Jeder kennt sie, viele nutzen sie, doch die Risiken werden oft unterschätzt. Spätestens seit dem Ausbruch der COVID-19 Pandemie hat der Einsatz von VPN-Technologien deutlich zugenommen. Statista beziffert den Anstieg im Zeitraum vom 8. bis 22. März 2020 alleine in Deutschland um 40% pro Woche (https://www.statista.com/...).
Da die Technologie zum Synonym für Remoteanbindung geworden ist, können Nachteile für Heimarbeitsplätze oder mobile Mitarbeiter leicht übersehen werden.
VPNs schaffen mehr Probleme als sie lösen
Für viele IT-Abteilungen ist es mangels Zeit und Ressourcen schon schwierig genug, VPN-Zugänge auf firmeneigenen PCs einzurichten. Aber der Rollout auf Endgeräte, die sich nicht unter der eigenen Kontrolle, sondern bei Mitarbeitern zu Hause befinden, ist noch um ein Vielfaches komplizierter. Werden die Nutzer nicht umfassend geschult, sind Sicherheitsfehler unvermeidbar. Ausserdem birgt die Veränderung privater PCs durch Fremdsoftware hohe Risiken hinsichtlich Support und Haftung.
VPNs verbinden externe Geräte mit dem Firmennetzwerk
Um Daten zwischen Endpunkt und Unternehmen senden und empfangen zu können, baut das VPN eine sichere Verbindung über das Internet auf. Das ist nützlich, weil lokal installierte Anwendungen über diesen Weg direkt mit den Servern im Firmennetzwerk kommunizieren. Nur können das dummerweise Viren und Malware auf dem Remote-PC auch. Deshalb ist die Anbindung unbekannter und nicht verwalteter Endgeräte per VPN an das Unternehmensnetzwerk ein großes Sicherheitsrisiko. Durch spezialisierte Schutzsysteme können solche Risiken zwar entschärft werden, doch sie zeitaufwändig implementiert, konfiguriert und separat überwacht werden.
VPNs gewähren keinen einfachen, granularen Zugriff
Entfernte Endgeräte werden per VPN mit dem Netzwerk verbunden und nicht mit den Anwendungen oder Services, die der Benutzer benötigt. Server oder Dienste müssen gegenüber dem Internet geöffnet werden, was ein allgemeines Sicherheitsrisiko bedeutet und von Hackern als Angriffsfläche ausgenutzt werden kann.
VPNs bieten keine integrierte 2-Faktor-Authentifizierung
Beim Verbindungsaufbau per VPN sind Benutzername und Passwort erforderlich. Eine 2-Faktor-Authentifizierung muss implementiert und gesondert verwaltet werden, was Kosten und Komplexität erhöhen.
Ziel: Security by Design
Wünschenswert ist eine Zugriffslösung, die unabhängig von der Endpunktsicherheit einen applikationsbasierten Access auf zentral freigegebene Ressourcen ermöglicht. Die Software muss intuitiv und ohne technische Vorkenntnisse bedienbarsein und höchstmögliche Sicherheit bieten, ohne dass umständliche Autorisierungsprozeduren durchlaufen werden müssen.
Die virtuelle Zugriffstechnologie G/On von Soliton Systems erfüllt diese Anforderungen bereits seit über 15 Jahren.
Der G/On Client ist mobil einsetzbar
Der Anwender steckt den USB Token ein, startet den portablen Client vom Token und meldet sich an. Den Rest erledigt G/On automatisch: Der gesamte Datenstrom, den die authentifizierten Anwendung sendet, wird verschlüsselt und an das G/On Gateway gesendet, welches als dedizierte Firewall und 2-stufiger Proxy die Anfrage im Netzwerk weiterleitet. Somit müssen keine Server oder Dienste im Netzwerk gegenüber dem Internet offengelegt werden und Angriffe werden wirkungsvoll verhindert, da nur authentifizierte Systeme kommunizieren können.
Der G/On Client ist portabel und eingriffsfrei
Da weder eine Installation, noch eine Konfiguration erforderlich ist, entfällt das Risiko, dass durch Fehleinstellungen oder Konflikte etwas schiefgeht. Eigene Computer oder ungemanagte, öffentliche Geräte sind für den Fernzugriff problemlos nutzbar, weil keine Eingriffe vorgenommen werden, keine Daten oder Konfigurationen zurückbleiben und sich auch am Verhalten des Rechners nichts ändert. Die abgesicherte Remote-Umgebung ist vollständig von den anderen, persönlichen Anwendungen auf dem Endgerät getrennt.
