Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
07. Juni 2024

Sicherheit bei Virtual Private Networks (VPN): Darauf kommt es an

Nicht nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu VPN als wichtige technische Sicherheitsmaßnahme in Bezug auf das Homeoffice
Bild: iStock.com / grinvalds
5,00 (3)
drucken
Inhalte in diesem Beitrag
Auswahlkriterien für VPN-Dienste
Ein VPN zu nutzen, gehört regelmäßig zu den Sicherheits-Empfehlungen, für das Homeoffice genauso wie für die mobile Arbeit. Doch damit Virtual Private Networks den erwarteten Schutz bieten, müssen die jeweiligen VPN-Lösungen eine Reihe von Kriterien erfüllen.

Der Zweck eines VPN ist schnell erklärt: Mit einem Virtuellen Privaten Netz (VPN) lassen sich schutzbedürftige Daten über nicht vertrauenswürdige Netze wie das Internet übertragen. Anwendungsfälle für VPN gibt es viele, sei es die Nutzung öffentlicher WLAN-Hotspots in Hotels oder am Bahnhof, sei es der Zugriff auf das Unternehmensnetzwerk vom Homeoffice aus.

Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Aufsichtsbehörden für den Datenschutz nennen VPNs regelmäßig unter ihren Sicherheitsempfehlungen, zum Beispiel für die Arbeit im Homeoffice.

Sicherheits-Hinweise für das Homeoffice und den VPN-Einsatz

Wer sich die Tipps genau ansieht, stellt fest, dass die Behörden den Verantwortlichen nicht einfach VPN ans Herz legen, sondern eine sichere VPN-Lösung. Offensichtlich garantiert VPN allein nicht ohne Weiteres Datensicherheit. Die Empfehlungen der Aufsichtsbehörden und des BSI für Datensicherheit und Datenschutz im Homeoffice geben daher weitere Hinweise für einen sicheren VPN-Einsatz. Hier finden Sie einige Beispiele:

Sicherheit hängt auch vom VPN-Betreiber selbst ab

Doch als Verantwortlicher eine VPN-Lösung richtig einzusetzen, reicht leider immer noch nicht. Denn die VPN-Lösung an sich kann bereits ein Risiko darstellen.

Warum es auch auf die jeweiligen VPN-Lösungen und ihre Betreiber ankommt, ist schnell verständlich, sieht man sich die Funktion von VPNs genauer an. Erläutern Sie in einer Datenschutzunterweisung deshalb, wie VPNs genau arbeiten. Das macht deutlicher, warum ein Unternehmen nicht einfach jeden VPN-Dienst nutzen sollte, der sich im Internet anpreist.

So arbeiten VPN-Lösungen

VPNs bilden verschlüsselte „Tunnelverbindungen“ zwischen dem Endgerät des Nutzers und dem Ziel der digitalen Kommunikation, so heißt es.

Doch tatsächlich handelt es sich gar nicht um einen durchgehenden Tunnel:

  • Das Endgerät, also z.B. der Laptop im Homeoffice, stellt eine Verbindung zum VPN-Server her. Das ist der erste Abschnitt des Tunnels.
  • Dann verbindet der VPN-Server zum Ziel der Datenübertragung, also z.B. ins Unternehmensnetzwerk. Das ist der zweite Teil.
  • Die Verschlüsselung übernimmt der VPN-Dienst. Das schottet die übertragenen Daten vom restlichen, offenen Internet ab.
  • Die Daten sind allerdings nicht gegen den Betreiber des VPN-Dienstes abgeschottet. Denn der Betreiber hat ja in aller Regel die Hoheit über die Verschlüsselung. Das ist entscheidend für das Verständnis.

