M 2.420 Auswahl eines Trusted-VPN-Dienstleisters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Der eigenständige Betrieb eines VPNs erfordert oft ein hohes Fachwissen des zuständigen Administrators. Neben VPN-spezifischen Einstellungen müssen zusätzlich kryptographische Aspekte berücksichtigt und die Anbindung an öffentliche Netze optimiert werden. Werden alle Einstellungen bestmöglich gewählt, so kann die Vertraulichkeit und Integrität der Daten geschützt werden, die Verfügbarkeit hingegen kann nicht beeinflusst werden. Ausfälle im öffentlichen Netz, an das das VPN-Gateway angeschlossen ist, können weiterhin den Datenfluss zwischen den zu verbindenden Standorten unterbrechen.

Eine Alternative zu diesen eigenständig administrierten "Secure-VPNs" sind "Trusted-VPNs". Bei einem Trusted-VPN wird ein externer Dienstleister mit der sicheren Übermittlung der Informationen beauftragt. Durch vertragliche Vereinbarungen kann der Dienstleister verpflichtet werden, die übertragenen Informationen bezüglich der Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.

Anstatt über öffentliche Netze, wie dem Internet, werden die Informationen bei Trusted-VPNs in der Regel über dedizierte Leitungen des Anbieters (Carrier-Netz) übertragen. Da das Carrier-Netz unter der Kontrolle des Dienstleisters steht, kann dieser den Schutz der Informationen bis zu einem gewissen Grad garantieren.

Aus der Sicht des Kunden stellt der Dienstleister Geräte zur Verfügung, die an die zu verbindenden LANs des Kunden angeschlossen werden. Da die Daten vom Dienstleister oftmals nicht verschlüsselt werden und die gesamte Betreuung beim externen Dienstleister liegt, sollten Trusted-VPNs nur bei wenig schutzwürdigen Daten ohne zusätzliche Sicherheitsmechanismen des Kunden verwendet werden. Selbst in diesem Fall ist eine zusätzliche Verschlüsselung der Daten auf Kundenseite sehr empfehlenswert. Bei höherem Schutzbedarf muss vor Übertragung der Daten eine Verschlüsselung durchgeführt werden.

Ein großer Nachteil von Trusted-VPNs stellt die oft starke Abhängigkeit zum Dienstleister dar. Ein Wechsel zu einem anderen Dienstleister ist oft mit einem sehr hohen Aufwand verbunden.

Ein großer Vorteil von Trusted-VPNs ist, dass die entsprechenden Service-Provider oft länderübergreifend präsent sind. Gerade im internationalen Umfeld ist es für eine Institution nur eingeschränkt möglich, an allen Standorten qualifiziertes Personal und Prozesse für den Betrieb eines eigenen VPNs bereitzustellen.

Bei der Auswahl eines Trusted-VPN-Dienstleisters sowie den darauf folgenden Vertragsverhandlungen sollten die in M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters und M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister beschriebenen Aspekte berücksichtigt werden. Für den Betrieb eines Trusted-VPNs sind darüber hinaus folgende Punkte zu beachten:

Alle vereinbarten Leistungen müssen so genau und eindeutig wie möglich schriftlich festgehalten werden. Die Sicherheit des Trusted-VPNs muss regelmäßig kontrolliert werden, damit es auch ein vertrauenswürdiges Netz bleibt. Der Auftraggeber muss die dazu notwendigen Berechtigungen besitzen. Untersuchungsergebnisse von unabhängigen Dritten sollten dem Auftragnehmer mitgeteilt werden. Allen Institutionen, die beim Auftraggeber Prüfungen durchführen müssen (z. B. Aufsichtsbehörden) müssen auch beim VPN-Dienstleister die entsprechenden Kontrollmöglichkeiten (z. B. Zutrittsrechte, Dateneinsicht) eingeräumt werden.

Prüffragen: