*Update Oktober 2023: Mit der Übernahme von Alludo wurde Awingu in Parallels® Secure Workspace umbenannt. Die beschriebenen Funktionen und Vorteile in Sicherheit und Flexibilität bleiben unverändert. Mit dem neuen Namen ist Awingu als Parallels Secure Workspace® nun ein vollwertiges Mitglied der Parallels-Familie, neben Parallels® Desktop, Parallels® RAS, Parallels® Toolbox und Parallels® Access.

Freunde würden Freunden kein VPN empfehlen

Dieses Zitat ist frei übersetzt nach einer Aussage, in einem Blogbeitrag von Matthew Sullivan (Originalzitat: Friends don’t let friends use VPNs). In diesem Blogbeitrag hier werden wir besprechen, warum klassische VPN-Lösungen (Virtual Private Network) für Unternehmen nicht mehr „gut genug” sind, um Remote-Arbeit und Telearbeit zu ermöglichen. Im letzten Drittel des Beitrags, stellen wir die Lösung von Awingu vor – eine Alternative zum klassischen VPN-Ansatz.

Der Klarheit halber sei gesagt, dass wir, wenn wir von VPN sprechen, ausdrücklich nicht von P2P-verwalteten VPN-Verbindungen zur Überbrückung von zwei Standorten oder von kommerziellen VPN-Diensten sprechen (von denen angenommen wird, dass sie ein privateres und sichereres Surfen im Internet ermöglichen).

VPN – Virtual Private Network – geht auf die neunziger Jahre zurück. Im Jahr 1996 “erfand” der Microsoft-Mitarbeiter Gurdeep Singh-Pall das PPTP (Point-to-Point Tunneling Protocol). Es bot eine Methode zur Implementierung virtueller privater Netzwerke und einer sicheren Internetverbindung. Im Jahr 1996 zählte die damalige Welt 36 Mio. Internetbenutzer (Quelle). Zwei Drittel davon waren in den USA ansässig. Es gab erstaunliche 100.000 Websites, Netscape war der Browser der Wahl, und mit 33,8 Kbps konnten die Benutzer mit Lichtgeschwindigkeit im Internet surfen. VPN war zu dieser Zeit das geeignete Werkzeug. Natürlich haben sich die Zeiten geändert.

Die typischen Sicherheitsprobleme bei Unternehmens-VPN

Your Content Goes Here

Wenn Sie einmal drin sind, sind Sie wirklich „drin”

Laut einer IDC-Analyse stammen mehr als 40% der Sicherheitsverletzungen von autorisierten Nutzern, wie Auftragnehmern, Verkäufern und Angestellten. Das Problem? VPNs bieten in der Regel keine granularen Kontrollen. Doch die sind für die Zuweisung von Benutzern mit bestimmten Rechten erforderlich. Sobald ein Remote-Benutzer durch ein VPN authentifiziert ist, gilt dieser Benutzer als vertrauenswürdig und erhält Zugriff auf alles im Unternehmensnetzwerk. Dies macht das Unternehmensnetzwerk und seine Ressourcen ziemlich anfällig und offen für Angriffe oder Datenlecks.

Die VPN-Benutzerzugriffsverwaltung ist nicht nur mit dem Active Directory (AD), sondern auch mit den Gerätezertifikaten verknüpft. Das bedeutet, dass beim Ausscheiden eines Mitarbeiters aus dem Unternehmen sein Gerätezertifikat widerrufen werden muss – und wie alle manuellen Tasks, wird das leider oft vergessen.

