Bundesamt für Sicherheit in der Informationstechnik

G 5.93 Erlauben von Fremdnutzung von VPN-Komponenten

Wird Unbefugten erlaubt, die Komponenten eines Virtuellen Privaten Netzes (VPN) zu nutzen, also das vorhandene Berechtigungskonzept umgangen, ist die Sicherheit des VPNs nicht mehr gewährleistet (siehe auch G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners ). Besonders für Remote-Access-VPNs bestehen folgende Gefahren:

  • VPN-Zugänge können unautorisiert verwendet werden, wenn die Sicherheitsrichtlinien nicht eingehalten werden. Beispielsweise geschieht es immer wieder, dass Administratoren aus falsch verstandener Freundlichkeit die VPN-Einwahl für nicht berechtigte Personen erlauben (beispielsweise zur Internet-Nutzung).
  • VPN-Benutzer geben Authentisierungsdaten oder -token an unberechtigte Dritte weiter, um diesen unter ihrer Kennung den entfernten Zugang zum LAN zu gewähren. Mögliche Motive dafür sind z. B. die Übergabe an einen Kollegen, der gemäß VPN-Sicherheitskonzept nicht zur VPN-Nutzung berechtigt ist oder vergessen hat, die VPN-Nutzung rechtzeitig vor Antritt einer Dienstreise zu beantragen. Das VPN-Benutzerkonto wird im Folgenden von mehreren Benutzern verwendet, so dass im Schadensfall keine eindeutige Identifizierung des Verursachers mehr möglich ist.
  • Für den Bereich der Telearbeit ergibt sich häufig die Problematik, dass der VPN-Client durch Familienmitglieder oder Freunde von Familienmitgliedern benutzt wird. Organisationsfremde Personen, die mit dem VPN-Client arbeiten, werden die für den VPN-Client geltenden Sicherheitsvorschriften in der Regel nicht beachten. Hierdurch kann die Sicherheit des LANs der Institution beeinträchtigt werden.

An entfernten Standorten kann nie ausgeschlossen werden, dass die dortigen IT-Systeme fremdgenutzt werden. Da hierauf auch Externe physikalischen Zugriff nehmen können, könnten sie außerdem manipuliert worden sein. Die Sicherheitsmechanismen könnten dadurch unterlaufen werden.

Stand: 10. EL Stand 2008