Hybride Arbeitsformen sind in Unternehmen häufig nicht mehr die Ausnahme, sondern die Regel. So greifen immer mehr Menschen von zuhause oder unterwegs auf Unternehmensdaten zu. Doch diese Verbindungen sind keineswegs sicher: Ohne Verschlüsselung können die Daten leicht in falsche Hände geraten. Die Verbindung per Virtual Private Network (VPN) sorgt für eine gute Absicherung.
Eine VPN-Verbindung schafft mithilfe moderner Verschlüsselungsverfahren eine virtuelle und damit „direkte“ Kommunikation Ihres Computers mit einer entfernten, vertrauenswürdigen Stelle. Auf diese Weise sinkt die Gefahr erheblich, dass Dritte Ihre Daten ausspionieren.
Wie genau ein VPN funktioniert, welche Protokolle es gibt und wie Sie die Technik in Ihrem Unternehmen einsetzen können, erfahren Sie in diesem Artikel.
Was ist ein Virtual Private Network (VPN)?
Jedes Ihrer Geräte, das auf Daten im Internet zugreift, ist normalerweise über eine weltweit eindeutige Internet-Adresse identifizierbar, die sogenannte IP-Adresse. Diese gibt meist durch geeignete Zuordnung mithilfe von Tabellen über Ihre grobe geographische Lage sowie über Ihren Internetanbieter Auskunft. Damit sind Sie im Internet niemals komplett „anonym“, da Dritte anhand von Logdateien auch nach einem Zugriff grundsätzlich noch ermitteln können, zu welcher Zeit Sie auf welches Angebot zugegriffen haben.
Zudem übertragen Sie Ihre Daten generell unverschlüsselt, sofern Sie nicht auf Webseiten mit vorangestelltem Protokollkürzel „https://“ (Hypertext Transfer Protocol Secure) zugreifen oder andere passende Mechanismen nutzen. Die VPN-Verbindung (andere Bezeichnung: VPN-Tunnel) hingegen stellt sicher, dass der Datenverkehr verschlüsselt stattfindet und Sie so weitgehend anonym surfen.
Doch lassen Sie sich von dem Begriff nicht irritieren: Sie bauen durch ein VPN kein eigenes (Sub-)Netzwerk auf, das Sie vom Rest des Internets trennt. Das „virtuell“ in der Bezeichnung Virtual Private Network umschreibt lediglich die Veränderung Ihrer tatsächlichen IPv4-Netzwerkadresse. Sie „maskieren“ sich also gewissermaßen – Ihre wahre IP ist damit für Dritte nicht oder nur mit erheblichem Aufwand nachzuverfolgen.
Hierfür findet die Internetkommunikation Ihres Geräts über einen Umweg statt: Ein VPN-Server sorgt dafür, dass die aufgerufene Gegenstelle im Netz nicht Ihre tatsächliche, sondern die IP-Adresse des Servers „sieht“. Nur der Server weiß, wohin er die empfangenen Daten schicken muss, da einzig er Ihre wahre IP-Adresse kennt. Jemand, der Sie ausspioniert, sieht also bei Nutzung eines VPN lediglich die Server-Adresse.
Sie können einen Firmenserver entsprechend als VPN-Server konfigurieren oder auf die Angebote von VPN-Services zurückgreifen. Größere Anbieter stellen zu diesem Zweck weltweit Server zur Verfügung und garantieren entsprechende Vertraulichkeiten.
So funktioniert ein VPN
Ein Unternehmens-VPN stellt gleich mehrere Dinge auf einmal sicher: So gelingt unter anderem der Schutz vor Viren, Industriespionage, Cyber-Angriffen und unautorisierten Zugriffen deutlich besser, wenn die Verantwortung für den Schutz eines Rechners nicht bei den jeweiligen Mitarbeiter:innen liegt.
Das Prinzip hinter einem VPN-Server ist dabei so einfach wie wirkungsvoll: Innerhalb Ihrer Firma können Sie normalerweise auf bestimmte hausinterne Webseiten (das „Intranet“) und dort abgelegte Daten und Informationen zugreifen; von zu Hause aus oder einem anderen Ort auf der Welt aber nicht.
Der Grund ist, dass Ihr Heimrechner eine andere IP-Adresse aus einem anderen IP-Adressraum hat als in Ihrem Firmennetz. Er ist somit aus Sicht Ihrer Unternehmensinfrastruktur nicht Teil des Firmennetzes, sondern verbindet sich über Ihren Internetanbieter mit dem allgemeinen weltweiten Netz („Internet”). Die IP-Adresse erhält Ihr Rechner dabei automatisch. Sie wechselt gerade im privaten Umfeld häufig und ist daher im Büro nicht ohne Weiteres freischaltbar.
