Remote Access VPN – ein Einfallstor für Hacker
Remote Access VPNs gibt es schon seit 30 Jahren auf dem Markt. In den 1990ern war die Welt der VPNs noch relativ einfach und nicht gerade um die Security besorgt. In den nächsten 20 Jahren haben sich VPNs weiterentwickelt, sind heute aber nicht ausreichend, um den Schutz gegen moderne Attacken zu bieten.
Inhaltsverzeichnis
Was ist VPN?
Schwachstellen von VPNs
Endbenutzer-Schwachstellen von VPNs
Gateway-Schwachstellen von VPNs
Zero Trust Network Access
Was ist VPN?
Mit der Technologie Remote Access VPN, auch als Business- oder Geschäfts-VPN bekannt, sind Mitarbeiter in der Lage, ihre Geräte über das öffentliche Internet mit dem Unternehmensnetzwerk zu verbinden und auf Unternehmensdaten aus dem Homeoffice bzw. unterwegs zuzugreifen. Die Mitarbeiter erhalten Zugang zum Unternehmensnetzwerk bzw. zu einer Unternehmens-Applikation dank einer statischen Tunnel-Technologie, die aber gleichzeitig Cyber-Kriminellen Möglichkeiten bietet, die Firewalls zu umgehen bzw. den Zugang zum Unternehmensnetzwerk zu erhalten.
Schwachstellen von VPNs
Vor Schwachstellen in VPNs warnen die Forscher von der University of New Mexico. Dabei seien gemäss ihrer Aussage fast alle gängigen Systeme (u.a. FreeBSD, OpenBSD, macOS, iOS und Android) betroffen. Auch das Nationale Zentrum für Cybersicherheit NCSC (früher MELANI) warnt, dass Benutzer von mehreren VPN P2P-Netzwerken durchaus riskieren, dass Straftaten über ihren Internetanschluss bzw. ihre IP-Adresse verübt werden können. Bei unseriösen Anbietern bestehe dabei die Gefahr, dass Dritte kritische Unternehmensdaten einsehen und mitlesen können.
Schwachstellen von VPNs sind verschiedener Natur und bestehen sowohl auf der Endbenutzer- als auch Gateway-Seite.
Endbenutzer-Schwachstellen von VPNs
Obwohl die über den VPN-Tunnel übertragenen Daten verschlüsselt werden, kann das zu grosse Vertrauen zwischen einem Mitarbeiter und dem Unternehmensnetzwerk durch Malware leicht ausgenutzt werden. Auf diesem Weg kann z.B. ein Schädling ins Unternehmensnetzwerk gelangen und dieses infizieren. Die Begrenzung des Zugriffs über VPN garantiert dabei keine Sicherheit. Security-Richtlinien können Bedrohungen minimieren, werden sie aber nicht beseitigen. Und wenn der Mitarbeiter persönliche Geräte verwendet, kann sich das Infiltrationsrisiko sehr schnell erhöhen, weil persönliche Geräte oft nicht über die auf den Firmengeräten geltenden Security-Richtlinien verfügen. Mit genau diesem Problem wurde die Raumfahrtagentur NASA konfrontiert, die nach mehreren Angriffsversuchen ihren Mitarbeitern, die via VPN arbeiten, empfahl, vom Öffnen von persönlichen E-Mails und Social Media auf NASA-Geräten abzusehen.
Gateway-Schwachstellen von VPNs
Im Unternehmensnetzwerk, die VPN-Gateways hosten, gibt es auch Schwachstellen. Wie alle Technologien müssen auch VPN-Gateways ständig gepatcht werden, um die Security gewährleisten zu können. Das Problem besteht darin, dass sich viele Unternehmen auf einen aktuellen Stand ihres VPNs zu sehr verlassen und es nicht rechtzeitig mit einem Sicherheits-Update patchen. So wurde gemäss Süddeutsche Zeitung Ende 2019 eine kritische Sicherheitslücke in der Fernzugriffssoftware Citrix entdeckt, die es Angreifern erlaubte, unbemerkt in Systeme einzudringen. Betroffen waren Tausende von Firmen, die Software-Patches nicht rechtzeitig installiert haben. Das Ausmass des Datenverlustes kann immens sein.
Die US-amerikanische NSA warnte vor kurzem, dass VPNs für Angriffe anfällig sein könnten, wenn sie nicht ordnungsgemäss gesichert sind. Gemäss NSA seien VPN-Gateways besonders anfällig für Netzwerk-Scans, Brute-Force-Angriffe und Zero-Day-Schwachstellen. Netzwerkadministratoren sollten deshalb strikte Regeln zur Filterung des Datenverkehrs implementieren, um die Ports, Protokolle und IP-Adressen des Netzwerkverkehrs auf VPN-Geräte zu begrenzen.
Nicht selten deaktivieren Unternehmen die vordefinierten Sperren, um die VPN-Konnektivität zu gewährleisten und den IT-Aufwand zu reduzieren. Für solche Unternehmen stellt ein VPN-Brute-Force-Angriff eine ernstzunehmende Gefahr dar. Die Angreifer versuchen in diesem Fall das VPN-Portal des Unternehmens mit vielen Authentifizierungsversuchen zu knacken. Sollte es mit einer fatalen Login-Passwort-Kombinationen gelingen, bekommt der Kriminelle Zugang zum Netzwerk.
Unternehmen, die wegen der COVID-19-Pandemie Remote-Arbeitsplätze für ihre Mitarbeiter durch VPNs quasi über Nacht organisieren mussten und diese immer noch verwenden, sind VPN-Gefahren ausgesetzt wie nie zuvor.
Zero Trust Network Access
Im Gegensatz zum VPN erlaubt eine Zero-Trust-Network-Access-Technologie den Zugriff auf eine Unternehmens-Applikation, ohne dass Sie Zugriff auf das gesamte Unternehmensnetzwerk gewähren müssen.
Die ganze Unternehmensinfrastruktur ist so nicht mehr dem Internet ausgesetzt, für das Internet nicht sichtbar und damit nicht angreifbar. Darüber hinaus erfolgt die Konnektivität kontextabhängig (Benutzer, Gerät, Netzwerk, Bedrohung, Zeit, Ort und Betriebssystem) und gemäss Security-Richtlinien.
Gartner prognostiziert, dass 60 % aller Unternehmen aus Sicherheitsgründen ihre Remote Access VPNs durch Zero Trust Network Access (ZTNA) ersetzen werden.
Daniel ist Security Consultant bei Inseya mit einem ausgeprägten Interesse an Cybersecurity Themen, wie das Zero Trust Framework, Hybrid Infrastrukturen aus Multicloud/On-Premises, Passwordless MFA Lösungen und Mobile Threat Defense (MTD). Er hat ein CAS in Cybersecurity & Riskmanagement, ist Informationssicherheitsbeauftragter BSI und CISSP zertifiziert.