VPN-Nutzung ist Vertrauenssache

Zentral ist also, einen vertrauenswürdigen VPN-Betreiber zu finden. Dazu schreibt das BSI: „Zu beachten ist dabei allerdings, dass für ausländische Server kein deutsches Datenschutzrecht gilt. In vielen Ländern außerhalb der Europäischen Union haben Datenschutz und informationelle Selbstbestimmung bei weitem nicht den Stellenwert wie hierzulande. Generell ist die Auswahl eines VPN-Anbieters Vertrauenssache. Denn Ihr gesamter Datenverkehr läuft über dessen Server und könnte dort theoretisch überwacht und manipuliert werden.“

Unternehmen müssen damit genau prüfen, welchen VPN-Dienst sie betrieblich nutzen und freigeben. Auch jeder Nutzer sollte dies beachten, sofern die Wahl der VPN-Lösung in den eigenen Händen liegt. Wie weit das Spektrum bei VPN-Lösungen reichen kann, zeigen diese Beispiele.

Schlechtes Beispiel: VPN-Dienst für Cyberkriminelle

Strafverfolgungs- und Justizbehörden in Europa, den USA und Kanada hatten Ende Juni 2021 die Webdomains und die Server-Infrastruktur von DoubleVPN beschlagnahmt. DoubleVPN war ein virtueller privater Netzwerkdienst, der Cyberkriminellen einen sicheren Hafen bot, um ihre Opfer anzugreifen, so Europol.

Die Behörden beschlagnahmten auf der ganzen Welt Server, auf denen DoubleVPN Inhalte gehostet hatte, und ersetzten die Webdomains durch eine Seite der Strafverfolgungsbehörden.

DoubleVPN wurde sowohl in russisch- als auch in englischsprachigen Untergrundforen zur Cyberkriminalität stark beworben, um den Standort und die Identität von Ransomware-Betreibern und Phishing-Betrügern zu verschleiern. Der Dienst behauptete, ein hohes Maß an Anonymität zu bieten, indem er seinen Kunden einfache, doppelte, dreifache und sogar vierfache VPN-Verbindungen anbot.

DoubleVPN hatten Internetkriminelle verwendet, um Netzwerke auf der ganzen Welt zu kompromittieren. Die günstigste VPN-Verbindung kostete nur 22 Euro.

Gutes Beispiel: Hochsicherheits-VPN

Am anderen Ende agieren abhörsichere Hochsicherheits-VPN-Router. Sie sind speziell geeignet für die VPN-Anbindung von Behörden, Dezernaten und weiteren kritischen Infrastrukturen. Der Anbieter Lancom wirbt beispielsweise damit, standortübergreifenden Netzen und kritischen Infrastrukturen BSI-zertifizierten Schutz vor Cyber-Kriminalität und Webangriffen zu bieten.

Die Hochsicherheit der Lancom-CC-Router hat das BSI im Rahmen eines Prüfverfahrens mit der Stufe CC EAL 4+ zertifiziert (https://www.lancom-systems.de/pdf/techpapers/LANCOM_Techpaper__CC-gepruefte_Router.pdf). Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard zur Zertifizierung von Hard- und Software im Bereich Datensicherheit.

Weiteres Beispiel: VPN mit Zusatzfunktionen

Der Anbieter Atlas VPN zum Beispiel hat eine Datenschutzfunktion namens SafeSwap, die die Anonymität seiner Benutzer weiter verbessern soll. Die Funktionalität ermöglicht es Benutzern, viele rotierende IP-Adressen zu verwenden, ohne zwischen verschiedenen VPN-Servern wechseln zu müssen.

Rotierende IP-Adressen

Im Gegensatz zu regulären Servern verfügen die SafeSwap-Server über einen Pool unterschiedlicher IP-Adressen. Sobald sich ein Benutzer mit einem dieser Server verbindet, wird sein ausgehender Datenverkehr über mehrere IP-Adressen geleitet, die ständig und automatisch ohne Geschwindigkeitsverlust für seine Online-Sitzungen wechseln, so der Anbieter. Das erschwert es „Schnüfflern“, die Online-Aktivitäten der Benutzerinnen und Benutzer auszuspionieren.

