Netzwerke, VPN- und WLAN-Verbindungen richtig absichern Der Schlüssel zu sicheren Verbindungen

Autor / Redakteur: Oliver Schonschek, IT-Fachjournalist und IT-Analyst / Stephan Augsten

Lauschangriffe auf Netzwerke lassen sich nur verhindern, wenn sämtliche Verbindungen angemessen verschlüsselt sind. Nicht nur bei der SSL-Verschlüsselung im Internet gibt es Nachholbedarf, auch andere Kommunikationswege sind oft nicht umfassend abgesichert. Dieser Beitrag beleuchtet die wichtigsten Traffic-Baustellen.

Nicht nur übers Internet droht Gefahr, auch innerhalb der Netzwerk-Grenzen ist Verschlüsselung notwendig.
Nicht nur übers Internet droht Gefahr, auch innerhalb der Netzwerk-Grenzen ist Verschlüsselung notwendig.
(Bild: © tungphoto - Fotolia)

Als Sicherheitsverantwortlicher kann man schon froh sein, wenn IT-Nutzer vertrauliche Daten nur dann an Webapplikationen übermitteln, sobald die Verbindung per SSL/TLS gesichert ist. Leider kann man aber selbst in diesem Fall nicht davon ausgehen, dass Lauschangriffe auf die Internetverbindung ausgeschlossen sind.

Zum einen wurden bereits SSL-Zertifikate gestohlen bzw. gefälscht, nachdem einzelne Zertifizierungsstellen erfolgreich angegriffen wurden. Zum anderen wird die SSL-Verschlüsselung im Internet häufig unzureichend implementiert.

Bildergalerie
Bildergalerie mit 5 Bildern

So meldete TeleTrust, dass bei der Hälfte der schutzwürdigen Internetkommunikation möglicherweise unsichere Algorithmen verwendet werden (PDF, 140 KB). Serverseitig werde automatisiert ein Profil ausgewählt, das Verschlüsselungsalgorithmen wie RC4 oder DES-Varianten nutzt, die eine Entschlüsselung durch unbefugte Dritte nicht ausreichend verhindern.

Auch der Online-Dienst SSL Pulse (Trustworthy Internet Movement) liefert Statistiken zu übergeprüften SSL-Verbindungen, die die Verbindungssicherheit in Frage stellen: Nicht einmal ein Viertel der mehr als 160.000 geprüften Webseiten wurde als sicher eingestuft, eine zu schwache Verschlüsselung wies ein Drittel der untersuchten Websites auf.

Netzwerkverschlüsselung bleibt kritisch

Auch andere Verschlüsselungsmethoden für Netzwerke werden in der Praxis nicht immer so eingesetzt, wie es erforderlich wäre: Ob Virtual Private Networks (VPNs), Wireless LAN (WLAN) oder Layer-2-Verschlüsselung, Unternehmen sollten prüfen, wie die Verschlüsselung umgesetzt ist, und bei Bedarf nach passenden Lösungen suchen.

1. Virtual Private Networks: An jeden Nutzertyp denken

Wenn mobile oder externe Mitarbeiter auf das Firmennetzwerk zugreifen, sollte dies nicht über das offene Internet geschehen. VPNs bieten sich für sichere Verbindungen an und bilden einen Tunnel zwischen Mitarbeiter und internem Netzwerk.

Jedoch sollte dabei die Komplexität der VPN-Verbindung nicht unterschätzt werden: Die anzubindenden Mitarbeiter nutzen zum Teil private Smartphones oder Tablets für den Netzwerkzugriff (Bring Your Own Device, BYOD), wollen neben dem Firmennetzwerk auch betriebliche Cloud-Dienste verwenden und haben Endgeräte im Einsatz, die sich auch im jeweiligen Betriebssystem unterscheiden.

Insellösungen für verschiedene VPN-Nutzer sollten möglichst vermieden werden, erhöhen sie doch den Administrationsaufwand und das Risiko für Konfigurationsfehler. Deshalb sind VPN-Lösungen gefragt, die sich als App oder über mobile Browser nutzen lassen, die flexibel mehrere Netzwerke parallel unterstützen und die für verschiedene Betriebssysteme angeboten werden.

