VPN nicht mehr zeitgemäß?

VPN nicht mehr zeitgemäß

Beitrag teilen

Als Unternehmen während der Pandemie gezwungen waren, auf Fernarbeit umzustellen, brauchten sie eine schnelle Lösung, die ihren Mitarbeitern den sicheren Zugriff auf Arbeitsressourcen ermöglichte. Für viele kam diese Lösung in Form von VPN (Virtual Private Network), die ursprünglich jedoch nicht für den Einsatz von BYOD (Bring Your Own Device) und Cloud-Apps konzipiert wurden.

Lookout, Anbieter für Endpunkt- und Cloud-Sicherheit sieht nun aber das Ende von VPNs gekommen. VPNs können zwar Fernzugriff bieten, aber es mag überraschen, dass sie in puncto Sicherheit zu kurz greifen. Das liegt daran, dass VPNs für den Fall entwickelt wurden, dass nur ein kleiner Teil der Belegschaft von zu Hause aus arbeiten möchte. VPNs setzen auch zu viel Vertrauen in das Gerät und den Benutzer. Jetzt, da ortsunabhängiges Arbeiten sich etabliert hat, ist es wichtig, neu zu überdenken, wie Unternehmen der gesamten Belegschaft sicheren Zugang zu den erforderlichen Ressourcen verschaffen können.

Anzeige

Ortsunabhängiges Arbeiten

Als VPNs vor 20 Jahren zum ersten Mal eingesetzt wurden, waren sie die De-facto-Methode für die Verbindung von Mitarbeitern an entfernten Standorten, die zunehmend Laptops nutzten, mit dem Rechenzentrum eines Unternehmens. Damals waren die Computer noch auf Modems und Dienste wie iPass für die Verbindung angewiesen, um dann über ein VPN ein „privates Netzwerk“ zu schaffen und die Übertragung zu sichern.

Seither hat sich jedoch die technologische Landschaft erheblich gewandelt. Aus heutiger Sicht wurden VPNs in vielerlei Hinsicht dazu entwickelt, um die Probleme von gestern zu lösen. Die weit verbreitete Einführung von Cloud-Anwendungen bedeutet, dass sich die Art und Weise, wie Unternehmen Arbeitsdaten speichern und darauf zugreifen, völlig verändert hat. An einem beliebigen Tag stellt ein Benutzer eine Verbindung zu einem internen Entwicklungssystem her, greift auf Dokumente in Google Workspace zu, sendet Slack-Nachrichten an Kollegen und verwendet Zoom, um an Besprechungen teilzunehmen. All das kann er ebenso leicht auf seinem Smartphone wie auf seinem Laptop erledigen.

In vielen Unternehmen sind ähnliche Szenarien an der Tagesordnung, die auch den Zugriff auf Anwendungen wie SAP S/4HANA auf AWS oder Azure einschließen. Da viele Beschäftigte remote arbeiten, haben sie sich daran gewöhnt, nahtlos auf das zuzugreifen, was sie gerade brauchen, egal wo die Anwendung ausgeführt wird, und mit jedem Gerät ihrer Wahl zu arbeiten. Eine weitere große Herausforderung, die diese neue Umgebung mit sich bringt, besteht darin, dass Unternehmen nicht den erforderlichen Einblick in ihre komplexen IT-Umgebungen haben. Früher wurden nur vom Unternehmen ausgegebene Geräte in vom Unternehmen verwalteten Netzwerken verwendet. Heute hingegen greifen Mitarbeiter mit Geräten, Netzwerken und Software auf Arbeitsressourcen zu, über die das IT-Team keine Kontrolle hat oder von denen es vielleicht sogar nichts weiß. Dadurch hat sich die Angriffsfläche für Unternehmen erheblich vergrößert.

VPN unzureichend für moderne Arbeitsumgebungen

Eines der größten Probleme mit VPNs besteht darin, dass sie jedem, der mit ihnen verbunden ist, vollen Netzwerkzugang gewähren. Und das gilt nicht nur für das angeschlossene Gerät, sondern auch für alles, was sich im Netzwerk dieses Geräts befindet. Ganz gleich, ob es sich um eine Schadsoftware oder ein kompromittiertes Konto handelt, es gibt nichts, was sie daran hindert, sich seitlich durch die Infrastruktur zu bewegen und Schaden anzurichten.

VPNs haben auch eine schlechte Erfolgsbilanz, was die Benutzerfreundlichkeit betrifft. Wenn der direkte Zugang zur Cloud überall verfügbar ist, müssen sich Mitarbeiter erst bei einem VPN anmelden, um auf diese Cloud-Anwendungen zuzugreifen, was ihre Workflows erschwert. Es wäre das Gleiche, als müsste man jemanden zwingen, von Boston über Los Angeles nach New York City zu reisen, was ineffizient ist. Wenn es zu langsamen Seitenladezeiten oder schleppenden Downloads kommt während der VPN-Nutzung, dann liegt das wahrscheinlich daran, dass der Datenverkehr gezwungen ist, eine ineffiziente Route zu nehmen.

ZTNA als Alternative

„Um diese neuen Probleme zu lösen, reichen VPNs aus den oben genannten Gründen nicht aus, wenn es darum geht, Mitarbeitern an entfernten Standorten sicheren Zugang zu den benötigten Informationen zu verschaffen“, meint Sascha Spangenberg, Global MSSP Solutions Architect bei Lookout. „Sichere Zugangstechnologien wie Zero Trust Network Access (ZTNA) oder Cloud Access Security Brokers (CASB) setzen dort an, wo VPNs aufhören. Diese Secure Access Service Edge (SASE)-Technologien ermöglichen einen granularen Zugriff auf nur die Anwendungen und Daten, die Mitarbeiter benötigen, während das Benutzer- und Geräteverhalten kontinuierlich überwacht wird, um den Zugriff dynamisch an das Risiko anzupassen.“

Das bedeutet, dass das Risiko von Seitwärtsbewegungen drastisch reduziert wird, die Verbindung zwischen dem Benutzer und der Anwendung effizient ist und die Sicherheit der Verbindung weit über die Verschlüsselung des Datenverkehrs zwischen zwei Punkten hinausgeht. Die Probleme, für die VPNs damals entwickelt wurden, sind heute nicht mehr relevant. Unternehmen stehen nun vor der Herausforderung, ihren Mitarbeitern die Freiheit und Flexibilität zu geben, von überall aus mit Anwendungen in der Cloud zu arbeiten und gleichzeitig ihre Daten zu schützen. Die Abkehr von Technologien wie VPNs hin zu Alternativen der nächsten Generation wie ZTNA ist nach Meinung von Lookout ein guter Anfang.

Mehr bei Lookout.com

 


Über Lookout

Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen

NIS2-Richtlinie: Ziele und Herausforderungen bei der Umsetzung

Ziel der NIS-Direktive war es, für eine hohe Cyberresilienz in Unternehmen mit kritischer Infrastruktur in allen Mitgliedsstaaten der EU zu ➡ Weiterlesen

Wie CISOs höhere Cyberresilienz sicherstellen können

Die Cybersicherheit in Unternehmen hat sich in den vergangenen Jahren deutlich weiterentwickelt – die Techniken der Cyberkriminellen allerdings ebenso. Aber ➡ Weiterlesen