plug-ins als VPN verwendet, kann das ins Auge gehen. Denn dahinter verbergen sich lediglich die IP-Adresse maskierende Web-Proxys. Echte und verschlüsselte VPN-Tunnel bauen diese Plug-ins nicht auf.
Außerdem ist zu bedenken, dass ein VPN nur ein Teil der Sicherheitstools im Unternehmen ausmacht: Mittels VPN wird nur der Datenverkehr im Internet geschützt und anonymisiert. Die VPN-Verbindung schützt weder vor Hackern noch vor Ransomware.
Über die Autorin
Patrycja Schrenk ist Geschäftsführerin der PSW Group.
(ID:48443497)
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")