Nutzen Sie Virtual Private Networks, so eine zentrale Sicherheitsempfehlung für Remote Work. Doch VPN alleine sorgt für keine sicheren Zugriffe. Nur wenn der Zugang zum VPN sicher ist, kann dieser Kanal Schutz bieten. Auch bei aktiviertem MFA (Mehr-Faktor-Authentifizierung) bleibt die Passwortsicherheit ein wichtiges Thema. Eine aktuelle Untersuchung von Specops Software zeigt den Handlungsbedarf.
Starke und sichere Passwörter sind die Basis für den Schutz Ihrer VPN-Zugänge. Werden kompromittierte Passwörter für die Anmeldung im VPN genutzt, können Internetkriminelle den scheinbar sicheren Tunnel als Hintertür in Ihre Systeme verwenden.
(Bild: Specops Software)
Sicherheitsempfehlung „VPN“ greift zu kurz
Mobile Arbeit und Homeoffice sind in vielen Unternehmen zum Standard geworden. Unternehmen werden auch in Zukunft auf hybride Arbeitsmodelle setzen, um als attraktiver Arbeitgeber wahrgenommen zu werden, so der Digitalverband Bitkom. Gegenwärtig bietet die Hälfte der Unternehmen mobile Arbeit an, wie eine Bitkom-Umfrage ergab.
Doch bei Remote Work darf die Datensicherheit nicht leiden. Eine häufige Sicherheitsempfehlung ist die Nutzung einer VPN-Verbindung, dann wird aller Datenverkehr darüber verschlüsselt, so dass kein Dritter Einblick nehmen kann, so jedenfalls die gängige Vorstellung. Die Wirklichkeit der IT-Sicherheit sieht leider anders aus.
Auch VPN und MFA bieten keinen automatischen Schutz
Der Einsatz von Virtual Private Networks (VPNs) soll einen sicheren Tunnel durch das ansonsten unsichere Internet ermöglichen. Über diesen Tunnel erhalten die Mitarbeiterinnen und Mitarbeiter im Homeoffice oder unterwegs dann geschützten Zugang auf das Firmennetzwerk, die Anwendungen und Daten.
Diese Vorstellung übersieht allerdings, dass VPN nur dann sichere Zugriffe ermöglichen kann, wenn der Zugang zu dem VPN selbst auch sicher ist. Wenn die VPN-Passwörter zu schwach oder bereits kompromittiert sind, kann ein Angreifer den VPN-Zugang übernehmen und für weitere Attacken missbrauchen.
Dieses Risiko ist nicht theoretischer Natur, entsprechende Attacken finden bereits statt: Über das Administratorkonto eines ehemaligen Mitarbeiters wurde zum Beispiel das Netzwerk einer Behörde eines US-Bundesstaats kompromittiert. Dabei hatten sich die Angreifer mit den Anmeldedaten eines ehemaligen Mitarbeiters erfolgreich bei einem VPN (Virtual Private Network)-Zugangspunkt authentifiziert. Von dort aus konnten sie auf eine virtuelle Maschine zugreifen und sich unter den legitimen Datenverkehr mischen, um unerkannt zu bleiben, bis sie schließlich Zugriff auf ein zweites Administratorkonto und vertrauliche Daten erlangten.
So wird dann der vermeintlich sichere Tunnel zu einer heimlichen Hintertür ins Firmennetzwerk – und das, ohne dass der VPN-Anbieter kompromittiert wurde. Das gilt auch dann, wenn der VPN-Zugang mittels MFA (Mehr-Faktor-Authentifizierung) geschützt scheint, aber die schwachen oder bei Datendieben bekannten Passwörter als einer der „Sicherheitsfaktoren“ keinen wirklichen Schutz bieten können. MFA bietet leider zahlreiche Angriffspunkte, mit denen Internetkriminelle die Sicherheitsmechanismen wie den zweiten Sicherheitsfaktor umgehen und austricksen können.
