Es war einer dieser schönen Freitagabende, an denen man sich freut, nach Hause zu gehen, um sich in das wohlverdiente Wochenende zu stürzen. Kurz vor acht Uhr klingelte dann doch noch das Telefon. Es meldete sich ein Kunde einer grösseren Telekommunikationsfirma, die ich damals schon seit einiger Zeit betreute. Der Kunde erzählte mir hastig von unerklärlichen Viren-Problemen in seinem Netzwerk. Sein Mailserver sei völlig überlastet und nehme keine E-Mails mehr an. Der Antiviren-Gateway fand in Hunderten von ausgehenden E-Mail-Attachments den damals schon länger bekannten "Loveletter"-Virus...
Damit war das Weekend gelaufen. Ich fuhr zum Kunden, und wir begannen mit der Analyse der Viren-Epidemie. Er versicherte mir, dass seine internen PCs und Server alle mit einem aktualisierten, zentral kontrollierten Antivirenprogramm bestückt sind. Nach der Analyse von Logfiles und offenen Verbindungen auf den Mailserver konnten wir den ursprünglichen Virenbefall zurückverfolgen. Er stammte von einer internen IP-Adresse, die dem System-Administrator nicht bekannt war. Nach einem kurzen Telefongespräch mit einem anderen Administrator war uns dann klar, woher der Virus kam: aus einem Adressenbereich der sogenannten "Nomadic User".
Auf einen Schlag wurde klar, dass sich der Virus über eine VPN-Verbindung zu verbreiten versuchte. Der Kunde hatte es versäumt, die PCs und Notebooks der VPN-Benutzer mit permanent aktualisierten Antivirus-Programmen auszustatten. Zwar konnte grösserer Schaden durch den Antiviren-Gateway verhindert werden, doch was war mit anderen Formen von Attacken? Der Kunde musste zugeben, dass keinerlei Massnahmen und Richtlinien bestanden, die sicherstellten, dass auch VPN-Arbeitsplätze mit den nötigen Sicherheitsprogrammen und Mechanismen ausgestattet waren. Das wurde in der Zwischenzeit geändert.
Wer jetzt denkt, das sei ein Einzelfall, der irrt sich gewaltig. Im Sommer 2000 verschaffte sich ein russischer Hacker Zugang zum Microsoft-internen Netzwerk in Redmond. Ebenfalls über eine VPN-Verbindung eines ahnungslosen Mitarbeiters. Der Hacker schaffte es, das Notebook eines Gates-Angestellten mit einem trojanischen Pferd zu infizieren, das alle Tastatur-Eingaben mitschnitt und an eine russische E-Mail-Adresse verschickte. Als sich der Mitarbeiter über VPN mit Usernamen und Passwort ins Microsoft-Campus-Netzwerk einwählte, kam der Hacker in den Besitz eines gültigen VPN-Account. Der Rest ging in die IT-Security-Geschichte ein: Der Hacker verschaffte sich unter anderem Einblick in den Sourcecode von Microsoft-Produkten.
Beide Beispiele decken schonungslos die Schwierigkeiten auf, die sich Unternehmen mit Notebooks und privaten PCs einhandeln. Oft wird Mitarbeitern erlaubt, VPN-Client-Software auf ihren privaten Arbeitsstationen zu installieren. Das ist aber ein Riesenfehler, weil man die Stationen nicht warten kann.
• Viren, Trojaner, Würmer: Trojaner stellen die grösste Gefahr für einen direkten Einbruch dar. Wird ein VPN-Client infiziert, kann der Angreifer über diesen kompletten Zugriff ins interne Firmen-Netzwerk erhalten. Der Angreifer nutzt dabei den VPN-Client als Zwischenstation (Relay) aus. Stellen Sie deshalb sicher, dass auf VPN-Arbeitsstationen eine Antiviren-Software installiert ist, dass diese immer aktiviert ist und permanent die aktuellsten Signaturen eingespielt sind.
• Personal Firewall: VPN-Clients sind oft komplett ohne Schutz mit dem Internet verbunden, beispielsweise bei Dialup-Verbindungen. Damit haben Hacker ein leichtes Spiel, um kompletten Zugriff auf die Maschinen zu erhalten. Setzen Sie auf den VPN-Clients zusätzlich Personal-Firewall-Software ein oder benutzen Sie eine VPN-Software, die bereits Firewall-Funktionalitäten enthält.
• Client-VPN-Authentifizierung: Authentifizieren Sie Client-VPN-Verbindungen nicht nur mit Username und Passwort. Zusätzliche Authentifizierungs-Mechanismen wie PIN-Token oder Zertifikate erhöhen die Sicherheit.
• Einschränkung der zugelassenen Dienste: Vielfach werden für VPN-Verbindungen alle Services erlaubt, obwohl diese nicht benutzt werden oder nötig sind. Schränken Sie den Zugriff ein.
