Beim Datentransfer im Betrieb auf Nummer sicher gehen

Viele Unternehmen nutzen VPN-Dienste, um sensible Daten über das Internet durch einen virtuellen Tunnel auszutauschen. Bei kostenlosen Cloud-Lösungen sollte man allerdings vorsichtig sein. Und es gibt auch Alternativen zu VPN.

Wenn sensible Daten über das Internet ausgetauscht werden, muss gewährleistet sein, dass sich die Teilnehmer ("Clients") gegenseitig authentifizieren und von PC zu PC miteinander verschlüsselt kommunizieren. Niemand, kein auch ein noch so gewiefter Hacker, soll darauf zugreifen können.

Viele Unternehmen nutzen deshalb automatisierte "VPN"-Dienste von Providern. Das Kürzel steht für "Virtuelles Privates Netzwerk". Die Kommunikation erfolgt durch eine Art virtuellen Tunnel, der durch besondere kryptografische Verfahren geschützt ist.

Im Einsatz sind Hunderttausende weltweit mit sehr unterschiedlichen Qualitäts- und Sicherheitsstandards. Experten warnen von kostenlosen Angeboten. Denn deren Nutzung bezahlt man häufig mit seinen eigenen persönlichen Daten, die zu Werbezwecken ausgewertet und verkauft werden. Es gibt sogar Plattformen, die sich als VPNs tarnen, in Wirklichkeit aber Viren und Trojaner verbreiten.

"Vor allem bei kostenlosen Cloud-Lösungen sollte man vorsichtig sein", sagt Mattis Menge aus dem Bundestechnologiezentrum für Elektro- und Informationstechnik in Oldenburg und Experte im Mittelstand-Digital Zentrum Handwerk.

Lücken auf dem Übertragungsweg

Aber ganz gleich, ob die Qualität hoch oder niedrig, der Anbieter seriös oder unseriös ist: Den eigentlichen Zweck, eine wirklich sichere "Ende-zu-Ende"-Verbindung herzustellen, erfüllen VPNs entgegen allgemeiner Annahme ohnehin nicht. Denn die Daten werden nur auf den Strecken zwischen den Firmennetzwerken und den VPN-Servern verschlüsselt transportiert, nicht aber auf den Servern selbst.

Wird also der VPN-Provider "kompromittiert", wie es in der Fachsprache heißt, sind auch die Anwender betroffen. Im Frühjahr 2021 wurden in einem Hackerforum Datensätze von rund 21 Millionen Nutzern dreier VPN-Dienste angeboten.

Ebenso ungeschützt ist die firmeninterne Kommunikation zwischen dem Internet-Anschluss, dem Router also, und den Computern an den Arbeitsplätzen. Sogenannte "Innentäter" können die Informationen Stehlen oder manipulieren. Diese "Feinheiten" sind weitgehend unbekannt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in seinen Basistipps für IT-Sicherheit auf die Schwächen von VPNs hin. Es gelte zu bedenken, "dass die Kommunikation nur bis zu diesem VPN-Server verschlüsselt" sei. Umgekehrt ende beim Fernzugriff auf einen VPN-fähigen Heimnetz-Router die Verschlüsselung beim Router. Von dort aus erfolge die weitergehende Datenübertragung unverschlüsselt.

Alternative: Verbindung via AuthCryptor 

In der Standard-Einstellung sind VPN-Komponenten meist ohne oder nur mit unzureichenden Sicherheitsmechanismen vorkonfiguriert. Oft wird mehr auf Benutzerfreundlichkeit und problemlose Integration in bestehende IT-Systeme als auf Sicherheit geachtet", klärt die Behörde über typische Risiken auf. Im Endeffekt könne "das gesamte VPN und damit das interne Netz der Institution angegriffen werden".

Anstelle dessen kann man VPN-Verbindungen von Rechner zu Rechner manuell konfigurieren. Dies wäre die anerkanntermaßen sicherste Methode, die allerdings mit einigem Aufwand verbunden ist. Schon bei zehn Teilnehmen müssten 45 Verbindungen, bei 20 Teilnehmern 190 und bei 100 Teilnehmern bereits 4.950 Verbindungen eingerichtet werden. Der Aufwand würde selbst größere Unternehmen organisatorisch überfordern.

"Eine hundertprozentige Sicherheit gibt es ohnehin nicht", betont Experte Menge. Entscheidend sei letztendlich, wie ein Betrieb seine individuellen Risiken definiere. Für den Großteil sei sei ein leistungsfähiges VPN angemessen. Allerdings sollte man sich bei der Entscheidung für ein Produkt über die wichtigen Kriterien kundig machen, etwa auf www.handwerkdigital.de.

Im Zweifel das Sicherheitslevel erhöhen

Das BSI rät, Schutzbedarf auch aus einer gesamtheitlichen Sicht der Geschäftsprozesse oder Fachaufgaben zu betrachten. Mit anderen Worten: Wenn durch Schadsoftware, Datendiebstahl oder Manipulation ein hoher Schaden für das eigene Unternehmen, einem Kunden oder Geschäftspartner entstehen kann, sollte das Sicherheitslevel entsprechend erhöht werden.

Für Datenverbindungen, die in jedem Fall zu 100- prozentige Ende-zu-Ende verschlüsselte Verbindungen erfordern, etwa im Online-Support von Maschinen- und Anlagen oder in der Gebäudeautomation bietet sich als Alternative die AuthCryptor-Technologie an. Dazu werden die Teilnehmer einmalig in einem im Netzwerk installierten Vermittler registriert. Sie können dann jederzeit eine authentifizierte und sichere Verbindung zueinander aufbauen, wobei sich die Zugriffe auf einzelne Anwendungen beschränken lassen.

Der Vermittler dient ausschließlich als Verwaltungsstelle; die Teilnehmer kommunizieren unabhängig von ihm. Damit gibt es kein zentrales Angriffsziel für Hacker. Gleichzeitig schiebt AuthCryptor der von IT-lern gefürchteten "lateralen Bewegung", der selbstständigen Verbreitung in das Firmennetzwerk eingedrungener Schadsoftware bis hin zur feindlichen Übernahme des gesamten Systems, einen Riegel vor.

Ein wesentliches Merkmal dieser Lösung ist, dass der Aufwand für die Einrichtung neuer Clients konstant bleibt und sich nicht wie beim VPN multipliziert, ist diese Lösung vor allem für die sichere Kommunikation in komplexeren Netzwerkstrukturen geeignet.

Mehr Sensibilität vonnöten

Durch die rapide zunehmende Vernetzung von Systemen im Zuge der Digitalisierung und dem steigenden Digitalisierungsgrad werden Handwerksunternehmen zu einem begehrten Ziel von Hackerangriffen, Schadsoftware, Phishing und anderen Cyber-Attacken.

Aktuelle Studien zeigten, dass die Cyber-Sicherheit immer noch eines der größten Hemmnisse auch für Handwerksbetriebe darstellt, den Schritt in die Digitalisierung zu wagen, so das Kompetenzzentrum Digitales Handwerk.

Viele gingen davon aus, dass ihr Betrieb viel zu klein sei, um das Interesse der Hacker auf sich zu ziehen. Dabei versuchten Hacker gezielt, über kleine Betriebe an große Unternehmen heranzukommen. Illegale Zugriffe können fatale Folgen haben, etwa durch Manipulation laufender Produktionen oder den Verlust von Firmengeheimnissen.

DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!