Remote Access 2.0

VPN-Alternativen und die Modernisierung des Fernzugriffs

VPN
LinkedInRedditWhatsApp

Herkömmliche VPNs wurden für eine andere Ära entwickelt und können einfach nicht mehr mithalten. Tatsächlich äußern 91 Prozent der Sicherheitsverantwortlichen Bedenken, dass VPNs zu einer Sicherheitsverletzung führen könnten.

Unternehmen benötigen dennoch eine Lösung, um Mitarbeiter und Drittanbieter miteinander zu verbinden. Da Angreifer jedoch zunehmend gestohlene Anmeldedaten, Fehlkonfigurationen und zu freizügige Netzwerktunnel ausnutzen, ist klar: VPNs reichen nicht mehr aus – es ist Zeit, den sicheren Fernzugriff zu modernisieren.

Anzeige

Eine VPN-Fernzugriffslösung verbindet Benutzer mit dem Netzwerk eines Unternehmens, indem sie einen verschlüsselten Tunnel zwischen einem Gerät und den internen Systemen des Unternehmens erstellt. So wird eine direkte Verbindung hergestellt, die dem Endpunkt einen umfassenden Zugriff auf die Ressourcen des Unternehmens ermöglicht.

Das in den 1990er Jahren entwickelte VPN-Modell eignete sich traditionell besonders gut für lokale Umgebungen, in denen Mitarbeiter von einigen wenigen Unternehmenslaptops aus eine Verbindung zu einem zentralen Netzwerk herstellten. Einige Jahrzehnte später hat sich die Welt dramatisch verändert, VPNs jedoch im Allgemeinen nicht: Der VPN-Client authentifiziert in der Regel Benutzer, baut den Tunnel auf und leitet den Datenverkehr so weiter, als befände sich der Benutzer physisch im internen Netzwerk. Diese direkte Verbindung sorgt für Geschwindigkeit und eine nahtlose Benutzererfahrung, hat aber auch Nachteile.

Die VPN-Technologie ist seit Jahrzehnten weitgehend unverändert geblieben und sie wurde nie für die heutigen hybriden Umgebungen und komplexen Bedrohungen entwickelt. Da Remote-Mitarbeiter immer häufiger werden, das Ökosystem von Drittanbietern wächst und Angreifer VPN-Schwachstellen ins Visier nehmen, ist es wichtiger denn je, den Remote-Zugriff zu modernisieren.

Anzeige

Ausnutzung von Schwachstellen: VPNs als erste Angriffsvektoren

Seit Jahren ist ein stetiger Anstieg raffinierter Cyberangriffe, die auf VPNs als ersten Angriffspunkt abzielen, zu verzeichnen. Von Ivanti Connect Secure bis Cisco und darüber hinaus gibt es zahlreiche Beispiele aus der Praxis, die die Risiken von Zero-Day-Schwachstellen in VPNs verdeutlichen.

Untersuchungen zeigen, dass diese Bedrohung sogar noch zunimmt. Laut Data Breach Investigations Report 2025 von Verizon haben sich Zero-Day-Exploits, die auf Edge-Geräte und VPNs abzielen, im letzten Jahr fast verachtfacht, und 56 Prozent der Unternehmen waren im letzten Jahr mindestens einmal von einem VPN-bezogenen Cyberangriff betroffen.

Standardmäßig unsicher: Offene VPN-Ports

Die meisten VPN-Lösungen öffnen mindestens einen TCP-Port für das Internet. Je nach Produkt und Konfiguration können viele Ports offen und über das Internet zugänglich sein, darunter IPSec über UDP-Port, DNS-Port, Fernzugriffsport etc. Das bedeutet, dass jeder im Internet versuchen kann, ein VPN mit bekannten Schwachstellen, die noch nicht gepatcht sind, oder unbekannten Schwachstellen, die nicht gepatcht werden können, zu hacken.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Manuelle Arbeit und Herausforderungen hinsichtlich der Skalierbarkeit

Die Konfiguration eines VPN kann kompliziert sein und zu viel Spielraum für Sicherheitsfehler mit schwerwiegenden Folgen lassen. Als beispielsweise Cisco-Kunden keine MFA für ihre VPN-Clients konfigurierten, konnten Angreifer Brute-Force-Angriffe oder kompromittierte Anmeldedaten nutzen, um sich Zugang zum Netzwerk zu verschaffen. Diese Herausforderung wird mit dem Wachstum von Netzwerken, Belegschaften und Anbieterlandschaften immer arbeitsintensiver.

