Datensicherheit im Fokus – VPN und ZTNA unter der Lupe

23.12.2022

Die Arbeitswelt wird digitaler – immer mehr Unternehmen stellen ihre Arbeitsweise um und verzichten auf Papier, Aktenordner & Co. Zudem sind moderne Arbeitsmodelle wie Remote Work und hybrides Arbeiten weiter auf dem Vormarsch und ermöglichen Arbeitnehmern eine flexible Arbeitsgestaltung sowie eine individuelle Work-Life-Balance.
Doch all diese Veränderungen bringen es mit sich, dass das Thema Daten- bzw. IT-Sicherheit nicht außer Acht gelassen werden darf. Zum Schutz des eigenen Unternehmens müssen Systeme stets vor externen Cyber-Angriffen optimal geschützt sein, auch wenn die Mitarbeiter nicht in den Büroräumlichkeiten arbeiten, sondern von außerhalb auf das Unternehmensnetzwerk zugreifen wollen.
Hier setzen VPN- und ZTNA-Softwarelösungen an.

Was sind VPN und ZTNA?

VPN und ZTNA sind heutzutage absolut notwendig, wenn Mitarbeiter vom Homeoffice oder von unterwegs für ihr Unternehmen arbeiten wollen – sei es, um die E-Mails zu checken, den Kollegen im Intranet zu schreiben oder spezielle Daten einzusehen bzw. abzurufen. Dabei besteht jedoch immer das Risiko, vor allem bei der Nutzung von öffentlichem WLAN, dass Unbefugte den Datenverkehr einsehen können. Besonders wenn es sich um sensible Geschäftsdaten, aber auch Kunden- oder Beschäftigtendaten handelt, drohen neben dem Datenverlust zudem allgemeine Imageschäden oder sogar Bußgeldbescheide der Aufsichtsbehörden. Entsprechende Sicherheitsanwendungen wie VPN oder ZTNA sorgen also dafür, dass die Daten nicht mehr von Unbefugten mitgelesen werden können und bieten gleichzeitig für die Firmenmitarbeiter Zugriff auf die unternehmenseigenen Laufwerke.

VPN ist die Abkürzung für Virtual Private Network. Mit einer VPN-Software wie NordVPN kannst du von außen auf ein bestehendes Netzwerk zugreifen, egal, ob es sich dabei um ein Unternehmens- oder ein privates Netzwerk handelt. Hierbei wird eine Art verschlüsselter Tunnel geschaffen, durch den der Zugriff auf das Firmennetzwerk und die entsprechenden Anwendungen ermöglicht wird. Die Authentifizierung erfolgt in der Regel über Single Sign-On (kurz: SSO), also eine einmalige Anmeldung. So kann der Mitarbeiter nach dem erfolgreichen Aufbau der VPN-Verbindung genauso arbeiten, als wäre er im Büro.

ZTNA steht für Zero Trust Network Access und bildet eine Komponente des Sicherheitsmodells Secure Access Service Edge (kurz: SASE), das darüber hinaus eine Next Generation Firewall (kurz: NGFW) und andere Services auf einer zentralen Cloud-Plattform kombiniert. Wie es der Name schon sagt, geht es im übertragenen Sinne darum, „nichts und niemandem“ zu vertrauen, um so kein Risiko bezüglich der Datensicherheit einzugehen. Das heißt genauer, die Verbindung erfolgt auf einer vorab definierten Anwendungsebene mit minimaler Rechtevergabe bzw. der einzelne Zugriff des jeweiligen Mitarbeiters ist nicht an einem allgemeinen Netzwerkzugriff gebunden (auch separate Applikationsverbindung genannt). Im Hintergrund überprüft der sogenannte Software-Defined-Perimeter, ob der angefragte Zugriff berechtigt ist – das heißt, jede einzelne Verbindung wird vorab geprüft und authentifiziert. ZTNA stellt in diesem Zusammenhang nur ausgehende Verbindungen her und gewährleistet so, dass die Netzwerk- und die Anwendungsinfrastruktur für Unbefugte unsichtbar sind. Das Netzwerk ist also unauffindbar.

Wie unterscheiden sich VPN und ZTNA?

Die VPN-Technologie wurde bereits in den 1990er-Jahren entwickelt – seitdem hat sich in der Arbeitsweise der Unternehmen viel verändert und diese Technologie hat sich in diesem Zusammenhang stets verbessert. Der digitale Wandel ist mittlerweile in nahezu jeder Branche zu verzeichnen. Viele Unternehmen setzen bereits auf virtuelle Infrastrukturen und hybride Arbeitsmodelle. Daher ist es mehr denn je dringend erforderlich, Mitarbeiter und die Unternehmen zu schützen.

Der größte Unterschied zwischen beiden Softwarelösungen liegt in der Zugriffsverwaltung. Bei einem traditionellen VPN erfolgt eine einmalige Anmeldung und der Mitarbeiter hat Zugriff auf das komplette Unternehmensnetzwerk. Ein ZTNA arbeitet hierbei in drei Schritten: Es identifiziert den Benutzer, validiert das Gerät und prüft anschließend den Zugang zur Anwendung. Dabei gilt: Nur wenn alle Angaben stimmig und vertrauenswürdig sind, wird der Zugang mit ZTNA zugelassen, denn prinzipiell wird allem und jedem misstraut. Demzufolge ist die Angriffsfläche für Unbefugte deutlich kleiner, da hier dem Benutzer nur einzelne Anwendungen freigegeben werden und nicht wie beim VPN das gesamte Unternehmensnetzwerk und demzufolge alle Ressourcen und Daten.

Bezüglich der Installation gibt es einen weiteren Unterschied zwischen beiden Modellen. ZTNA ist in den meisten Fällen komplett Software-definiert, wodurch der Aufwand für das Appliance-Management entfällt. ZTNA führt auch zur Vereinfachung der eingehenden Datenmengen, da Unternehmen eine VPN-Software, den Schutz vor Cyber-Angriffen, die auf Überlastung von Web-Servern oder ganzen Netzwerken zielen (Distributed Denial of Service, kurz: DDoS), globalen Lastenausgleich und Firewall-Anwendungen nicht mehr benötigen.
Die einfache Installation einer VPN-Software ist für die meisten Unternehmen heutzutage nicht ausreichend, vor allem dann nicht, wenn sie Cloud-basiert arbeiten. Aus Gründen der Unternehmenssicherheit sollten hier eigene VPN-Server eingerichtet werden. Ist dies nicht umsetzbar oder gar rentabel, sollte zumindest bei der Auswahl des VPN-Anbieters besonders auf dessen Zuverlässigkeit und Vertrauenswürdigkeit geachtet werden. Es muss bedacht werden, dass der VPN-Anbieter im Gegensatz zu potenziellen Angreifern den gesamten Datenverkehr einsehen kann, der über sein Netzwerk läuft.

Unterschiede VPN und ZTNA auf einen Blick:

Auch wenn sich diese beiden Sicherheitsmodelle deutlich voneinander unterscheiden, so haben sie doch drei entscheidende Gemeinsamkeiten: Sie ermöglichen Mitarbeitern flexibles Arbeiten außerhalb der Büroräumlichkeiten, sie schützen das Unternehmensnetzwerk vor externen Cyber-Angriffen und lassen sich sehr gut in die Systemlandschaft des Unternehmens integrieren. Somit bilden diese Lösungen, egal für welche du dich letztlich entscheidest, eine tragende Säule innerhalb jeder Cyber Security-Strategie.