VPN als Schutz. Sein oder nicht sein?

Mehr als 600 bekannte Schwachstellen in VPN-Produkten sind in der CVE-Datenbank registriert. Laut dem Zscaler VPN Risk Report 2022 verlassen sich trotzdem 95 Prozent der Unternehmen auf VPN als primären Remote-Access-Mechanismus. Gleichzeitig beobachteten 44 Prozent einen Anstieg von Angriffen auf ihre VPN-Infrastruktur. Das Sicherheitsversprechen von VPN hält der Realität nicht stand.

Was VPN tatsächlich leistet — und was nicht

VPN verschlüsselt den Datenverkehr zwischen dem Endgerät und dem VPN-Gateway und verbirgt die IP-Adresse des Nutzers gegenüber dem Zielserver. Das schützt in unsicheren Netzwerken (öffentliches WLAN, Hotel, Flughafen) vor passivem Mitlesen und bestimmten Man-in-the-Middle-Angriffen.

Was VPN nicht leistet:

• Kein Schutz vor Phishing: VPN verschlüsselt den Transport, nicht den Inhalt. Wer Zugangsdaten auf einer Phishing-Seite eingibt, wird trotz VPN kompromittiert
• Kein Schutz kompromittierter Endgeräte: Ist das Gerät eines Mitarbeiters mit Malware infiziert, tunnelt VPN den Schadverkehr direkt ins Unternehmensnetz
• Kein Identitätsnachweis: VPN authentifiziert die Verbindung, nicht den Nutzer. Gestohlene VPN-Credentials gewähren vollen Netzwerkzugang
• Keine granulare Zugriffskontrolle: Klassische VPNs gewähren nach erfolgreicher Verbindung Zugang zum gesamten Netzwerk — nicht nur zu den Ressourcen, die der Nutzer tatsächlich benötigt

VPN-Schwachstellen als Angriffsvektor

VPN-Appliances selbst sind hochwertige Ziele. Sie stehen per Definition am Netzwerkrand und sind aus dem Internet erreichbar. Kritische Schwachstellen in VPN-Produkten von Fortinet (CVE-2024-21762), Ivanti (CVE-2024-21887), Palo Alto Networks (CVE-2024-3400) und Cisco (CVE-2023-20269) wurden in den letzten Jahren aktiv ausgenutzt — teils als Zero-Days, bevor Patches verfügbar waren.

Die CISA hat mehrfach Notfall-Direktiven zu VPN-Schwachstellen herausgegeben. VPN-Appliances gehören zu den am häufigsten in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommenen Produktkategorien.

Zuverlässigkeitsprobleme auf mobilen Geräten

Selbst die grundlegende Funktion — Verschlüsselung des gesamten Datenverkehrs — ist nicht garantiert. Mullvad dokumentierte im Oktober 2022, dass Android Connectivity-Check-Traffic am VPN vorbeileitet, selbst wenn die Option „VPN immer aktiv” und „Verbindungen ohne VPN blockieren” aktiviert ist. iOS hat ähnliche Probleme: Mysk-Forscher zeigten, dass Apple-Dienste VPN-Tunnel umgehen.

Für Unternehmen bedeutet das: Selbst bei korrekt konfiguriertem VPN können sensible Metadaten das Gerät unverschlüsselt verlassen.

Zero Trust als Alternative

Der Zero-Trust-Ansatz löst die grundlegenden Architekturprobleme von VPN. Statt dem gesamten Netzwerk nach erfolgreicher VPN-Verbindung zu vertrauen, wird jeder Zugriff einzeln authentifiziert und autorisiert:

• Identity-basierter Zugriff: Nicht das Netzwerk, sondern die Identität des Nutzers bestimmt, welche Ressourcen erreichbar sind
• Device Compliance: Nur verwaltete, konforme Geräte erhalten Zugang — unabhängig vom Standort
• Least Privilege: Zugriff wird granular gewährt — auf Anwendungsebene, nicht auf Netzwerkebene
• Continuous Verification: Die Zugriffsberechtigung wird kontinuierlich überprüft, nicht nur zum Verbindungsaufbau

Microsoft, Google und das NIST (SP 800-207) propagieren Zero Trust als Ablösung des perimeterbasierte Sicherheitsmodells, auf dem VPN basiert. Für Unternehmen, die noch nicht vollständig auf Zero Trust umstellen können, empfiehlt sich als Zwischenschritt: MFA für VPN-Zugänge verpflichtend machen, Netzwerksegmentierung implementieren und VPN-Appliances in das SIEM-Monitoring einbinden.