Die Notwendigkeit, immer die neueste Version einzusetzen

VPN-Plattformen sind beliebt. Auch bei Hackern. Keine Plattform kann von absoluter Sicherheit profitieren, und das gilt sicherlich auch für VPN-Anbieter. Allein im vergangenen Jahr sind viele der beliebtesten und am häufigsten verwendeten VPN-Plattformen im Kern durchbrochen worden – und zwar am Endpunkt. In einigen Fällen dauerte es Wochen, bis die Hersteller einen Sicherheitspatch zur Verfügung stellten, der die Lücke schloss. Im Folgenden ist nur eine kleine Liste der jüngsten Sicherheitslücken aufgeführt:

Die Botschaft ist klar. Vor allem, wenn man bedenkt, dass leicht zu erkennen ist, welche VPN-Technologie von wem verwendet wird: immer die neueste Version laufen lassen, immer alle Sicherheits-Patches anwenden, und zwar sofort. Nebenbei gesagt, sollte dies heutzutage ein Standardverfahren für jede Softwarelösung sein.

Login (nur) mit Passwort

Die Multi-Faktor-Authentifizierung ist das absolute Minimum, das Benutzer zur Authentifizierung mit VPN verwenden sollten. Leider ist sie in vielen Organisationen noch immer nicht Standard (!) Das ist so, als würde man die Tür zum eigenen Haus weit offenlassen. Viele Benutzerkennwörter wurden bereits gehackt und werden in Datenbanken im Darkweb gesammelt (sind auch für Laien schnell zu finden). Mehr noch, indem sie einfach “123456” als Passwort verwenden, haben Hacker bereits eine erstaunliche Chance, hineinzukommen. Übrigens: Die häufigsten Passwörter waren, laut NordPass, im Jahr 2020 folgende:

  • 123456
  • 123456789
  • 12345678
  • password
  • 1234567
  • 123123
  • 1234567890
  • 111111
  • abc123
  • 00000

Noch ein Schmankerl für alle, die im deutschen Ruhrgebiet leben: „schalke“ schafft es auf Platz 95. Bei den Passwörtern leider auch nicht mehr Bundesliga-Niveau, aber immerhin in den Top 100 ????

Kein Wunder, dass eine Studie von Microsoft herausfand, dass die Verwendung von MFA in 99,9% der Fälle Kontoübernahmeangriffe blockiert.

Fazit: Verwenden Sie MFA. Immer. Das ist ein absolutes Minimum.

Kompromittierte Geräte

Endbenutzer müssen die VPN-Verbindung über einen VPN-Client auf ihrem Gerät – meistens ein Laptop – aktivieren. Sobald die Verbindung zwischen dem Gerät und dem Unternehmensnetzwerk hergestellt ist, sind die Tore nach Walhalla in der Regel offen. Selbst wenn diese Authentifizierung mit zusätzlicher Sicherheit wie MFA erfolgt. Das bedeutet: Wenn das Gerät, auf dem der VPN-Client läuft, mit Malware infiziert ist, kann das Öffnen einer VPN-Verbindung auch dazu führen, dass die Malware den Weg in Ihr Firmennetzwerk findet. Oder anders ausgedrückt: Alles, was Sie auf dem Gerät tun können, kann der Angreifer dann auch. Jede Ressource im Firmennetzwerk, die Sie mittels des VPN erreichen können, erreicht auch der Angreifer.

Das ist der Grund, warum Sie VPN nur auf Geräten aktivieren möchten, die sich im Besitz des Unternehmens befinden und verwaltet werden. Die IT-Abteilung muss die optimale Kontrolle über das Gerät haben und sicher sein, dass es mit der neuesten Betriebssystemversion und den neuesten Patches läuft, über einen aktiven Anti-Malware-Service verfügt, das Gerät im Zweifel aus der Ferne zurückgesetzt werden kann usw. Aus genau diesen Gründen sollte VPN auf Geräten, die im privaten Besitz der Mitarbeitenden sind, aus Sicherheitsgründen nur im absoluten Ausnahmefall erlaubt sein.

Flexibilität und UX von VPN

Mittels VPN erweitern Sie Ihr Firmennetzwerk auf ein weiteres Gerät, welches sich beispielsweise in einem privaten Heimnetzwerk befindet. Das Gerät verhält sich im Grunde so, als ob es im LAN laufen würde. Dies hat einige Konsequenzen:

Benutzer können in der Regel alle lokalen Software und Dateien verwenden, die auf dem Gerät selbst laufen.

