Zscaler-Studie

Zero Trust – das neue VPN

Einer aktuellen Studie zufolge haben Unternehmen seit dem Remote-Work-Shift zunehmend mit Angriffen auf VPNs zu kämpfen. Die Lösung heißt in vielen Fällen Zero Trust.
Von 
CSO | 27. September 2022 08:35 Uhr
Virtual Private Networks werden den Anforderungen des Remote- und Hybrid-Work-Zeitalters nicht mehr gerecht.
Virtual Private Networks werden den Anforderungen des Remote- und Hybrid-Work-Zeitalters nicht mehr gerecht.
Foto: Tartila - shutterstock.com

In Sachen Fernzugriff von Virtual Private Networks (VPNs) abhängig zu sein, stellt für Unternehmen ein erhebliches Risiko dar, denn Social-Engineering-, Malware- und Ransomware-Angriffe werden immer raffinierter und nehmen inzwischen gezielt VPNs ins Visier. Zu diesem und weiteren Ergebnissen kommt der aktuelle "VPN Risk Report 2022" des Cloud-Sicherheitsanbieters Zscaler.

Mehr als 95 Prozent der in diesem Rahmen befragten Unternehmen nutzen heute einen VPN-Dienst für sicheren Fernzugriff. Das sind laut dem Report noch einmal zwei Prozent mehr als im Vorjahr. Zscaler hält das für einen mutigen Schritt angesichts fast 500 bekannter VPN-Schwachstellen in der CVE-Datenbank. So ist es nicht verwunderlich, dass 44 Prozent der befragten Unternehmen eine Zunahme von Angriffen auf ihre VPNs festgestellt haben - 71 Prozent machen sich inzwischen Sorgen, dass die VPN-Netzwerke ihre Sicherheitsmaßnahmen gefährden könnten.

"Es ist nicht verwunderlich, dass VPN nicht mehr mit den heutigen Anforderungen Schritt halten kann. VPNs wurden zu einer Zeit entwickelt, als die Netzwerktopologien noch ganz anders aussahen und es nur ein einziges Unternehmensnetzwerk gab, auf das alle zugriffen", blickt Ananth Nag zurück, Senior Regional Vice President bei Zscaler.

"VPNs sind nicht mehr tragbar"

Die Mehrheit der von Zscaler befragten Unternehmen (61 Prozent) hat drei oder mehr VPN-Gateways im Einsatz. In 38 Prozent der Fälle sind es sogar mehr als fünf. Jedes Gateway erfordert eine Reihe von Appliances, zu denen häufig das VPN, die interne Firewall, der interne Load Balancer, der globale Load Balancer und die externe Firewall gehören. "Je mehr Gateways ein Unternehmen hat, desto teurer wird der sichere Fernzugriff und desto komplizierter ist er für die IT-Abteilung zu managen", heißt es in dem Bericht. Die Anwendungen laufen dabei in:

  • Rechenzentren (74 Prozent),

  • Private Clouds (49 Prozent),

  • Azure (45 Prozent),

  • AWS (44 Prozent) und

  • Google Cloud (22 Prozent).

Etwa 97 Prozent der Unternehmen geben an zu wissen, dass ihr VPN anfällig für Cyberangriffe und Exploits ist. Sie nutzen die Technologie aber dennoch. "Analysen von Einbrüchen zeigen, dass nur ein einziges infiziertes Gerät oder ein gestohlener Berechtigungsnachweis ausreichen, um ein ganzes Netzwerk zu gefährden. Deshalb haben es Cyberkriminelle auf Benutzer abgesehen, die über ein VPN zugreifen", heißt es im Zscaler-Report.

Nag versucht das Dilemma in Worte zu fassen: "Heutzutage werden Anwendungen in die Cloud verlagert, ein Netzwerk, das das Unternehmen nicht kontrolliert. Die Benutzer erwarten, dass sie nahtlos außerhalb des Netzwerks und von jedem Gerät aus arbeiten können. Remote Access VPNs haben in der netzwerkzentrierten Welt gut funktioniert, aber im Zeitalter von Cloud und Mobilität, wo es virtuelle Grenzen um den Benutzer, das Gerät und die Anwendung gibt, sind sie nicht mehr tragbar."

Anhaltende Risiken von Legacy-VPNs haben zu einer allmählichen Verlagerung in Richtung Zero-Trust-Sicherheitsarchitektur geführt: Laut der Studie planen oder implementieren 80 Prozent der befragten Unternehmen aktiv ein Zero-Trust-Modell. Anders als bei VPNs könnten Nutzer dann nicht mehr in dasselbe Netzwerk gelangen, in dem geschäftskritische Informationen vorgehalten werden. Die Segmentierung von User Apps verhindere, dass sich Angreifer lateral durch Netzwerke bewegen könnten, so die Studienautoren. (fm)

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.