VPNs beginnen ihre Relevanz zu verlieren, auch wenn sie schwer abzuschütteln sind

Cyber Security News

Im Bild: ein Computerlabor, das über ein Netzwerk läuft. (ProjectManhattan, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons)

Virtuelle private Netzwerke gibt es schon seit Jahrzehnten, aber im vergangenen Jahr waren viele Unternehmen gezwungen, ihre Nutzung auszuweiten, um mit dem wachsenden Trend zur Telearbeit Schritt zu halten. Als Reaktion darauf haben kriminelle und staatlich unterstützte Hackergruppen ihre eigene Ausnutzung der Technologie ebenfalls verstärkt.

Ein kürzlich veröffentlichter Bericht von Zscaler ergab, dass VPNs immer noch überwältigend beliebt sind: 93 % der befragten Unternehmen gaben an, dass sie sie in irgendeiner Form nutzen. Die Kehrseite der Medaille ist eine ähnlich breite Anerkennung der damit verbundenen Gefahren und Kompromisse. 94 % gaben an, dass sie sich auch der Sicherheitsrisiken bewusst sind, die mit der Verwendung von VPNs verbunden sind, und zwei Drittel (67 %) gaben zu, dass sie alternative Optionen für einen sicheren Fernzugriff in Betracht ziehen.

Diese Besorgnis mag berechtigt sein, da eine im letzten Monat veröffentlichte Studie von Digital Shadows herausfand, dass kriminelle Hacker, die darauf spezialisiert sind, sich Zugang zu Opfernetzwerken zu verschaffen und diese zu verkaufen, die technologischen Veränderungen ausnutzen, die durch die globale Pandemie ausgelöst wurden. Im vergangenen Jahr stellte das Unternehmen einen erheblichen Anstieg der Anzahl von Angeboten für den Erstzugang im Dark Web im Jahr 2020 fest, insbesondere für VPN-Zugänge, die “aufgrund des zunehmenden Trends zum Remote-Working florierten”.

VPNs sind auch relativ billig im Vergleich zu anderen beliebten Formen des Zugangs. Trotz einer ähnlichen Anzahl ausgeschriebener Angebote liegt der Durchschnittspreis für VPN-Zugang bei 2.871 US-Dollar, verglichen mit 8.187 US-Dollar für Administratorkonten und 9.874 US-Dollar für das Remote Desktop Protocol, wobei anzumerken ist, dass die beiden letzteren einem Angreifer wesentlich mehr Kontrolle über die Geräte oder Konten einer Organisation geben würden als der allgemeine Netzwerkzugang, der oft über ein VPN bereitgestellt wird.

Stefano DiBlasi, der Autor des Berichts, sagte in einem Interview mit SC Media, dass COVID-19, wenig überraschend, einer der Hauptgründe für die Zunahme der Telearbeit und den Fokus auf VPNs durch die ersten Access Broker ist. Allerdings spielten auch andere Faktoren wie der “elitäre” Netzwerk- und Datenzugang, den VPNs oft bieten, sowie technische Schwachstellen rund um Passwörter und den Authentifizierungsprozess eine Rolle.

“Wenn [organizations] ihre Mitarbeiter aus der Ferne verlegen mussten, mussten sie das schnell tun… weil der Markt ständig superschnell ist und man ständig präsent sein muss”, sagte DiBlasi. “Wenn also eine Sicherheitslücke in VPN-Produkten gemeldet wird, muss sich die IT-Abteilung darauf konzentrieren, die Software so schnell wie möglich zu patchen und für den nächsten Tag bereit zu machen, und manchmal kann man das nicht tun oder man priorisiert andere Dinge.”

Über diesen Problemen schwebt eine Kultur, in der viele Unternehmen in einer Zeit großer wirtschaftlicher Unsicherheit die Geschäftskontinuität betonen, was zu überstürzten Entscheidungen oder Kompromissen bei der Sicherheitslage führt.