Hinzu kommt, dass Datenübertragungen im Internet noch immer häufig unverschlüsselt stattfinden. Aus diesem Grund identifiziert das Firmennetz Ihren Rechner bei einem Verbindungsversuch mit dem Intranet als „nicht zugehörig“. Es weist derartige Versuche als unsicher ab, sofern sie nicht explizit freigegeben sind.
Der Grund ist simpel: Daten, die aus Ihrem Unternehmen heraus unverschlüsselt über verschiedene Internetknotenpunkte auf Ihren Rechner gelangen, könnten ausspioniert werden und in falsche Hände geraten. Außerdem kann sich Ihr Intranet-Server nicht „sicher“ sein, dass tatsächlich Sie es sind, der sich dort einwählt.
Alles zum Thema VPN-Einwahl ins Unternehmen wiederum erfahren Sie an anderer Stelle bei uns.
Ein VPN-Tunnel sorgt für sicheren Datenverkehr zwischen Ihrem Rechner und Ihrem Unternehmen
Eine gängige Lösung für dieses Dilemma, beispielsweise bei der Arbeit im Homeoffice, ist der sogenannte VPN-Tunnel: Hier werden die Daten im „unsicheren“ Teil der Verbindung zwischen Ihrem Computer und Ihrem Firmennetzwerk verschlüsselt. Dritte können sie also nicht oder nur mit erheblichem Aufwand im Klartext auslesen. Man spricht hier auch von „VPN-Tunneling“: So wie Autos, die durch einen Tunnel fahren, von oben nicht erkennbar sind, können Außenstehende auch „getunnelte“ Daten nicht als solche einsehen.
Sofern und solange sich Ihr Computer also via VPN mit Ihrem Firmennetzwerk verbindet, gilt er aus Sicht Ihres Unternehmens als vertrauenswürdig. Damit besitzt er den gleichen Status, als stünde er direkt an Ihrem Arbeitsplatz in der Firma. Dieses Prinzip funktioniert grundsätzlich von jedem Ort der Welt aus, sofern VPN-Verbindungen nicht an Ihrem Aufenthaltsort gesperrt sind.
Die unterschiedlichen VPN-Arten
Man unterscheidet insgesamt drei VPN-Typen – je nachdem, auf welche Art Rechner (Hosts) oder ganze Rechnerverbünde (Sites) über Gateways zusammengeschaltet werden:
Site-to-Site-VPN (Gateway-Verbindung)
Diese VPN-Variante setzen vor allem Unternehmen zur Standortvernetzung ein. Firmen, die an mehreren Orten Niederlassungen unterhalten, möchten damit sicherstellen, dass Dritte den Datenverkehr zwischen den Standorten auf dem Weg durch das Internet nicht abhören können. Wo keine MPLS-Standleitung zwischen den Niederlassungen eingesetzt werden kann oder soll, nutzen Unternehmen einfach die normale Internetverbindung des jeweiligen Standorts, die via VPN dann verschlüsselt ist.
Dadurch entsteht ein erweitertes Intranet, bei dem einzig autorisierte Personen innerhalb der Standorte Zugang zu den Unternehmensdaten besitzen. In welcher Niederlassung sich die zugreifenden Nutzer:innen befinden, ist im Gegensatz zu einem geschlossenen Intranet innerhalb eines einzelnen Standorts nicht relevant.
Eine Erweiterung des Site-to-Site-VPN ist das sogenannte Extranet. Es ermöglicht auch Unternehmen außerhalb des Intranets den Zugang. Dies ist insbesondere dann der Fall, wenn Kund:innen und Geschäftspartner sich vorübergehend ebenfalls in das Intranet einwählen sollen. Die Art der verfügbaren Daten ist hierbei für Außenstehende meist begrenzt.
Site-to-End-VPN (Gateway-Host-Verbindung)
Sobald sich Personen von außerhalb des Unternehmens (beispielsweise im Homeoffice) in das Unternehmensnetz einwählen sollen, ist eine Site-to-End-Verbindung notwendig. Auch als „Remote-Zugriff“ bezeichnet, stellt das Site-to-End-VPN sicher, dass der Zugriff nur von diesem einen Endgerät (Host) auf das Unternehmensnetz erfolgen kann. Ein VPN-Client auf dem Rechner der Mitarbeiter:innen stellt eine vorübergehende Einwahlverbindung zum VPN-Gateway des Unternehmens her und erzeugt einen VPN-Tunnel.
