Bundesamt für Sicherheit in der Informationstechnik

G 3.41 Fehlverhalten bei der Nutzung von VPN-Diensten

Durch Unkenntnis oder (meist unbewusstes) Fehlverhalten kann es bei der VPN -Nutzung bzw. im Umfeld der VPN-Nutzung zu Sicherheitsproblemen kommen, beispielsweise zu Verstößen gegen die Sicherheitsrichtlinien oder zu sicherheitsrelevanten Fehlkonfigurationen. Diese Gefahr besteht besonders, wenn die Anwender nicht ausreichend geschult sind.

Oftmals werden stationäre und mobile IT -Systeme, auf denen VPN-Client-Software installiert ist, nicht nur zum Zugriff auf ein LAN benutzt. Insbesondere wenn die VPN-Verbindung über das Internet aufgebaut wird, erfolgt oft auch die Internet- und E-Mail-Nutzung über diese IT-Systeme. In manchen Fällen wird auf fremde Netze zugegriffen, beispielsweise wenn Außendienstmitarbeiter mit mobilen VPN-Clients spezielle Verbindungen zu Kundennetzen aufbauen. Dadurch können sich folgende Sicherheitsprobleme ergeben:

  • Durch den (versuchten) Aufbau nicht genehmigter Verbindungen wird das System unnötig belastet, da die Zulässigkeit der Verbindung überprüft werden muss. Auf diese Weise werden Systemressourcen belegt. In Kombination mit Fehlkonfigurationen kann es auch dazu kommen, dass unberechtigte Zugriffe erfolgreich durchgeführt werden.
  • VPN-Clients können unter anderem für den Internet-Zugang eingesetzt werden. Bei Verbindungen mit dem Internet ohne besondere Sicherheitsvorkehrungen kann unter Umständen auch von außen auf den Client-Rechner zugegriffen werden. Ein Angreifer kann dann versuchen, beispielsweise die Datenverschlüsselung abzuschalten oder andere VPN-Konfigurationsdaten so zu verändern, dass die VPN-Kommunikation nicht mehr sicher ist. Software, die aus dem Internet geladen und auf dem VPN-Client abgespeichert wurde, enthält eventuell schädlichen Code, wie beispielsweise Viren oder Trojanische Pferde.
  • In fremden LANs, wie z. B. Kundennetzen oder privaten Heimnetzen, bestehen oftmals weitere Verbindungen zu anderen Netzen, beispielsweise zum Internet. Meldet sich nun ein VPN-Client an einem solchen Netz an, kann je nach Sicherheitsvorgaben der LAN-Verwaltung möglicherweise unkontrolliert auf den VPN-Client zugegriffen werden (siehe auch G 5.39 Eindringen in Rechnersysteme über Kommunikationskarten ).

Beispiel:

  • Auf einer Dienstreise verbindet sich ein Mitarbeiter über Internet mit dem Firmennetz. Vor dem VPN-Verbindungsaufbau lädt er eine ausführbare Datei von einem Webserver. Die Datei enthält neben der "offiziellen" Funktionalität auch noch einen schädlichen Programmteil, der versucht, in der VPN-Konfiguration die Sicherheitsmechanismen (z. B. Abschalten der Verschlüsselung) zu beeinflussen. Als Folge kann bei bestehender VPN-Verbindung von Unbefugten auf Daten im Firmennetz zugegriffen werden.

Stand: 10. EL Stand 2008