G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes
Wird ein Virtuelles Privates Netz (VPN) nicht sorgfältig geplant und aufgebaut, können einzelne Sicherheitslücken des VPNs die Sicherheit aller hiermit vernetzten IT-Systeme beeinträchtigen. Dies kann sogar dazu führen, dass über eine unzureichend gesicherte VPN-Verbindung ein damit gekoppeltes Behörden- oder Unternehmensnetz kompromittiert wird.
Bei fehlender oder unzureichender Planung können sich eine Vielzahl von Problemen ergeben:
- Aufgrund der Auswahl eines ungeeigneten Verschlüsselungsalgorithmus der VPN-Verbindung können Angreifer oder Konkurrenten unter Umständen geschäftskritische Informationen einer Institution erlangen.
- Die Anwendung starker kryptographischer Verfahren muss in bestimmten Ländern genehmigt werden. Dies kann bei Nichtbeachtung zu rechtlichen Konsequenzen führen.
- Bei Internet-basierten VPNs gibt es keine garantierten Laufzeiten. Bei zeitkritischen Anwendungen (zum Beispiel Echtzeit-Maschinensteuerungen) kann dies zu Problemen führen.
- Wenn in der Planung die benötigte Bandbreite nicht richtig eingeschätzt wurde, kann beispielsweise die Übertragungskapazität des VPNs unzureichend sein. Dadurch kann die Nutzung von Anwendungen, die den VPN-Kanal benötigen, eingeschränkt oder sogar verhindert werden.
- Ausbaustufen können unter Umständen nicht umgesetzt werden, wenn bei der Planung und Konzeption des VPNs auf mögliche Erweiterungen keine Rücksicht genommen wurde.
- Es können Komplikationen beim Integrieren der VPN-Endpunkte in bereits vorhandene Sicherheitsgateways entstehen. Diese sind oft darauf zurückzuführen, dass komplexe Einstellungen am Sicherheitsgateway vorgenommen werden müssen.