Bundesamt für Sicherheit in der Informationstechnik

G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz

Die durch Virtuelle Private Netze (VPNs) verbundenen Rechner und Netze können nicht grundsätzlich als vertrauenswürdig eingestuft werden. Dies trifft insbesondere dann zu, wenn die angebundenen Rechner und Netze Fremdnetze sind und nicht selbst administriert werden. Unter diese Kategorie fallen beispielsweise Extranet-VPNs. Hierbei wird das eigene Netz mit Netzen anderer Firmen, unter Berücksichtigung funktionaler Einschränkungen und Sicherheitsanforderungen, verbunden. Für Unternehmen und Behörden kann ein großer Schaden entstehen, wenn sich Sicherheitslücken in einem externen Netz über VPN auf das eigene Netz auswirken.

Extranet-VPNs werden häufig in der Automobilindustrie bzw. in Branchen, die eine intensive Zusammenarbeit zwischen Hersteller und Zulieferer erfordern, angewendet.

Aufgrund fehlender oder unzureichender Regelungen zum VPN-Einsatz können unter anderem folgende Sicherheitsprobleme entstehen:

  • Ein VPN sollte nicht "organisch wachsen". Vielmehr sollte vor dem Aufbau eines VPN-Zuganges eine Planung erfolgen. Die Erfahrung zeigt, dass insbesondere beim stetigen Ausbau von VPN-Zugängen komplexe Hard- und Software-Szenarien entstehen können, die schwer zu administrieren sind. Als Folge kann das dazu führen, dass Sicherheitseinstellungen falsch gewählt werden, inkompatibel zueinander sind oder sich gegenseitig aufheben.
  • Ohne durchgängiges und verbindliches Sicherheitskonzept bleibt es in der Regel einzelnen Administratoren und VPN-Benutzern überlassen, die Sicherheitseinstellungen nach Gutdünken vorzunehmen. Dies kann zu ungeeigneten Sicherheitseinstellungen führen, die beispielsweise die Verbindungsaufnahme verhindern oder den Aufbau ungesicherter Verbindungen ermöglichen. Da mittels VPN angebundene IT -Systeme in vielen Fällen die gleichen Zugriffsmöglichkeiten wie direkt im LAN befindliche IT-Systeme haben, wird dadurch unter Umständen die Sicherheit des LANs beeinträchtigt.
  • Die Sicherheit eines VPNs basiert auf dem Zusammenspiel der physikalischen Komponenten (Rechner, Netzkoppelelemente), deren Verbindungsstruktur (Netzaufteilung, Verbindungstopologie) und den Konfigurationen der jeweiligen Software-Komponenten. Die im Rahmen des VPN-Sicherheitskonzeptes festgelegten Regelungen und deren Umsetzung durch entsprechende Konfigurationseinstellungen können die gewünschte Sicherheit jedoch nur dann erbringen, wenn das tatsächlich installierte System mit dem geplanten System übereinstimmt. Oft ergeben sich jedoch, z. B. aufgrund von fehlenden Detailinformationen während der Planungsphase, nachträgliche Änderungen im physikalischen Aufbau. Werden die Änderungen nicht erfasst, dokumentiert und auf Auswirkungen auf die Informationssicherheit analysiert, so kann die Sicherheit der damit verbundenen Rechner und Netze gefährdet sein.
  • VPN-Benutzer sind während der Nutzung in der Regel auf sich alleine gestellt. Existieren für den VPN-Einsatz keine dedizierten Regeln oder sind diese den Benutzern nicht bekannt, so können durch die Benutzer unbewusst Sicherheitslücken geschaffen werden.
  • Werden datenschutzrechtlicher Belange bei der Übertragung personenbezogener Daten zwischen den Komponenten des VPNs nicht ausreichend beachtet, kann es zu Gesetzesverstößen kommen. Auch bei anderen Daten können durch gesetzliche Vorgaben bestimmte Sicherheitsmaßnahmen vorgeschrieben sein.

Beispiele:

  • Aufgrund fehlender Regelungen zum VPN-Einsatz erhielt ein Zulieferer weit reichende Zugriffsberechtigungen auf das Netz und dadurch auch Zugriff auf vertrauliche Dokumente eines Herstellers. Diese gelangten an die Öffentlichkeit, und es entstanden für den Hersteller erhebliche finanzielle Schäden.
  • Ein Halbleiterhersteller ist mittels eines Extranet-VPNs an seine Zulieferer angebunden. Durch mangelhafte Virenschutzmaßnahmen seitens eines Zulieferers gelangte Schadsoftware über das VPN in das lokale Firmennetz des Halbleiterherstellers und verursachte massive Störungen.
  • Der Administrator des VPNs einer Behörde ließ nur mit Triple-DES-Verfahren verschlüsselte Verbindungen zu, ein Benutzer hatte jedoch für den VPN-Client keine Verschlüsselung konfiguriert. Aufgrund von inkompatiblen Sicherheitseinstellungen konnte daher keine Verbindung aufgebaut werden.
  • Bei der Einrichtung des VPNs in einem Unternehmen wurde aufgrund ungünstiger Leitungsführung eine zusätzliche kleine ISDN-Anlage installiert. Da dieses zusätzliche Gerät in der Planung nicht erfasst wurde, wurde versäumt, es im VPN-Sicherheitskonzept zu berücksichtigen. Als Folge bestand über lange Zeit bei aufgebauter VPN-Verbindung nun beispielsweise die Möglichkeit, über den mit einem Standardpasswort gesicherten Fernwartungszugang auf das Gerät zuzugreifen.

Stand: 10. EL Stand 2008