End-to-End-VPN (Host-zu-Host-Verbindung)
Wollen Sie lediglich zwei Server an unterschiedlichen Standorten verbinden, ist häufig von End-to-End-VPN die Rede. Ein solches Szenario ist beispielsweise eine Remote-Desktop-Verbindung zu einem entfernten Rechner, um dort Anwendungen auszuführen.
Business-VPN vs. Privat-VPN
Im Unterschied zu gewöhnlichen VPN-Angeboten für Endkund:innen sind Business-VPNs dazu da, den Datenschutz für das gesamte Unternehmen zu sichern. Sie bilden oftmals eine zusätzliche Schutzmaßnahme gegen Spionage- und Hackerangriffe von außen.
Darüber hinaus berücksichtigen Business-VPNs grundsätzlich mehrere Benutzer:innen. Einzelne Personen können somit die Accounts verwalten und Ihre Mitarbeiter:innen in einem zentralen Konto betreuen.
Solche VPNs für professionelle Zwecke arbeiten normalerweise auf Basis einer festgelegten, nicht veränderlichen IP-Adresse (oder ganzer IP-Adressräume) für Ihr Unternehmen. Dazu kommt ein eigens reservierter Server, über den sämtliche VPN-Verbindungen laufen.
Vorteile und Nachteile eines VPNs
Durch die verschlüsselte Datenübertragung per VPN stellen Sie in erster Linie sicher, dass niemand Ihre Verbindung abhören kann. Im geschäftlichen Bereich ist dies vor allem beim Zugriff auf unternehmensinterne Daten wichtig.
Die Vorteile eines VPNs im Überblick:
- Firmennetzwerke: Greifen Sie auf Netzwerkdaten in Ihrem Unternehmen zu, als wären Sie persönlich vor Ort.
- Freie WLANs: Sichern Sie Ihren Datenverkehr ab, auch wenn Sie sich unterwegs mit unverschlüsselten WLANs verbinden.
- Anonymität: Sorgen Sie dafür, dass Sie auf Webseiten nicht länger durch Cookies und IP-Adresse nachverfolgt und identifiziert werden können.
- Zensur umgehen: Sofern der Zugriff auf bestimmte Dienste an Ihrem aktuellen Aufenthaltsort blockiert ist, können Sie diese via VPN eventuell dennoch nutzen.
Obwohl die Vorteile die Nachteile vor allem im geschäftlichen Einsatz deutlich überwiegen, kann es mitunter auch zu Schwierigkeiten bei der Nutzung eines VPNs kommen:
- Niedrigere Geschwindigkeit: Die Geschwindigkeit der Datenübertragung kann bei VPN-Verbindungen manchmal sinken. Dies ist allerdings nur manchmal der Fall und vor allem vom Serverstandort des VPN-Anbieters abhängig.
- Zugang durch potenziell unsichere Rechner: Obwohl ein VPN die Punkt-zu-Punkt-Verbindung absichert, ist damit nicht ausgeschlossen, dass beispielsweise infizierte oder gehackte Rechner von Mitarbeiter:innen Zugang zum Unternehmensnetzwerk erhalten.
- Gesperrte Webseiten: Manche Webseiten akzeptieren keine IP-Adressen, die von einer VPN-Software stammen. Achten Sie besonders bei finanziellen Transaktionen via Online-Banking oder Bezahldiensten darauf, ob Sie dabei VPN nutzen können.
- Unseriöse Anbieter: Achten Sie bei der Wahl Ihres VPN-Dienstes auf einen seriösen Anbieter. Vor allem kleinere kostenlose Anbieter stehen in dem Ruf, Ihre Daten nicht vertrauenswürdig zu behandeln. Sie verkaufen diese weiter oder nutzen sie für dubiose Zwecke – mitunter landet bei der Installation der VPN-App sogar Malware auf Ihrem Rechner.
VPN bieten zwar allgemein eine erhöhte Sicherheit beim Zugriff auf Unternehmensdaten, aber keinen allumfassenden Schutz. Ihr Einsatz sollte am besten im Rahmen eines unternehmensweiten Sicherheitskonzepts erfolgen. Dabei sollten beispielsweise Security-Maßnahmen wie Unified Endpoint Management (UEM) und gegebenenfalls auch eine Zero-Trust-Sicherheitsarchitektur Ihres Netzwerks für größtmöglichen Schutz vor unbefugten Zugriffen sorgen.
Wie sicher ist eine VPN-Verbindung für Unternehmen?