G/On baut keine Netzwerkverbindung auf
Die Client-Server Technologie virtualisiert die Verbindungen zwischen dem Endgerät des Anwenders und den Applikationsservern und -services („distributed port forwarding proxy“). Im Gegensatz zu VPN-Anbindungen wird bei G/On das Endgerät niemals ein Mitglied des Netzwerks. G/On besitzt keine Broadcast-Adresse, der Server ist nur „Zuhörer“ und verarbeitet ausschliesslich autorisierte Datenströme. Dadurch ist es praktisch unmöglich, dass Viren oder Malware auf das Unternehmensnetzwerk überspringen. Zusätzliche Sicherheitstools müssen deshalb nicht installiert werden.
G/On etabliert Zero-Trust-Access
Der Remotezugriff erfolgt identitätszentriert und folgt dem Zero-Trust-Sicherheitsmodell. Identitätszentriert bedeutet, dass die Identität und Rechte des Nutzers entscheidend sind und nicht das verwendete Gerät. Zero-Trust bedeutet, dass der Zugang zum Netzwerk mit minimalen Rechten erfolgt (Need-to-know-Prinzip), was die Angriffsfläche verkleinert und es der IT erlaubt, Aktivitäten und Anwendungen der Nutzer einzusehen. Authentifizierte Nutzer können nur dann auf konkrete Dienste im Netzwerk zugreifen, wenn diese ausdrücklich freigegeben wurden, im Gegensatz zu VPNs, bei denen die Nutzer Zugang zum gesamten Netzwerk bekommen. Alle Clients folgen den zentral am Server definierten Regeln automatisch.
G/On verfügt über eine starke 2-Faktor-Authentifizierung
Wenn sich Anwender über G/On einloggen, dann werden ihre Credentials gegenüber dem internen Benutzerverzeichnis geprüft und ein zweiter Faktor vorausgesetzt. Je nach Unternehmensrichtlinien kann dies ein USB- bzw. Smartcard-Token oder ein Zertifikat sein. Der USB-Token benötigt keine Treiber oder andere Software. Die Authentifizierung selbst erfolgt wechselseitig, das heisst der Client authentifiziert den Server und der Server authentifiziert den Client. Somit können keine Man-In-The-Middle Angriffe stattfinden.
G/On unterstützt schnelle und sichere Skalierung
Ein sicherer Zugriff auf den eigenen Desktop oder Apps und Services ist in praktisch jeder Infrastruktur schnell bereitgestellt. G/On skaliert bei immer gleicher Architektur mit dem Wachstum des Unternehmens, ob 10 oder 5.000+ Anwender.
Da die Technologie zum Synonym für Remoteanbindung geworden ist, können Nachteile für Heimarbeitsplätze oder mobile Mitarbeiter leicht übersehen werden.
VPNs schaffen mehr Probleme als sie lösen
Für viele IT-Abteilungen ist es mangels Zeit und Ressourcen schon schwierig genug, VPN-Zugänge auf firmeneigenen PCs einzurichten. Aber der Rollout auf Endgeräte, die sich nicht unter der eigenen Kontrolle, sondern bei Mitarbeitern zu Hause befinden, ist noch um ein Vielfaches komplizierter. Werden die Nutzer nicht umfassend geschult, sind Sicherheitsfehler unvermeidbar. Ausserdem birgt die Veränderung privater PCs durch Fremdsoftware hohe Risiken hinsichtlich Support und Haftung.
VPNs verbinden externe Geräte mit dem Firmennetzwerk
Um Daten zwischen Endpunkt und Unternehmen senden und empfangen zu können, baut das VPN eine sichere Verbindung über das Internet auf. Das ist nützlich, weil lokal installierte Anwendungen über diesen Weg direkt mit den Servern im Firmennetzwerk kommunizieren. Nur können das dummerweise Viren und Malware auf dem Remote-PC auch. Deshalb ist die Anbindung unbekannter und nicht verwalteter Endgeräte per VPN an das Unternehmensnetzwerk ein großes Sicherheitsrisiko. Durch spezialisierte Schutzsysteme können solche Risiken zwar entschärft werden, doch sie zeitaufwändig implementiert, konfiguriert und separat überwacht werden.
VPNs gewähren keinen einfachen, granularen Zugriff
Entfernte Endgeräte werden per VPN mit dem Netzwerk verbunden und nicht mit den Anwendungen oder Services, die der Benutzer benötigt. Server oder Dienste müssen gegenüber dem Internet geöffnet werden, was ein allgemeines Sicherheitsrisiko bedeutet und von Hackern als Angriffsfläche ausgenutzt werden kann.