Als die Umstellung auf Telearbeit einsetzte, “endeten viele Unternehmen mit einem Flickenteppich von Sicherheitslösungen, die kaum den erforderlichen Schutz boten”, so Timur Kovalev, Chief Technology Officer beim Netzwerksicherheitsanbieter Untangle. “Gleichzeitig nutzten Cyberkriminelle, die die Gelegenheit erkannten, die schwächeren Sicherheitssysteme aus und verstärkten ihre Angriffe, insbesondere auf VPNs.”

In der Tat scheinen sich Teile der Industrie in einer Übergangsphase zu befinden, in der die Sicherheitsmängel der unternehmensweiten VPN-Nutzung weithin anerkannt sind, es aber keine klare Alternative zum gleichen Preispunkt gibt. Es wird erwartet, dass der globale Markt für Remote-Konnektivitätslösungen in den nächsten zehn Jahren erheblich wachsen wird. Einige Schätzungen gehen davon aus, dass der Wert des Gesamtmarktes bis zum Jahr 2027 weltweit über 70 Mrd. US-Dollar liegen wird.

Der Löwenanteil des aktuellen Marktes gehört den VPNs, aber das ändert sich langsam. Der Ausbruch des Coronavirus wirkte wie ein Brandbeschleuniger und rückte das Thema bei vielen Unternehmen in den Vordergrund. Und in den letzten Jahren sind eine Reihe von Startups aufgetaucht, die sich auf verschiedene Technologien zur Erleichterung des sicheren Fernzugriffs konzentrieren und Millionen von Dollar von Investoren einsaugen, die einen Hunger nach Alternativen verspüren.

Josh Moulin, Senior Vice President für Operations und Security Services beim Center for Internet Security, erklärte gegenüber SC Media, dass VPNs zwar immer noch für viele Unternehmen von Nutzen sind, aber die durch die Pandemie entstandene Arbeitsdynamik “überall, zu jeder Zeit, auf jedem Gerät” “hat die Grenzen und Sicherheitslücken von VPNs deutlich gemacht.”

Da die meisten Unternehmen einen Host, der sich von VPNs aus verbindet, immer noch als vertrauenswürdige Quelle behandeln, ermöglicht er ihnen die Art von breitem Netzwerkzugang, der dazu genutzt werden kann, laterale Bewegungen zu erleichtern, Firmenhosts zu infizieren oder Daten zu verschlüsseln. Die Realität ist, dass sie zwar eine dringend benötigte Geschäftsfunktion erfüllen, aber nur wenige die Ressourcen und das Know-how haben, um VPNs sicher und in großem Umfang für ihre Mitarbeiter zu implementieren.

Viele dieser Risiken können durch gängige Sicherheitspraktiken gemindert werden, z. B. durch Multi-Faktor-Authentifizierung, Zugriffskontrollrichtlinien, Überprüfung der Patching-Stände von Hosts, Ausschau halten nach Agenten oder Anwendungen, die sich möglicherweise huckepack einschleusen, Scannen auf Schwachstellen von Endpunkten und Segmentierung von Unternehmensnetzwerken (obwohl selbst dieser letzte Ansatz von geschickten Hackern umgangen werden kann).

Für einige Unternehmen besteht das Problem jedoch vor allem in einem Mangel an Ressourcen, so Moulin.

“Vielen fehlt es an qualifizierten Cybersecurity-Mitarbeitern und Tools, um VPNs richtig zu implementieren und die Aktivitäten kontinuierlich auf Bedrohungen zu überwachen.”

Aber es sind auch größere Dynamiken in der Informationstechnologie im Spiel, die dazu führen, dass VPNs an Bedeutung verlieren, insbesondere die Entwicklung hin zu hybriden Clouds, die On- und Off-Premise-Rechenzentren mischen.

Laut einer von Nutanix in Auftrag gegebenen globalen Umfrage unter 3.400 IT-Entscheidern sehen 86 % der Befragten eine hybride Cloud-Umgebung als ihr ideales Betriebsmodell an, wobei viele Unternehmen die ersten wichtigen Schritte unternommen haben, wie z. B. die Einführung von hyperkonvergenter Infrastruktur und die Abschaffung von nicht Cloud-fähigen Rechenzentren, die einen solchen Wechsel erleichtern würden. Fast die Hälfte der Befragten gab an, dass sie ihre Investitionen in Hybrid-Cloud-Technologien als direkte Reaktion auf die Pandemie erhöht haben.