Ein VPN ist per Definition verschlüsselt und stellt nach außen hin eine in sich geschlossene Umgebung dar. Nur die sendende und die empfangende Stelle „wissen“ jeweils, wie die übertragenen Daten zu lesen sind.
Das funktioniert in der Praxis ähnlich wie bei einem Geheimcode: Zwei Teilnehmer:innen A und B vereinbaren einen Übersetzungscode. Je länger (und somit komplizierter) dieser ist, umso aufwendiger ist die Entschlüsselung – und umso sicherer ist die Übertragung.
Verschlüsselungen mit beispielsweise acht Bit „Stärke“ können theoretisch durch simples „Ausprobieren“ sämtlicher Möglichkeiten „geknackt“ werden. Denn dort gibt es nur 256 mögliche Zahlenkombinationen aus Nullen und Einsen. Der Arbeitsaufwand steigt mit der Anzahl verwendeter Schlüssel-Bits exponentiell an, also dessen „Stärke“ oder „Länge“.
Moderne Verschlüsselungs-Algorithmen arbeiten mit mindestens 128, meist sogar mit 256 Bit. Im letztgenannten Fall müssten Angreifer:innen also bis zu 2^256 mögliche Schlüssel ausprobieren, um an Ihre Daten zu gelangen. In der Praxis dauert dies selbst mit modernen Computern bis zu mehrere Millionen Jahre.
Zu Beginn der Übertragung vereinbaren die Parteien also einen entsprechend langen digitalen Schlüssel aus Nullen und Einsen. Das VPN kombiniert diesen nun mit den tatsächlichen Daten, wodurch die Daten ohne den Schlüssel keinen Sinn mehr ergeben. Die Gegenseite wendet nach der Übertragung dasselbe Verfahren andersherum an – und die Daten sind wieder sichtbar.
Dieses Prinzip findet abseits von VPN-Einwahlen heute schon bei fast allen Webseiten Anwendung: Statt der unverschlüsselten Übertragung via http:// (Hypertext Transfer Protocol, der Übertragungsstandard für Internet-Webseiten) steht den meisten URLs heutzutage https:// voran. Das weist auf eine sichere Verbindung hin. Das verhindert, dass Dritte beispielsweise Kreditkartendaten ausspionieren können, die Sie auf einer solchen Webseite eingeben.
Was Sie für die Einrichtung eines sicheren VPN-Servers in Ihrem Unternehmen wissen sollten, erfahren Sie von uns in einem anderen Beitrag.
MPLS-basierte VPN-Netzwerke: Zusätzliche Sicherheit auf Paketebene
„Normale“ IPsec- und SSL-VPNs nutzen zum Datentransport das öffentliche Internet, während MPLS-VPNs (Multiprotocol Label Switching) ein in sich geschlossenes MPLS-Netz voraussetzen. Dieses ist jedoch meist nur in größeren Unternehmen vorhanden.
Bei MPLS unterscheidet der Anbieter seinerseits verschiedene „logische“ Daten-Verkehrsarten. Die VPN-Datenpakete laufen dann zwar über manche Netzabschnitte gemeinsam mit denen anderer Internetanwendungen wie Webzugriffe oder IP-Telefonie. Auf anderen Abschnitten laufen sie dagegen separat und immer durch unterschiedliche Kennzeichnungen (Labels) bei der Verarbeitung getrennt.
MPLS ermöglicht also eine zusätzliche Abtrennung des VPN-Datenverkehrs von der normalen Internetkommunikation. Überdies sind die verwendeten Verschlüsselungsverfahren so robust, dass sie bislang als unknackbar gelten.
Die wichtigsten VPN-Protokolle
VPN-Protokolle arbeiten mit kryptographischen Schlüsseln, die einen Datenblock gewissermaßen sperren. Das Protokoll sorgt einfach gesagt dafür, dass ein Datenblock beim Senden nicht mehr lesbar ist. Auf diese Weise legt der Block den Weg bis zum Empfänger zurück und wird erst dort durch den passenden Schlüssel wieder lesbar gemacht.
Je länger die Schlüssellänge, desto länger dauert es, Daten ohne den passenden Schlüssel lesbar zu machen. Zunächst waren dabei 128 Bit üblich, moderne VPN-Protokolle verwenden üblicherweise eine 256-Bit-Verschlüsselung. Das bedeutet, dass 256 Datenblöcken (Bits) von Klartext ebenso viele Blöcke von Geheimtexten gegenüberstehen.
- OpenVPN: Moderner und weitverbreiteter Open-Source-Protokollstandard, den viele Anbieter verwenden. Das Protokoll unterstützt nahezu alle Betriebssysteme und gilt als äußerst stabil. Mit OpenVPN können Sie auch große VPN mit mehreren tausend Clients einrichten.
- SSTP: Das „Secure Socket Tunneling Protocol” (SSTP) ist ein zwar stabiles, aber veraltetes Protokoll von Microsoft, das nur für Windows geeignet ist. Aufgrund der Inkompatibilität mit anderen Betriebssystemen und der geschlossenen Architektur für Entwickler eignet es sich nicht für den breiten Einsatz auf vielen Plattformen.
- PPTP: Das „Point-to-Point Tunneling Protocol” (PPTP) kann Rechner direkt miteinander verbinden. Es gilt aber bereits seit 2012 als unsicher. Für VPN eignet es sich daher nicht; und auch als Einzelverbindung zwischen zwei Rechnern ist es nicht zu empfehlen.
- IKEv2/IPSec: Die Verschlüsselung „Internet Key Exchange Protocol Version 2” (IKE2/IPSec) gilt als überaus stabil und ist sogar schneller als OpenVPN. Wie der Name bereits andeutet, bietet sie Sicherheit auf der Ebene von IP-Adressen. Damit arbeitet sie unabhängig von der Art der Anwendung, die Sie nutzen.
- L2TP/IPSec: Primär ist L2TP ein Tunneling-Protokoll auf IP-Basis ohne Verschlüsselung, das manche Anbieter aber mit entsprechenden Funktionen erweitern. Da dies nicht alle Anbieter garantieren, sollten Sie die Kompatibilität vor der Verwendung genau überprüfen.
- WireGuard: Moderner Open-Source-Protokollstandard mit guter Geschwindigkeit und Verschlüsselung. Manche VPN-Anbieter integrieren WireGuard allerdings unter anderen Bezeichnungen in ihr Portfolio.
Ist die VPN-Verwendung legal?
Die Verwendung eines Virtual Private Network ist in Deutschland prinzipiell legal. Wenn Sie von Ihrem Rechner eine sichere Verbindung zum Internet oder zu Ihrem Unternehmensnetzwerk herstellen, verschleiern Sie Ihren wahren Standort und verschlüsseln Ihren Datenstrom. Dritte haben es damit sehr schwer, darauf zuzugreifen. Andere Länder untersagen die Benutzung eines VPNs jedoch, wie zum Beispiel China.
Greifen Sie hingegen beispielsweise auf ausländische Webseiten und Angebote zu, die nicht für Ihren tatsächlichen Standort bestimmt sind (sogenanntes Geoblocking), bewegen Sie sich zumindest im Graubereich. Hier kommt es auf die Nutzungsbedingungen der Anbieter an – oft ist der Zugriff aus anderen Ländern untersagt, etwa bei Streamingportalen.
Verboten bleibt es hingegen, wen Sie ein VPN zur Vertuschung von kriminellen Aktivitäten einsetzen: Darunter fällt etwa die Verschleierung der Identität bei illegalen Downloads, dem Handel mit verbotenen Waren und Produkten sowie allen weiteren Formen der Cyberkriminalität.
Virtual Private Network: das Wichtigste in Kürze
- Ein VPN stellt eine relativ sichere Verbindung zwischen Ihrem Rechner und dem Internet her. Es verschleiert Ihren Einwahlpunkt und sorgt für eine verschlüsselte Verbindung zwischen Ihrem Gerät und dem Server, auf den Sie zugreifen.
- In Unternehmen stellen VPN mehrere Dinge sicher: Den Schutz vor Viren, Industriespionage, Cyber-Angriffen und allgemeinen unautorisierten Zugriffen auf Daten.
- Es gibt drei unterschiedliche VPN-Typen: Site-to-Site-Verbindungen, Site-to-End-Verbindungen und End-to-End-Verbindungen.
- Mit einem VPN können Sie sicher auf Ihr Firmennetzwerk zugreifen, ein öffentliches WLAN ohne Angst vor Spionage nutzen und bei Bedarf regionale Internetsperren umgehen.
- Ein Nachteil kann unter Umständen eine niedrigere Verbindungsgeschwindigkeit sein.
- Moderne Protokollstandards arbeiten mit einer 256-Bit-Verschlüsselung und sind in der Benutzung in Deutschland legal. Manchen andere Länder verbieten die Benutzung eines VPNs aber unter Umständen.
Quelle:
https://www.vodafone.de/business/featured/technologie/vpn-was-ist-das-was-sind-die-vorteile-und-wie-funktioniert-es/