M 2.419 Geeignete Auswahl von VPN-Produkten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Unternehmen und Behörden haben vielfältige Anforderungen an Netze, wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. Die Ergebnisse der Maßnahmen M 3.65 Einführung in VPN-Grundbegriffe und M 2.416 Planung des VPN-Einsatzes sind ebenfalls einzubeziehen.

VPN-Produkte unterscheiden sich in ihrem Leistungsumfang, den angebotenen Sicherheitsmechanismen, dem Bedienkomfort und der Wirtschaftlichkeit. Zudem stellen sie unterschiedliche Voraussetzungen an Hardware- und Software-Komponenten im Einsatzumfeld.

Bevor ein VPN-Produkt beschafft wird, sollte eine Anforderungsliste für die Bewertung der am Markt erhältlichen Produkte erstellt werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen.

Wird ein Dienstleister beauftragt, ein VPN bereitzustellen, kann in der Regel die Auswahl der Produkte, die vom Dienstleister betrieben werden, nicht beeinflusst werden. Hinweise zur Auswahl von VPN-Dienstleistern sind in M 2.420 Auswahl eines Trusted-VPN-Dienstleisters zu finden.

Ein VPN besteht meistens aus der Kombination von mehreren Hardware- und Software-Komponenten. Zunächst kann grob zwischen LAN-seitigen und Client-seitigen Komponenten unterschieden werden. Die konkret zu beschaffenden Komponenten hängen von der gewählten VPN-Systemarchitektur ab. In großen Institutionen werden oft mehrere VPN-Verbindungen gleichzeitig für unterschiedliche Einsatzzwecke betrieben. Hierfür sind in der Regel besondere IT-Systeme (Hardware mit Software) erforderlich, die speziell für den Einsatz als VPN-Server konzipiert sind.

Verschiedene Hersteller bieten VPN-Komponenten als Appliances an. Dabei handelt es sich um vorkonfigurierte Geräte, die nur für einen genau vorgegebenen Einsatzzweck (hier: VPN-Endpunkt) hergestellt und konfiguriert werden. Gegenüber dem Aufbau einer zentralen VPN-Komponente aus Standard-IT-Komponenten, die (in Eigenregie oder durch einen Dienstleister) entsprechend konfiguriert werden, bieten Appliances oft den Vorteil einer einfacheren Konfiguration. Dem steht jedoch meist der Nachteil gegenüber, dass die Konfiguration weniger flexibel ist und weniger Möglichkeiten zur Anpassung an individuelle Bedürfnisse bietet.

Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden:

Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden, die aus den geplanten konkreten Einsatzszenarien resultieren (siehe Maßnahme M 2.415 Durchführung einer VPN-Anforderungsanalyse).

Allgemeine Kriterien

Funktion

Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert, so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden, inwieweit sie diese Anforderungen erfüllen. Es ist zu erwarten, dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden.

Vor der Installation muss überprüft werden, ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar. Die Entscheidung muss daher gut überlegt sein, da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind.

Prüffragen: