Digital Encryption Lock Conceptual Illustration. Data Safety in IT Technology.

VPN Sicherheitskonzept unter Berücksichtigung des Schutzbedarfs

VPN ist eine tolle Möglichkeit den dezentralen Zugriff auf zentrale IT & Daten im Firmennetzwerk zu ermöglichen. Die grundsätzliche Funktionsweise und wichtige Hinweise habe ich bereits hier zusammengestellt. Doch die Technologie ermöglicht auch neue Angriffspunkte. Insofern sollten Sie überlegen, welche IT-Systeme und Daten vom Unternehmen über VPN erreichbar sein müssen und welche Sicherheitsrisiken damit entstehen können.

Wenn Sie den Zugriff via VPN zulassen möchten, sollten Sie sich frühzeitig Gedanken über ein entsprechendes Sicherheitskonzept machen. Hierbei spielt der Schutzbedarf der über VPN zugänglich gemachten IT-Systeme eine zentrale Rolle.

Grundsätzlich ist davon abzuraten, bei dem Aufbau eines VPN-Tunnels direkt den Zugriff auf das Netzwerk-Hauptsegment zu ermöglichen. Zur besseren Trennung und Erhöhung der Kontrolle können Sie den VPN-Router (bzw. VPN-Server) in einem separaten Netzwerksegment aufbauen. Jede eingehende VPN-Verbindung Ihrer externen Verbindungspartner wird in diesem Netzwerksegment stattfinden.

Von diesem Netzwerksegment können Sie gezielt – ggf. auch anhand eines Berechtigungskonzepts – den Zugriff auf einzelne Netzwerkkomponenten bzw. IT-Systeme ermöglichen. So ist es möglich kritische IT-Systeme von VPN-Zugriff auszuschließen.

Gehen Sie bei dem Aufbau der VPN-Zugriffsberechtigungen Risiko- und Anforderungsorientiert vor. Hierfür eignet sich beispielsweise folgendes Vorgehensmodell:

  1. Anforderungsanalyse: identifizieren Sie alle IT-Systeme, die überhaupt für den externen Zugriff benötigt werden
  2. Schutzbedarfsanalyse: evaluieren Sie – sofern noch nicht generell geschehen – ausgehend von den in Schritt 1 identifizierten Anwendungen den jeweiligen Schutzbedarf. Dabei gilt für die VPN-Verbindung übergreifend der Schutzbedarf des schützenswertesten IT-Systems.
  3. Gap-Analyse: Prüfen Sie, ob das Schutzniveau erreicht wird.
  4. Maßnahmen einleiten (Sofern Schutzbedarf nicht erreicht wurde)
    1. Reduktion der in Schritt 1 festgelegten Liste: Falls in der Liste der IT-Systeme ein Nice-To-Have IT-System vorhanden ist, welches aber einen unverhältnismäßig hohen Schutzbedarf aufweist, so überlegen Sie ernsthaft aus Risikosperspektive, ob ein Verzicht auf den Zugriff möglich ist. Anschließend Wiederholung von Schritt 2.
    2. Maßnahmen zur Erreichung des notwendigen Schutzniveaus einleiten. Anschließend Wiederholung von Schritt 3.
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *