Virtual Private Network
Verschlüsselter Netzwerktunnel, der Standorte oder Endgeräte über öffentliche Netze sicher verbindet — zentrale Technologie für Remote-Zugriff und Standortvernetzung.
Ein Virtual Private Network (VPN) stellt über öffentliche Netzwerke wie das Internet eine verschlüsselte Punkt-zu-Punkt- oder Punkt-zu-Netz-Verbindung her. Im Unternehmenskontext dient VPN primär zwei Zwecken: der sicheren Standortvernetzung (Site-to-Site) und dem Remote-Zugriff für Mitarbeitende auf interne Ressourcen.
Protokolle und Typen
Im Enterprise-Umfeld dominieren zwei Protokollfamilien. IPsec-VPN arbeitet auf Netzwerkebene (Layer 3) und eignet sich besonders für dauerhafte Site-to-Site-Verbindungen zwischen Standorten. IKEv2 (Internet Key Exchange Version 2) übernimmt dabei den Schlüsselaustausch und die Authentifizierung. SSL/TLS-VPN hingegen setzt auf der Transportschicht auf und arbeitet auf Anwendungsebene — es ist die typische Wahl für Remote-Access-Szenarien, da es über den Browser oder einen leichtgewichtigen Client funktioniert und keine komplexe Netzwerkkonfiguration auf dem Endgerät erfordert.
Site-to-Site-VPN verbindet zwei oder mehr Standorte permanent miteinander, sodass Geräte an verschiedenen Standorten kommunizieren können, als befänden sie sich im selben lokalen Netzwerk. Remote-Access-VPN ermöglicht einzelnen Mitarbeitenden den verschlüsselten Zugriff auf das Unternehmensnetzwerk — typischerweise über einen VPN-Client auf dem Endgerät.
VPN-Gateways als Angriffsfläche
VPN-Gateways sind aus dem Internet erreichbar und stellen damit ein bevorzugtes Ziel für Angreifer dar. Ungepatchte Schwachstellen in VPN-Appliances werden regelmäßig aktiv ausgenutzt — die CISA-Datenbank bekannter ausgenutzter Schwachstellen (KEV) listet wiederholt kritische Lücken in Produkten von Fortinet, Ivanti und Palo Alto Networks. Angreifer scannen automatisiert nach verwundbaren Gateways und nutzen bekannte Exploits oft innerhalb weniger Stunden nach Veröffentlichung eines Proof-of-Concept.
Das Risiko wird dadurch verschärft, dass VPN-Gateways per Design den Zugang zum internen Netzwerk ermöglichen. Eine kompromittierte VPN-Appliance gewährt dem Angreifer häufig direkten Zugriff auf interne Systeme — ein einzelner ungepatchter Gateway kann so zum Einfallstor für Ransomware oder Lateral Movement werden.
Split Tunneling und seine Risiken
Beim Split Tunneling wird nur ein Teil des Datenverkehrs durch den VPN-Tunnel geleitet, während der restliche Traffic direkt ins Internet geht. Das verbessert die Performance, da nicht der gesamte Datenverkehr über das Unternehmensrechenzentrum geroutet werden muss. Gleichzeitig entsteht ein Sicherheitsrisiko: Das Endgerät ist gleichzeitig mit dem Unternehmensnetzwerk und dem offenen Internet verbunden. Ist das Gerät kompromittiert, kann ein Angreifer über die bestehende VPN-Verbindung ins Unternehmensnetzwerk pivotieren, ohne den Gateway selbst angreifen zu müssen.
VPN im Kontext von Zero Trust
Ein VPN allein ist kein Zero-Trust-Konzept. Klassische VPN-Architekturen gewähren nach erfolgreicher Authentifizierung typischerweise breiten Netzwerkzugriff — das widerspricht dem Zero-Trust-Prinzip des minimalen Zugriffs. Zero Trust Network Access (ZTNA), eine Kernkomponente von SASE-Architekturen, verfolgt einen anderen Ansatz: Statt Zugang zum gesamten Netzwerk zu gewähren, erhalten Nutzer nur Zugriff auf die spezifischen Anwendungen, die sie benötigen. Dabei wird jede Sitzung individuell auf Basis von Identität, Gerätestatus und Kontext autorisiert.
Das bedeutet nicht, dass VPN obsolet ist. Für Site-to-Site-Verbindungen zwischen Standorten bleibt IPsec-VPN eine bewährte Lösung. Für Remote Access hingegen ersetzen ZTNA-Lösungen zunehmend das klassische VPN, weil sie granularere Zugriffskontrollen bieten und die Angriffsfläche reduzieren.
Härtungsmaßnahmen für VPN-Infrastruktur
Wer VPN-Gateways betreibt, sollte mehrere Maßnahmen konsequent umsetzen: Patches für VPN-Appliances haben höchste Priorität, da aktiv ausgenutzte Schwachstellen in diesen Systemen besonders häufig vorkommen. Multi-Faktor-Authentifizierung ist zwingend, da gestohlene VPN-Zugangsdaten ein häufiger initialer Angriffsvektor sind. Die TLS-Konfiguration sollte ausschließlich TLS 1.2 und 1.3 mit sicheren Cipher-Suites zulassen. Und der Zugriff über VPN sollte auf die tatsächlich benötigten Netzwerksegmente beschränkt werden — Full-Tunnel-Zugriff auf das gesamte Netzwerk ist selten erforderlich.
Relevanz für KMUs
VPN-Gateways gehören zu den am häufigsten angegriffenen Komponenten in mittelständischen IT-Infrastrukturen. Viele KMUs betreiben VPN-Appliances, deren Firmware nicht aktuell ist oder deren Zugänge nur mit Benutzername und Passwort geschützt sind. Gerade weil VPN-Gateways den direkten Weg ins Unternehmensnetzwerk öffnen, sind sie ein Hochwertziel für automatisierte Angriffe. Zwei Maßnahmen sind sofort umsetzbar und senken das Risiko erheblich: MFA für alle VPN-Verbindungen aktivieren und ein Patch-Management etablieren, das Sicherheitsupdates für VPN-Appliances innerhalb weniger Tage nach Veröffentlichung einspielt.