Unzureichende Transparenz und Kontrolle

VPNs funktionieren nach dem Alles-oder-Nichts-Prinzip: Sobald eine Verbindung über ein VPN hergestellt ist, erhalten Benutzer in der Regel uneingeschränkten Zugriff, da herkömmliche Lösungen keine Geräte- und Benutzererkennung bieten. Daher ist es nicht verwunderlich, dass die Mehrheit der Sicherheitsverantwortlichen nach VPN-bezogenen Angriffen von seitlichen Bewegungen berichtet. Sobald Angreifer über VPNs ersten Zugriff auf das Netzwerk erhalten haben, erweist sich die Eindämmung der Sicherheitsverletzung als schwierig. Dieselbe Hürde führt zu uneinheitlichen Sicherheitsstandards für Remote- und On-Prem-Verbindungen. Aaron Steinke, Head of Infrastructure bei La Trobe Financial, sagte „In der Vergangenheit haben wir festgestellt, dass man oft in eine Situation gerät, in der Menschen über mehr Netzwerkzugriff verfügen, wenn sie sich im VPN befinden, weil man sie nicht gut genug kategorisieren und klassifizieren kann.“

Rasch steigende Risiken durch den Zugriff Dritter

Von Anbietern und Beratern bis hin zu einer Vielzahl anderer Drittanbieter – die Anbindung externer Stellen an das Netzwerk ist für moderne Geschäftsabläufe von entscheidender Bedeutung, birgt jedoch ein zunehmend untragbares Risiko. Im vergangenen Jahr waren 30 Prozent der Sicherheitsverletzungen in irgendeiner Form mit der Beteiligung Dritter verbunden – ein Anstieg von 15 Prozent gegenüber dem Vorjahr. Im Gegenzug sind 92 Prozent der Unternehmen besorgt, dass Dritte über VPNs potenzielle Hintertüren in das Netzwerk schaffen könnten.

Sicherheit beim Fernzugriff: Moderne Anforderungen

Sicherheitsteams benötigen heute einen dynamischen, kontextbezogenen Zugriff, der sich an Identität, Gerät und andere Risikofaktoren anpasst. Um diesen Anforderungen gerecht zu werden, basieren moderne Lösungen für den sicheren Fernzugriff in der Regel auf einigen wenigen Grundprinzipien:

  • Geringstmögliche Berechtigungen: Benutzer sollten nur auf die spezifischen Systeme oder Anwendungen zugreifen können, die für ihre Rolle erforderlich sind.
  • Identitätsbasierte Kontrolle: Zugriffsentscheidungen sollten auf der Identität von Benutzern, Geräten oder Anwendungen basieren.
  • Kontinuierliche Überprüfung: Jede Sitzung und Transaktion müssen dynamisch authentifiziert und autorisiert werden. Chris Boehm, Field CTO bei Zero Networks, erklärt, dass die kontinuierliche Überprüfung auf Verhaltens- und Kontextfaktoren basieren sollte: Kontinuierliche Überprüfung sollte nicht mehr MFA-Abfragen oder strengere NAC-Regeln bedeuten. Das sind momentane Überprüfungen, die in dem Moment ablaufen, in dem der Zugriff gewährt wird. Eine echte kontinuierliche Überprüfung erfolgt durch die Verwendung von Verhaltens- und Kontextsignalen wie Prozessaktivität, Kommunikationsmuster und Zeitplanung, um das Vertrauen dynamisch neu zu bewerten.“
  • Netzwerkunsichtbarkeit: Um die Angriffsfläche zu verringern, sollten interne Ressourcen niemals direkt dem Internet ausgesetzt sein.
  • Umfassender, mehrschichtiger Schutz: Moderne Lösungen sollten einen umfassenden Schutz für alle Dimensionen des Netzwerkverkehrs ermöglichen und Mikrosegmentierung, identitätsbasierte Zugriffskontrollen, sichere Fernzugriffsfunktionen und Just-in-Time-MFA kombinieren, um unbefugte laterale Bewegungen zu verhindern und die allgemeine Sicherheitslage zu verbessern.