Tracker Blocker

Ebenso hat Atlas VPN eine Funktion namens Tracker Blocker eingeführt, um seinen Nutzern noch mehr Kontrolle über ihre Online-Privatsphäre zu geben. Die Funktion will Datenbroker davon abhalten, Tracker von Drittanbietern zu verwenden, um Erkenntnisse über die Online-Aktivitäten der Benutzer und Benutzerinnen zu sammeln.

Dadurch, dass die Lösung Drittanbieter-Tracker blockiert und verhindert, dass Anzeigen und Pop-ups geladen werden, verbessert Tracker Blocker auch die Ladezeit der Seite und schont die Akkulaufzeit des Geräts sowie die mobilen Daten, so verspricht der Anbieter.

VPN-Anbieter können zur Sicherheits-Lücke werden

Das BSI warnt ausdrücklich vor unsicheren VPN-Dienstleistern: Hat eine Institution einen VPN-Dienstleister nicht sorgfältig ausgewählt, könnte das das gesamte Netz der Institution unsicher machen. So könnten Angreifer etwa einen VPN-Zugang, den ein Dienstleister unsicher anbietet, nutzen, um gezielt Informationen zu stehlen.

Zum anderen gilt es, dem Betreiber so manche Vertrauensfrage zu stellen: Welchem Datenschutzrecht unterliegt er? Hat er anerkannte Sicherheits- und Datenschutzzertifizierungen? Wie sieht die Datenschutzerklärung aus, wie die Vertragsbedingungen? Welche Service Level Agreements bietet er an? Gibt es positive Referenzen?

Praxis-Tipp

Ein weiterer Punkt: Selbst wenn die VPN-Verbindung sicher und der Anbieter vertrauenswürdig ist, könnten Dritte einen VPN-Zugang missbrauchen.

Empfehlen Sie deshalb, die VPN-Zugangsdaten nie zu speichern. Denn ein Smartphone mit „offener“ VPN-Verbindung kann z.B. verloren gehen oder gestohlen werden. Stattdessen ist der VPN-Zugang idealerweise immer mittels Zwei-Faktor-Authentifizierung gesichert. Am besten sieht dies der VPN-Dienst bereits standardmäßig vor, sodass der Nutzer oder die Nutzerin die VPN-App nicht selbst durch weitere Sicherheitsfaktoren absichern muss.

Hohe Sicherheits-Anforderungen an den VPN-Betreiber stellen

Zu den Sicherheitsanforderungen an einen VPN-Betreiber zählen die folgenden Punkte, die alle gleichermaßen für einen sicheren Betrieb wichtig sind:

  • verschlüsselte VPN-Verbindungen nach Stand der Technik
  • das Betreiben mehrerer Server-Standorte (Redundanz, Ausfallsicherheit)
  • die Unterstützung aller benötigten Verbindungswege (beispielsweise nicht nur Schutz für die Browser-Nutzung mittels VPN-Plug-in, da dann E-Mails nicht über VPN laufen)
  • die einfache Bedienung, um Fehler der Anwenderinnen und Anwender zu vermeiden
  • die Unterstützung aller benötigten Betriebssysteme mit VPN-Apps und VPN-Clients, um keine Endgeräte ungeschützt zu lassen
  • eine schnelle Verbindung und eine ausreichende Kapazität bei hoher Nutzerzahl, damit Nutzer nicht auf VPN verzichten, um wirklich produktiv sein zu können

Was ist mit den Kosten?

Wichtig ist auch die Frage nach den Kosten. So warnt das BSI, dass man ein kostenloses VPN nicht selten mit seinen persönlichen Daten erkaufe, die der Anbieter beispielsweise zu Marketingzwecken auswerten könnte.

An SLAs denken

Nicht zu vergessen: Service Level Agreements (SLAs) mit dem VPN-Dienstleister aushandeln und schriftlich dokumentieren! Außerdem ist es notwendig, regelmäßig zu kontrollieren, ob der VPN-Dienstleister die vereinbarten SLAs einhält.