Moulin sagte, dass VPNs im Allgemeinen schlecht in solche Umgebungen passen, da sie erfordern, dass sich alle Benutzer zuerst mit einem zentralen Unternehmensnetzwerk verbinden, bevor sie sich mit ihrem endgültigen Ziel verbinden. Dies kann zu Engpässen führen und die allgemeine Benutzererfahrung beeinträchtigen. Aus diesem Grund beobachtet CIS bei einigen Unternehmen einen Wechsel zu Alternativen.

“Aufgrund der Sicherheitsimplikationen … und der schlechten Benutzererfahrung, die bei VPNs üblich ist, sehen wir, dass immer mehr Unternehmen auf virtuelle Desktop-Infrastrukturen und sichere Zugangsservice-Edge-Angebote wie Zero-Trust-Netzwerkarchitekturen und Cloud-Access-Security-Broker-Lösungen umsteigen”, so Moulin.

In der Tat stellte das Marktforschungsunternehmen Omdia im vergangenen Jahr fest: “Da die VPN-Technologie Schwierigkeiten hat, den Bedarf an Zugriff auf Cloud-basierte Anwendungen zu decken, gibt es eine Chance für [alternatives options] Marktanteile mit sicheren und einfach zu bedienenden Alternativen zu erobern.”

Einige der Quellen, die die Sicherheitsprobleme von VPNs aufzeigten, waren jedoch weit davon entfernt, VPNs auf den Müllhaufen der Geschichte zu befördern. Zunächst einmal ist die Tatsache, dass VPNs in vielen Unternehmen bereits weitgehend etabliert sind, ein großer Vorteil und erlaubt es ihnen, sich auf Trägheit und die hohen Kosten für die Umstellung auf neue Technologien zu verlassen, die konkurrierende Technologien daran hindern, sich durchzusetzen.

“Hindernisse für den Einsatz völlig neuer Technologien sind die Unterbrechung, die es verursacht, eine Netzwerkinfrastruktur komplett zu überholen, sowie die damit verbundenen Kosten”, sagt Dick Schrader, Global Vice President of Security Research bei New Net Technologies. “Wenn stattdessen die bestehende Infrastruktur und die vorhandenen Technologien verbessert und erweitert werden können, dann ist es einfacher, im Rahmen des Budgets zu bleiben, ohne die Produktivität der Mitarbeiter zu sehr zu beeinträchtigen.”

Hinzu kommt, dass VPNs zwar wie fast jede andere Technologie unter technischen Mängeln leiden, aber mit der richtigen Sorgfalt und Aufmerksamkeit von IT- und Sicherheitsteams können viele dieser Probleme entschärft werden.

“Die VPN-Technologie ist nicht veraltet oder überholt. Erforderlich sind zusätzliche Überlegungen zur Sicherheitsarchitektur und zu den Arbeitsabläufen in einer Organisation”, so Schrader. “Mögliche Optionen [for secure access] hängen von der Unternehmensgröße und der vorhandenen Serverinfrastruktur ab, müssen aber immer auch die Schulung des Sicherheitsbewusstseins der Remote-Mitarbeiter beinhalten.”

Auch DeBlasi schloss sich dieser Ansicht weitgehend an. Trotz der zunehmenden Beliebtheit von VPNs bei anfänglichen Zugangsvermittlern führt er viele der Sicherheitsprobleme, die mit der zunehmenden Nutzung von VPNs einhergehen, auf menschliches Versagen und Schlamperei zurück, die korrigiert werden können, wenn Unternehmen ihren langfristigen Technologiebedarf neu bewerten. Organisationen mit der richtigen Sicherheitshaltung und Denkweise sind in der Lage, diese Probleme anzugehen, während diejenigen ohne diese unabhängig von der eingesetzten Technologie oder dem Tool scheitern werden.

“Solange VPN-Software ordnungsgemäß verwendet und vom IT-Sicherheitsteam gewartet wird, sollte es bei ihrer Verwendung keine großen Probleme geben, die sie von anderen Arten ordnungsgemäß gepatchter Software unterscheiden”, sagte er.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com