Gerade bei mobilen Geräten und dem damit verbundenen Verlustrisiko sollte an Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung gedacht werden, damit die VPN-Verbindung nicht zur Hintertür ins Firmennetzwerk wird. Beispiele für VPN-Lösungen, die Clients für mehrere Betriebssysteme bieten, sind ViPNet OFFICE 4.0 oder die NCP Secure Entry Client Suite. Möglichkeiten zur VPN-Anbindung von Smartphones und Tablets sehen zum Beispiel HOBLink Mobile und NCP Mobile VPN vor.

Der Bedarf an erhöhtem Zugangsschutz über Zwei-Faktor-Authentifizierung lässt sich ebenfalls decken, unter anderem mit dem ECOS VPN-Client und den VPN-Lösungen von NCP. Eine schnelle VPN-Einführung unterstützen VPN-Appliances wie genua genucrypt,SecureGUARD UAG Appliances, Sirrix TrustedVPN, secunet SINA Business, Securepoint Black Dwarf VPN-Gateway und Gateprotect Extended VPN.

2. Layer 2: Glasklare Sicherheit für alle Standorte

Unternehmen mit mehreren Standorten wollen mit ihren Niederlassungen am liebsten so schnell und sicher kommunizieren, als ob alle Einheiten in der Zentrale angesiedelt wären. Dazu kommen Ethernet Services zum Einsatz, die meist auf Glasfaserverbindungen basieren, entweder als „Hub and Spoke“- oder Any-to-Any-Vernetzung.

Ohne entsprechende Verschlüsselung sind die Verbindungen zwischen den Niederlassungen und der Zentrale (Hub and Spoke) bzw. zwischen allen angeschlossenen Standorten (Any-to-Any) allerdings ungeschützt. Hier setzen Lösungen im Bereich Layer-2-Verschlüsselung an, die schnelle Datentransporte auf der Data-Link-Schicht absichern, darunter InfoGuard Layer 2 Encryption, secunet SINA L2 Box, der CE-Infosys PowerCryptor und der atmedia 100M Ethernet-Verschlüsseler.

3. WLAN: Fehler aus dem Home-Office nicht wiederholen

Funknetzwerke wie WLANs finden nicht nur im Heimbüro Verwendung, sondern auch innerhalb von Firmengebäuden. Es besteht dabei die Gefahr, dass der drahtlose Teil des Firmennetzwerkes genauso unsicher konfiguriert wird, wie dies in vielen Privathaushalten und Home-Offices der Fall ist.

Umfragen zeigen, dass deutschen Nutzern die Sicherheit von WLAN-Hot-Spots sehr wichtig ist. Gleichzeitig besteht aber Nachholbedarf bei der WLAN-Verschlüsselung am eigenen Hot Spot. Für Unternehmen konzipierte Produkte helfen dabei, die Verschlüsselung für WLAN- und VPN-Verbindungen einzurichten, und vermeiden so die häuslichen Fehler.

Beispiellösungen sind Teldat bintec W2003n-ext, LANCOM L-452agn dual Wireless und die FRITZ!Box 7490 für das Home-Office. Allerdings sollte nicht vergessen werden, dass auch WLAN-Router Sicherheitslücken haben können, die die Verschlüsselung gefährdet, wie zum Beispiel die Eingabe des Suchbegriffs „WLAN“ bei CERT-Bund zeigt.

Fazit: Keine Vernetzung ohne Verschlüsselung

Ganz gleich, ob nun mobile und externe Mitarbeiter, verteilte Standorte oder der WLAN-Drucker in der Firma vernetzt werden sollen: Ohne die passende Verschlüsselungslösung geht es nicht. Dabei sollte die jeweilige Verschlüsselung natürlich auch dem Stand der Technik entsprechen, wie das Beispiel der unsicheren SSL-Verbindungen zeigt. Bei der Prüfung der Verschlüsselung hilft auch die BSI-Richtlinie „TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“.

(ID:42379425)