Beim Zugriff auf Vermögenswerte im Unternehmensnetzwerk werden diese vollständig heruntergeladen (oder hochgeladen); wenn beispielsweise die Arbeit an einer Datenbankdatei auf einem gemeinsam genutzten Laufwerk erledigt wird, wird die Datei ständig herunter- und hochgeladen

Durch die Verwendung von Split-Tunneling kann der Verkehr (wie YouTube und Social Media) über den öffentlichen Internetzugang statt über das VPN geleitet werden. Dies ist jedoch offensichtlich mit anderen Sicherheitsrisiken verbunden. Die Alternative besteht darin, den gesamten Datenverkehr durch das Firmen-VPN zu leiten, was eine Belastung der VPN-Kapazität darstellen kann.

Fazit: VPN bietet den Benutzern (wenn sie einen verwalteten Laptop haben) ihre bekannte Büroerfahrung. Dies geht jedoch zu Lasten der Kapazität.

Jedes Gerät

Aus Sicherheitsgründen ist es also ratsam VPN nur auf Geräten zu aktivieren, die Sie vollständig verwalten. Allerdings sind die meisten VPN-Clients für Unternehmen nicht auf allen Geräten und Betriebssystemen verfügbar (z.B. MacOS-Geräte, Chromebooks, Raspberry Pi, Android-Tablets, …). Dies schränkt Ihre Freiheitsgrade und die Ihrer Benutzer ein.

Kapazität

Wie oben beschrieben, müssen VPN-Plattformen in der Regel eine große Download- und Upload-Kapazität absorbieren. Diese Plattformen werden selten so skaliert, dass 100% der Benutzer gleichzeitig aus der Ferne arbeiten können. Folglich sind Kapazitäts- und damit verbundene Leistungsprobleme eine häufige Herausforderung.

Bei Awingu gehen wir die Dinge anders an

Awingu ist ein browserbasierter Unified Workspace. Er stellt RDP-basierte Anwendungen und Desktops in HTML5 auf jedem Browser zur Verfügung. Er aggregiert auch Dateiserver, Intranets, Webanwendungen, SaaS, … zusammen hinter einer einzigen Glasscheibe mit Single Sign-On. Werfen Sie einen Blick auf die Architektur und die Funktionen von Awingu, um mehr darüber zu erfahren.

Die Basis-Sicherheitsschichten sind bereits eingebaut

Zero Trust SecuritySeinen Benutzern ermöglicht Awingu ein Mindestmaß an IT-Sicherheit für seine Benutzer. Es wird in der Regel in Verbindung mit einem RDS (Terminal Server) und einem RDP-Zugang eingesetzt. Die folgende Auflistung soll einen Überblick darüber geben, welche Sicherheitsstufen Awingu zusätzlich zum üblichen RDP/RDS-Szenario ermöglicht.

      • Multi-Faktor-Authentifizierung

Awingu wird mit einer integrierten MFA-Lösung geliefert und kann (falls erforderlich) Ihre aktuelle Authentifizierungsmethode problemlos integrieren. Durch das Hinzufügen von MFA minimieren Sie das Risiko von “Brute-Force-Angriffen”. Die in Awingu integrierte MFA unterstützt die Verwendung von One-Time-Token (HOTP) und zeitbasierten Token (TOTP). Awingu integriert auch DUO Security, Azure MFA, SMS-Passcode oder Radius-basierte Dienste.

      • Verschlüsselung über HTTPS

Zwischen dem Endbenutzer (Browser) und der virtuellen Appliance von Awingu begünstigt und ermöglicht Awingu die Verschlüsselung über HTTPS. Außerdem erlaubt es die Verwendung von eigenen SSL-Zertifikaten (oder SSL-Proxy). Darüber hinaus verfügt Awingu über eine integrierte Integration mit Let’s Encrypt, die automatisch ein einzigartiges SSL-Zertifikat generiert und sich um dessen Erneuerung kümmert.

