Neue Umfrage bestätigt: VPNs stellen eine akute Gefahrenquelle dar

Wissen Sie, was Sicherheitsexperten schlaflose Nächte bereitet? Die Antwort wird Sie womöglich überraschen.

Cybersicherheitsexperten sind sich einig: VPNs stellen eine akute Gefahrenquelle dar. Das geht aus den Ergebnissen einer aktuellen Umfrage hervor, die von Cybersecurity Insiders im Auftrag von Zscaler bereits im zweiten Jahr durchgeführt wurde.

Die befragten Sicherheitsexperten haben allen Grund zur Sorge.

VPN ist eine Technologie aus den Anfangszeiten des Internets, deren Einsatz unter heutigen Bedingungen mit beträchtlichen Sicherheitsrisiken verbunden ist. Nach Angaben der Cybersecurity and Infrastructure Security Agency (CISA) des US-amerikanischen Heimatschutzministeriums wurden Schwachstellen in ungepatchten VPNs im Jahr 2021 regelmäßig als Einfallsvektor für Cyberangriffe ausgenutzt.

VPNs bieten eine offene Flanke, die von Bedrohungsakteuren gerne genutzt wird.

Die Risiken lassen sich nur durch einen Mentalitätswandel bewältigen

Die Trennung von einer altbewährten Technologie wie Remote-Access-VPN fällt vielen Unternehmen schwer – immerhin arbeiten sie schon seit knapp dreißig Jahren damit. VPNs bauen auf dem perimeterbasierten Sicherheitsmodell einer mittelalterlichen Festung mit Burggraben auf und konnten zuverlässigen Schutz gewährleisten, als Anwendungen noch im unternehmenseigenen Rechenzentren installiert waren. Diese Zeiten sind jedoch längst vorbei. In der cloud- und mobilzentrierten Geschäftswelt von heute befinden sich sowohl die User selbst als auch die Anwendungen, mit denen sie arbeiten, außerhalb der sicheren Festung der Unternehmenszentrale. Unter diesen Vorzeichen ergibt es wenig Sinn, weiterhin an perimeterbasierten Modellen zur Absicherung des Remotezugriffs festzuhalten.

Die gravierenden Herausforderungen und Risiken, die allgemein mit herkömmlichen Netzwerk- und Sicherheitsarchitekturen und insbesondere mit dem Festhalten an veralteten RZ-basierten Technologien und Geschäftsprozessen wie VPN verbunden sind, sind mittlerweile hinlänglich bekannt. Der Mentalitätswandel, der zu ihrer Bewältigung erforderlich ist, vollzieht sich nur schleppend. Entsprechend arbeiten 95 % der befragten Unternehmen weiterhin mit VPNs, obwohl sie wissen, dass sie anfällig für Cyberangriffe sind.

VPNs exponieren Ihr Netzwerk im Internet

VPNs werden gerne als Einfallsvektor für den Erstzugriff auf Unternehmensnetzwerke ausgenutzt. Dort profitieren Bedrohungsakteure dann von uneingeschränkter lateraler Bewegungsfreiheit, die ihnen ermöglicht, Ressourcen zu kompromittieren oder Betriebsabläufe zu stören. Spätestens der Angriff auf Colonial Pipeline im Mai 2021 machte die Tragweite der damit verbundenen Risiken unmissverständlich deutlich. VPNs sind so konzipiert, dass User vollen Zugriff auf Netzwerkprotokolle erhalten. Damit bieten sie Cyberkriminellen willkommene Chancen, diese Protokolle für Angriffe oder zur Reconnaissance auszunutzen. Durch Infiltrieren der unternehmenseigenen Netzwerke und Rechenzentren können Bedrohungen verschiedener Art (Ransomware, Malware, webbasierte Angriffe, DDoS-Angriffe usw.) gezielt für Angriffe auf geschäftskritische Ressourcen implementiert werden.

Angesichts der zunehmenden Zahl von Angriffen auf Hybrid- und Remote-Mitarbeiter haben 71 % der befragten Sicherheitsexperten Bedenken, dass der Einsatz von VPNs einen zuverlässigen Schutz ihrer Netzwerke erheblich beeinträchtigt.

Zu wenig Kontrolle, zu hohe Kosten

Die Umfrage ergab, dass die Bereitstellung von VPNs vor allem aus zwei Gründen als problematisch wahrgenommen wird:

1. VPNs platzieren User im Netzwerk. Das Funktionsprinzip von VPNs macht es erforderlich, dass Mitarbeitern und externen Dritten (Geschäftspartnern, Kunden usw.) direkter Zugang zum Unternehmensnetzwerk gewährt wird. User werden automatisch als vertrauenswürdig eingestuft, sobald sie über einen VPN-Tunnel mit dem Netzwerk verbunden werden, und haben dort uneingeschränkte laterale Bewegungsfreiheit.

2. VPNs sind teuer und viel zu komplex. Die Bereitstellung von VPNs ist mit hohen Kosten verbunden – erst recht, wenn Latenzen und Kapazitätsbeschränkungen die Replizierung der Gateway-Stacks in sämtlichen Rechenzentren erforderlich machen. Die Mehrzahl der für die Studie befragten Unternehmen (61 %) gab an, drei oder mehr VPN-Gateways zu betreiben. Dadurch entsteht zusätzliche Komplexität, die die Verwaltung und Skalierung erschwert.

Zero Trust als zukunftsfähige Alternative

Eine eindeutige Mehrheit der befragten Sicherheitsexperten (71 %) stimmte der Einschätzung zu, dass VPNs ein untragbares Risiko für ihre Organisation bedeuten, und will entsprechend auf sicherere Zero-Trust-basierte Alternativen umstellen. Laut Angaben von Cybersecurity Insiders ist bei 80 % der Organisationen die Umstellung auf Zero Trust für dieses Jahr geplant bzw. aktuell im Gang oder bereits abgeschlossen. Das entspricht einem Anstieg von 12 % gegenüber dem Vorjahr.

Immer mehr Organisationen stellen von VPN auf ZTNA um

Laut Schätzungen von Gartner werden bis 2025 mindestens 70 % aller neuen Bereitstellungen von Remotezugriff nicht mehr über VPN-Services, sondern über ZTNA abgewickelt werden. Ende 2021 waren es noch weniger als 10 %.

Zscaler hat bereits Tausende von Organisationen wie National Oilwell & Varco, Sanmina und West Fraser bei der Umstellung von Legacy-VPN auf Zscaler Private Access – unseren Zero Trust Network Access der nächsten Generation – unterstützt.

Wenn Sie nach einer Möglichkeit suchen, Ihr lokales oder in der Cloud gehostetes VPN schrittweise zu optimieren oder zu ersetzen, sind die Hinweise auf dieser Seite möglicherweise für Sie interessant. In jedem Fall empfehlen wir Ihnen dringend, Sicherheitslücken in Ihrem VPN zeitnah zu patchen. Weitere Tipps und Informationen finden Sie in unseren Ressourcen zum Thema:

· Infografik: 10 VPN-Risiken, über die man Bescheid wissen sollte

· VPN Risk Report 2022 von Cybersecurity Insiders und Zscaler