VPNs bieten keine integrierte 2-Faktor-Authentifizierung
Beim Verbindungsaufbau per VPN sind Benutzername und Passwort erforderlich. Eine 2-Faktor-Authentifizierung muss implementiert und gesondert verwaltet werden, was Kosten und Komplexität erhöhen.
Ziel: Security by Design
Wünschenswert ist eine Zugriffslösung, die unabhängig von der Endpunktsicherheit einen applikationsbasierten Access auf zentral freigegebene Ressourcen ermöglicht. Die Software muss intuitiv und ohne technische Vorkenntnisse bedienbarsein und höchstmögliche Sicherheit bieten, ohne dass umständliche Autorisierungsprozeduren durchlaufen werden müssen.
Die virtuelle Zugriffstechnologie G/On von Soliton Systems erfüllt diese Anforderungen bereits seit über 15 Jahren.
Der G/On Client ist mobil einsetzbar
Der Anwender steckt den USB Token ein, startet den portablen Client vom Token und meldet sich an. Den Rest erledigt G/On automatisch: Der gesamte Datenstrom, den die authentifizierten Anwendung sendet, wird verschlüsselt und an das G/On Gateway gesendet, welches als dedizierte Firewall und 2-stufiger Proxy die Anfrage im Netzwerk weiterleitet. Somit müssen keine Server oder Dienste im Netzwerk gegenüber dem Internet offengelegt werden und Angriffe werden wirkungsvoll verhindert, da nur authentifizierte Systeme kommunizieren können.
Der G/On Client ist portabel und eingriffsfrei
Da weder eine Installation, noch eine Konfiguration erforderlich ist, entfällt das Risiko, dass durch Fehleinstellungen oder Konflikte etwas schiefgeht. Eigene Computer oder ungemanagte, öffentliche Geräte sind für den Fernzugriff problemlos nutzbar, weil keine Eingriffe vorgenommen werden, keine Daten oder Konfigurationen zurückbleiben und sich auch am Verhalten des Rechners nichts ändert. Die abgesicherte Remote-Umgebung ist vollständig von den anderen, persönlichen Anwendungen auf dem Endgerät getrennt.
G/On baut keine Netzwerkverbindung auf
Die Client-Server Technologie virtualisiert die Verbindungen zwischen dem Endgerät des Anwenders und den Applikationsservern und -services („distributed port forwarding proxy“). Im Gegensatz zu VPN-Anbindungen wird bei G/On das Endgerät niemals ein Mitglied des Netzwerks. G/On besitzt keine Broadcast-Adresse, der Server ist nur „Zuhörer“ und verarbeitet ausschliesslich autorisierte Datenströme. Dadurch ist es praktisch unmöglich, dass Viren oder Malware auf das Unternehmensnetzwerk überspringen. Zusätzliche Sicherheitstools müssen deshalb nicht installiert werden.
G/On etabliert Zero-Trust-Access
Der Remotezugriff erfolgt identitätszentriert und folgt dem Zero-Trust-Sicherheitsmodell. Identitätszentriert bedeutet, dass die Identität und Rechte des Nutzers entscheidend sind und nicht das verwendete Gerät. Zero-Trust bedeutet, dass der Zugang zum Netzwerk mit minimalen Rechten erfolgt (Need-to-know-Prinzip), was die Angriffsfläche verkleinert und es der IT erlaubt, Aktivitäten und Anwendungen der Nutzer einzusehen. Authentifizierte Nutzer können nur dann auf konkrete Dienste im Netzwerk zugreifen, wenn diese ausdrücklich freigegeben wurden, im Gegensatz zu VPNs, bei denen die Nutzer Zugang zum gesamten Netzwerk bekommen. Alle Clients folgen den zentral am Server definierten Regeln automatisch.
G/On verfügt über eine starke 2-Faktor-Authentifizierung
Wenn sich Anwender über G/On einloggen, dann werden ihre Credentials gegenüber dem internen Benutzerverzeichnis geprüft und ein zweiter Faktor vorausgesetzt. Je nach Unternehmensrichtlinien kann dies ein USB- bzw. Smartcard-Token oder ein Zertifikat sein. Der USB-Token benötigt keine Treiber oder andere Software. Die Authentifizierung selbst erfolgt wechselseitig, das heisst der Client authentifiziert den Server und der Server authentifiziert den Client. Somit können keine Man-In-The-Middle Angriffe stattfinden.
G/On unterstützt schnelle und sichere Skalierung
Ein sicherer Zugriff auf den eigenen Desktop oder Apps und Services ist in praktisch jeder Infrastruktur schnell bereitgestellt. G/On skaliert bei immer gleicher Architektur mit dem Wachstum des Unternehmens, ob 10 oder 5.000+ Anwender.