VPN-Alternativen

Da Unternehmen die Sicherheit des Fernzugriffs erheblich verbessern möchten, werden sie wahrscheinlich eine Reihe moderner Alternativen in Betracht ziehen, darunter:

  • Zero Trust Network Access (ZTNA): Bietet sicheren Fernzugriff auf der Grundlage granularer Richtlinien in Übereinstimmung mit dem Zero Trust-Sicherheitsmodell, bei dem Netzwerkvertrauen nicht automatisch gewährt wird. Ohne Ports für das Internet zu öffnen, erzwingt ZTNA detaillierte Zugriffsrichtlinien auf der Grundlage der Benutzeridentität, des Gerätezustands und des Kontexts.
  • Secure Access Service Edge (SASE): Kombiniert Netzwerk- und Sicherheitsfunktionen wie sichere Web-Gateways und Cloud Access Security Broker. SASE integriert häufig ZTNA als Kernkomponente für sicheren Fernzugriff.
  • Software-Defined Perimeter (SDP): Erstellt verschlüsselte Perimeter um bestimmte Anwendungen und gewährt nach Authentifizierung und Autorisierung dynamisch Zugriff auf einzelne Ressourcen.

Anstatt ein Fernzugriffs-VPN gegen ein neueres Tool mit ebenso vielen Kompromissen auszutauschen, sollten Unternehmen sichere Fernzugriffslösungen sorgfältig auf ihre Fähigkeit hin bewerten, eine detaillierte Kontrolle und umfassende Transparenz ohne Latenz zu bieten.

Bei der Auswahl einer Lösung gilt es Fragen zu stellen wie:

  • Basiert die Lösung auf einem Modell mit minimalen Berechtigungen, das eine detaillierte Zugriffskontrolle für Anwendungen und Ressourcen ermöglicht?
  • Bietet die Lösung Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA), die sich in Ihren bestehenden Identitätsanbieter (IdP) integrieren lassen?
  • Bleiben die IP-Adressen aller Benutzer sichtbar, während sie sich innerhalb des Unternehmens verbinden?
  • Wie leitet die Lösung den Datenverkehr weiter, um sicherzustellen, dass die Benutzererfahrung nicht durch Latenz beeinträchtigt wird?

Überlegungen wie diese helfen Sicherheitsteams dabei, sicherzustellen, dass sie in eine moderne, dynamische Sicherheitslösung für den Fernzugriff investieren.

Moderner Fernzugriff: Geschwindigkeit von VPN und Sicherheit von ZTNA

Moderne Lösungen für Identity Segmentation definieren den Fernzugriff neu, indem sie die Sicherheit von ZTNA mit der Geschwindigkeit und Einfachheit von VPN kombiniert. Mit Just-in-Time-MFA werden vorübergehend Ports für authentifizierte Benutzer geöffnet, während der Rest des Netzwerks unsichtbar bleibt. Dies ermöglicht einen sicheren Fernzugriff auf vorab genehmigte Anwendungen und Dienste ohne Latenz oder übermäßige Berechtigungen.

In Kombination mit der automatisierten, identitätsbasierten Mikrosegmentierung und einer MFA auf Netzwerkebene erleichtert dieser umfassende Ansatz den Sicherheitsteams die Durchsetzung des Prinzips der geringsten Privilegien für jede Verbindung.


Kay Ernst

Kay

Ernst

DACH-Manager

Zero Networks

Anzeige
19. Januar 2026
Vom Risiko zur Routine: Schwachstellen systematisch schließen
SAP
19. Januar 2026
SAP und Fresenius digitalisieren Kliniken mit KI
Ein MES-System als zentrales System in der Fertigung ist die Schnittstelle für alle Datenströme und steuert die Produktion aktiv nach Nachhaltigkeitskriterien. AdobeStock
19. Januar 2026
Nachhaltigkeit als geschäftskritischer Wettbewerbsfaktor
China Tech
19. Januar 2026
EU plant Zwangsausstieg aus chinesischer Netzwerktechnik

Weitere Artikel

Vom Risiko zur Routine: Schwachstellen systematisch schließen
IT-Sicherheit zwischen Regulierung und KI
Ein Jahr DORA: Regulatorischer Druck macht Resilienz zur Chefsache
Die wichtigsten Themen für 2026 im Bereich IT-Sicherheit 
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.