Bei einem MFA-Bombing-Angriff zum Beispiel senden Cyberkriminelle eine Flut von MFA-Aufforderungen an das mobile Gerät des Opfers, um die Zielperson zu frustrieren, zu ärgern, um sie letztendlich zur Authentifizierung des Anmeldeversuchs zu bewegen. Wenn jemand Hunderte von Nachrichten hintereinander erhält, bestätigt er diese möglicherweise nur, um die Flut an lästigen Benachrichtigungen zu stoppen, und schon wird MFA umgangen und der Zugriff auf die Firmendaten via VPN ist freigegeben.
VPN-Passwörter stehen im Cybercrime hoch im Kurs
Wie kritisch kompromittierte Passwörter für VPN-Zugänge sein können, zeigt eine aktuelle Untersuchung des Specops-Forschungsteams. Das Forschungsteam hat im vergangenen Jahr über zwei Millionen VPN-Passwörter gefunden, die durch Malware kompromittiert wurden. Hierbei handelt es sich um echte gestohlene Passwörter, die von Endbenutzern für den Zugriff auf VPNs ausgewählt werden, sie stellen also eine mögliche Gelegenheit für einen Hacker dar, sich unbefugten Zugriff zu und über VPN zu verschaffen.
Darren James, Senior Product Manager bei Specops Software, sagte zu den Ergebnissen: „Organisationen verlangen von ihren Endbenutzern vor allem aus Sicherheits- und Datenschutzgründen, dass sie über VPNs auf Unternehmensnetzwerke zugreifen. VPNs verschlüsseln Daten, die zwischen dem Gerät des Benutzers und dem Unternehmensnetzwerk übertragen werden, und tragen so dazu bei, sensible Informationen vor dem Abfangen durch Unbefugte zu schützen, insbesondere wenn Mitarbeiter ungesicherte oder öffentliche WLAN-Netzwerke nutzen“.
Doch der IT-Sicherheitsexperte warnt: „Wenn aber VPN-Passwörter kompromittiert werden, können diese Cybersicherheitsvorteile zunichte gemacht werden und Angreifern tatsächlich einen Weg in ein Unternehmen bieten. Endbenutzer verwenden häufig ihre Active Directory-Anmeldeinformationen, um sich bei Unternehmens-VPNs anzumelden, und sie verwenden möglicherweise auch ihre Active Directory-Kennwörter wieder, um auf persönliche VPNs zuzugreifen.“
Ohne Passwortsicherheit geht es nicht
Gestohlene Passwörter sind also auch deshalb ein besonderes Risiko für die Sicherheit von VPN-Lösungen, weil viele Beschäftigte dazu neigen, ihre Kennwörter wiederzuverwenden. Die vielen, verschiedenen Passwörter, die man eigentlich benötigt, machen die Mitarbeitenden müde, man spricht sogar von Passwortmüdigkeit.Dies führt zu einem fahrlässigen Umgang mit Passwörtern und dazu, das auch die besten Awareness-Schulungen missachtet werden. Das gewählte VPN-Passwort ist deshalb dann zum Beispiel das gleiche Kennwort, das auch für eines oder sogar alle der sozialen Netzwerke genutzt wird.
Wurden aber die Passwörter der Nutzerinnen und Nutzer des sozialen Netzwerkes ausgespäht, ist indirekt auch das VPN-Passwort des betreffenden Beschäftigten in den Fängen der Datendiebe. Der VPN-Zugang des oder der Beschäftigten kann dann leicht und ohne Probleme übernommen werden.
Damit der VPN-Zugang und damit Remote Work und die externen Zugriffe besser geschützt werden können, müssen Unternehmen ihre Passwortsicherheit optimieren.
Mit Specops Password Policy lassen sich die Empfehlungen der Sicherheitsbehörden wie BSI, NIST, CJIS, NCSC, ANSSI oder CNIL an Passwortsicherheit einfach und schnell umsetzen. Unternehmen können damit starke Passwörter durchsetzen: Administratoren können Nutzerinnen und Nutzer an der Erstellung schwacher Passwörter hindern und kontinuierlich nach Passwörtern suchen, die durch Leaks, Infostealer oder der Wiederverwendung von Passwörtern kompromittiert wurden, und deshalb nicht als VPN-Passwort oder Sicherheitsfaktor bei MFA zum Einsatz kommen sollten.