      • Nur Port 443

Bei korrekter Einrichtung benötigt Awingu nur Port 443, um für Endbenutzer-Clients verfügbar zu sein.

      • Umfassende Nutzungskontrolle

Awingu wird mit einem umfangreichen Nutzungsprotokoll geliefert. Die Nutzungsprüfung verfolgt, welche Anwendungssitzungen Benutzer öffnen (oder schließen) und wann und wo (von welcher IP-Adresse aus) sie dies tun. Es wird auch verfolgt, welche Dateien geöffnet, gelöscht, gemeinsam genutzt usw. werden. Das Audit-Protokoll ist über das Awingu-Dashboard (Admin) verfügbar, und es können benutzerdefinierte Berichte extrahiert werden.

      • Erkennung von Anomalien

Informieren Sie sich über Unregelmäßigkeiten in Ihrer Umgebung, wie z.B. jemand, der sich zu oft mit einem falschen Passwort einloggt oder jemand, der versucht, sich aus dem Ausland einzuloggen. Diese Informationen sind über das Awingu-Dashboard (nur Admin) verfügbar.

      • RDP über HTML

RDP ist bekannt dafür, dass es zahlreiche Exploits aufweist. Insbesondere wenn ältere und nicht gepatchte Versionen ausgeführt werden. HTML minimiert den für RDP spezifischen “Bedrohungsvektor” (z.B. Bluekeep, NotPetya).

      • Granulare Nutzungskontrollen

Für jeden Benutzer (-gruppe) können spezifische Rechte vergeben werden; z.B. Verhinderung der Nutzung des virtuellen Druckers (d.h. kein Drucken zu Hause), Verhinderung des Herunterladens (oder Hochladens) von Dateien auf den und vom lokalen Desktop, Verhinderung der gemeinsamen Nutzung von Awingu-Anwendungssitzungen, Verhinderung der gemeinsamen Nutzung von Awingu-Dateien usw.

      • Aufzeichnung der Sitzung

Awingu kann die automatische Aufzeichnung von bestimmten Anwendungen oder Benutzern aktivieren (Hinweis: ausgeschlossen für Awingu Reverse-Proxy-Sitzungen). Der Endbenutzer erhält vor dem Start seiner Awingu-Anwendung/des Desktops einen Hinweis über die Aufzeichnung und muss diese “akzeptieren”.

      • Keine lokalen Daten

Alle Anwendungen, Dateien, gehosteten Desktops usw. laufen im Browser in HTML5. Es gibt keinen Footprint auf dem Gerät (vgl. granulare Nutzungskontrollen). Es werden lediglich Bildschirminhalte übertragen.

Awingu – unschlagbare Nutzererfahrung

Mit Awingu können Benutzer jedes Gerät, auch ihr eigenes privates Gerät, mitnehmen und ihre Arbeit erledigen. Es kann ein Windows 7-Gerät, ein MacBook oder ein Tablet sein. Awingu ermöglicht moderne Remote Arbeit – einfach und sicher.

Devices with Awingu

Auf jedem Device mit einen HTML5-Browser einsetzbar

(1) Awingu in 1 Minute (Deutsch) – YouTube

Sprechen Sie uns gern an. Als Certified Awingu Partner bieten wir Ihnen mit unserem attraktiven Proof-of-Concept Paket die Möglichkeit, Awingu mehrere Wochen in Ihrer eigenen Infrastruktur zu testen. Danach entscheiden Sie, ob die Lösung für Sie Sinn macht.

Awingu Certified GOLD Partner

Bei diesem Blogartikel handelt es sich um eine leichte Abwandlung des Blogbeitrags von Arnaud Marliere, Chief Marketing Officer bei Awingu (zum Original).