Produktabbildung IT-Know-how für den Datenschutzbeauftragten

Umfassendes IT-Wissen für Datenschutzbeauftragte

Die DSGVO fordert Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie, was Stand der Technik ist? Bleiben Sie mit „IT-Know-how für Datenschutzbeauftragte“, Ihrem zuverlässigen, stets aktuell informierten und gut verständlichen Berater in allen Fragen der IT-Sicherheit jetzt am Ball.

 

➜ Jetzt testen

Checkliste zu Auswahlkriterien für eine VPN-Lösung

  • Welche Aussagen trifft der Anbieter zur Datennutzung? Was besagt die Datenschutzerklärung?
  • Unterliegt der Anbieter der Datenschutz-Grundverordnung (DSGVO)?
  • Verfügt der Anbieter über relevante, anerkannte Zertifizierungen für Sicherheit und Datenschutz?
  • Wie sieht das Geschäftsmodell aus? Wie finanziert sich der VPN-Dienst, wenn er kostenlos angeboten wird?
  • Welche Referenzen hat der VPN-Anbieter? Was wird über ihn in den Medien positiv berichtet?
  • Welche Verschlüsselung wird genutzt? Entspricht sie dem Stand der Technik?
  • Werden Maßnahmen für die Ausfallsicherheit getroffen?
  • Werden alle relevanten Kommunikationswege unterstützt?
  • Welche alle relevanten Betriebssysteme unterstützt?
  • Sind die Verfügbarkeit, Schnelligkeit und Kapazität hoch genug?
  • Kann der VPN-Zugang ohne Zusatzlösungen ausreichend geschützt werden (2FA)?
  • Sind zusätzliche Datenschutzfunktionen gewünscht, die die VPN-Funktion ergänzen können?
  • Zudem sind diese Forderungen des BSI wichtig:
  • Mit einem VPN-Dienstleister müssen Service Level Agreements (SLAs) ausgehandelt und schriftlich dokumentiert werden. Es muss regelmäßig kontrolliert werden, ob der VPN-Dienstleister die vereinbarten SLAs einhält.
  • Bei der Auswahl von VPN-Produkten sollten die Anforderungen der Institutionen an die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeiter berücksichtigt werden.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Homeoffice Hybrid Work IT-Sicherheit
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
04. November 2024
DP+
Spezialisierte Security-Lösungen wie ein Cloud Access Security Broker (CASB) dienen dazu, Cloud-Sicherheitsrisiken zu mindern. DSB sollten wissen, welche Risiken dies aus Datenschutzsicht birgt.
Bild: iStock.com/rikirennes

Weniger Cloud-Risiken, dafür mehr Datenrisiken?

Ratgeber
Checklisten Drittland Homeoffice
28. Oktober 2024
DP+
Digitale Lernsysteme zur Unterweisung der Mitarbeitenden im Datenschutz werden immer populärer. Beziehen Sie auf jeden Fall frühzeitig den Betriebsrat in die Erarbeitung des Datenschutz-Schulungskonzepts ein.
Bild: iStock.com/guvendemir

Anforderungen an ein Datenschutz-Schulungskonzept

Ratgeber
Checklisten Homeoffice KI
25. Oktober 2024
DP+
Die neue EU-Verordnung DORA bringt zahlreiche neue Sicherheits- und Berichtspflichten für Finanzunternehmen. Dabei gibt es viele Schnittstellen zum Datenschutz.
Bild: iStock.com/dem10

Achtung, DSB: DORA für Finanzunternehmen kommt!

Ratgeber
Cybersicherheit IT-Sicherheit
24. Oktober 2024
DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff

Umfassende IT-Sicht versus gläserner User

Ratgeber
Cybersicherheit IT-Sicherheit KI
23. Oktober 2024
DP+
NIS
Bild: iStock.com/posteriori

NIS 2: Was gilt wann?

Ratgeber
Cybersicherheit IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.