Die Continuous Scan-Funktion prüft alle Active Directory-Passwörter einmal täglich mit Breached Password Protection auf Kompromittierung. Die Liste der kompromittierten Passwörter enthält heute schon mehr als vier Milliarden bekannte kompromittierte Kennwörter und wird täglich mit neu entdeckten gestohlenen Passwörtern aktualisiert.
Dadurch werden schwache und ausgespähte Passwörter bei VPN-Zugängen und an anderen kritischen Stellen erkannt und blockiert. VPN kann so zum sicheren Tunnel werden, anstatt eine gefährliche Hintertür ins Firmennetzwerk zu sein, die Internetkriminelle für Attacken nutzen könnten.
Weitere Informationen:
Schützen Sie die VPN-Zugänge, damit VPN für mehr Schutz bei Remote Work sorgen kann!
Scannen Sie Ihre Active-Directory Benutzerpasswörter mit dem kostenlosen Specops Password Auditor, um gestohlenen Zugangsdaten auf die Schliche zu kommen und stärken Sie die Sicherheit Ihrer VPN-Verbindungen!
Specops Password Auditor verschafft den Überblick, um mit der Beseitigung von Sicherheitsrisiken zu beginnen. Die vollständige Erfassung des Status-Quo gibt Ansatzpunkte für Optimierungen und Anpassungen.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/fd/f2fd0fdbd69c98d3744922b4a52c9dea/0129347431v2.jpeg "Microsoft Azure bietet mit den drei anfälligen Lösungen die Möglichkeit, serverlose Anwendungen zu erstellen, den Anwendungs-Traffic zu verwalten und hybride sowie Multicloud-Umgebungen zu steuern. Bei erfolgreicher Ausnutzung sind damit zahlreiche sensible Informationen für Angreifer potenziell zugänglich. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/47/fa47fb2e4f13ed17dc4739fa4c6cd1af/0122470970v1.jpeg "Beim Microsoft Patchday im Februar 2026 schloss der Hersteller 59 Sicherheitslücken. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bf/6c/bf6c428436f2fc995a056636685ff2bb/0129361657v1.jpeg "Kaspersky behält sich vor, rechtliche Schritte gegen das BSI einzuleiten, das seit 2022 eine Warnung gegen die Software des Herstellers aufrechterhält. Während die rechtlichen Grundlagen und die Notwendigkeit dieser Warnung in Frage gestellt wurden, komplizieren geopolitische Spannungen die Situation weiter. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d0/77d08997d439a45c27349d1c2cd6ae7d/0129345103v2.jpeg "Ohne Kontext erzeugen KI-Security-Tools mehr Alarmmüdigkeit als Schutz . Drei Kriterien helfen, ineffiziente Tool-Stacks zu vermeiden und messbaren Wert zu schaffen. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/a7/fda7d067c2285c6117392fe77ca95327/0129322250v2.jpeg "Die französische nationale Funkfrequenzbehörde nahm die Spione wegen de rillegalen Nutzung und Störung von Frequenzen und dem illegalen Besitz von technischen Geräten zum Empfang von Computerdaten fest. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/2f/792f05a0cbfece3d876f16da0cb441b8/0129257892v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/13/8a/138a6d1d1e572c351da4a34c512813c2/0122987893v1.jpeg "Strenge Sicherheitsrichtlinien sind für den Schutz von AD-Umgebungen vor Risiken entscheidend. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/50/ab/50ab35f92f9e7418b5251ff8e2e2fdce/0126595473v1.jpeg "Mit Specops uReset können Cloud-Nutzer Passwörter eigenständig zurücksetzen und damit die Sicherheit und Benutzerfreundlichkeit erhöhen. Diese Lösung unterstützt sowohl lokale als auch hybride und native Entra ID-Umgebungen. (Bild: © igor.nazlo - stock.adobe.com)")