Bundesamt für Sicherheit in der Informationstechnik

G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes

Wird ein Virtuelles Privates Netz (VPN) nicht sorgfältig geplant und aufgebaut, können einzelne Sicherheitslücken des VPNs die Sicherheit aller hiermit vernetzten IT -Systeme beeinträchtigen. Dies kann sogar dazu führen, dass über eine unzureichend gesicherte VPN-Verbindung ein damit gekoppeltes Behörden- oder Unternehmensnetz kompromittiert wird.

Bei fehlender oder unzureichender Planung können sich eine Vielzahl von Problemen ergeben:

  • Aufgrund der Auswahl eines ungeeigneten Verschlüsselungsalgorithmus der VPN-Verbindung können Angreifer oder Konkurrenten unter Umständen geschäftskritische Informationen einer Institution erlangen.
  • Die Anwendung starker kryptographischer Verfahren muss in bestimmten Ländern genehmigt werden. Dies kann bei Nichtbeachtung zu rechtlichen Konsequenzen führen.
  • Bei Internet-basierten VPNs gibt es keine garantierten Laufzeiten. Bei zeitkritischen Anwendungen (zum Beispiel Echtzeit-Maschinensteuerungen) kann dies zu Problemen führen.
  • Wenn in der Planung die benötigte Bandbreite nicht richtig eingeschätzt wurde, kann beispielsweise die Übertragungskapazität des VPNs unzureichend sein. Dadurch kann die Nutzung von Anwendungen, die den VPN-Kanal benötigen, eingeschränkt oder sogar verhindert werden.
  • Ausbaustufen können unter Umständen nicht umgesetzt werden, wenn bei der Planung und Konzeption des VPNs auf mögliche Erweiterungen keine Rücksicht genommen wurde.
  • Es können Komplikationen beim Integrieren der VPN-Endpunkte in bereits vorhandene Sicherheitsgateways entstehen. Diese sind oft darauf zurückzuführen, dass komplexe Einstellungen am Sicherheitsgateway vorgenommen werden müssen.

Stand: 10. EL Stand 2008