VPN bedeutet Virtuelles Privates Netzwerk (aus dem Englischen „Virtual Private Network“). Eine VPN-Verbindung bietet die Möglichkeit, von außen auf ein bestehendes Netzwerk zuzugreifen. Dabei kann es sich um ein Unternehmens- aber auch um ein privates Netzwerk handeln.
Der Inhalt im Überblick
Wozu braucht es VPN-Verbindungen?
Ein VPN hat vielfältige Einsatzmöglichkeiten. Es wird von Geschäftsreisenden, zur Kommunikation zwischen Unternehmensstandorten aber auch von Privatpersonen (Stichwort: Ländersperren oder Geoblocking) genutzt. Aber warum eigentlich?
Nehmen wir das Beispiel des Geschäftsreisenden. Dieser ist regelmäßig unterwegs und möchte am Flughafen, auf dem Weg zum nächsten Termin, noch schnell seine E-Mails checken und ein Dokument bearbeiten. Hierzu loggt er sich in das offene WLAN des Flughafens ein, welches regelmäßig unverschlüsselt ist. Unverschlüsselt bedeutet, dass es auch für Laien relativ einfach ist, den Datenverkehr, der über das WLAN läuft, mitzulesen. Dazu genügt schon eine frei zugängliche Software oder Mobile App. Damit besteht das Risiko, dass sensible Geschäftsdaten, aber auch Kunden- und Beschäftigtendaten abgegriffen werden. Neben dem Datenverlust drohen dabei Imageschäden und Bußgeldbescheide der Aufsichtsbehörden.
Eine geeignete VPN-Anwendung sorgt dafür, dass die Daten nicht mehr von Unbefugten mitgelesen werden können. Darüber hinaus ermöglicht sie den Zugriff auf Laufwerke, die auf dem unternehmenseigenen Server liegen und nur innerhalb des Unternehmensnetzwerks verfügbar sein sollen. Ohne VPN können also auch zentral gespeicherte Dokumente nicht bearbeitet werden.
Welche Funktion erfüllt ein VPN?
Eine installierte VPN-Software bietet im Wesentlichen zwei Funktionen:
Sicher dank Verschlüsselung
Zunächst lassen sich die Daten bei der Übertragung vorab durch die VPN-Software verschlüsseln. Diese Funktion gehört zum Standard-Repertoire einer VPN-Software. Dadurch ist etwa ein Mitlesen von E-Mails durch unberechtigte Dritte fast unmöglich.
Inkognito durch den Datentunnel
Hauptsächlich aber „tunnelt“ die Software den Datenverkehr des Nutzers. Das bedeutet, dass die Daten durch das öffentliche WLAN zu einem vordefinierten Punkt im Internet (in unserem Beispiel also der Unternehmensserver) wie durch einen Tunnel übertragen werden. Der Rechner wird also ein virtueller Teil des jeweiligen Unternehmensnetzwerks.
Vereinfacht lässt sich das wie folgt veranschaulichen:
Der Geschäftsreisende wählt sich in das Flughafen-WLAN ein. Zu diesem Zeitpunkt kann seine Kommunikation von potentiellen Angreifern mitgelesen werden. Aktiviert er nun die installierte VPN-Software, ordnet diese den Rechner dem Unternehmensnetzwerk zu. Sein Rechner erhält dabei eine IP-Adresse des Unternehmensnetzwerks. Für das Netzwerk und andere Kommunikationspartner sieht es nun so aus, als befände sich der Rechner am Unternehmensstandort. Dabei kann eine IP-Adresse auch an mehrere externe Rechner vergeben werden. So lässt sich bspw. nicht mehr ermitteln, wer welche Internetseiten aufgerufen hat.
Wie funktioniert das Ganze?
Anfragen unseres Geschäftsreisenden (bspw. der Abruf von E-Mails oder entsprechenden Word-Dateien) werden nun zunächst der VPN-Software übergeben. Der darin enthaltene VPN-Adapter steckt die Anfrage bildlich gesehen in einen Briefumschlag, bevor diese den Rechner des Nutzers verlässt. Den Umschlag adressiert sie an den entsprechenden Unternehmensserver. Dieser Umschlag wird nun wiederum selbst in einen Umschlag gesteckt, der dann an das Unternehmensnetzwerk adressiert wird.
Erst jetzt verlässt die Anfrage den Rechner unseres Geschäftsreisenden und gelangt in das offene Flughafennetz. Dieses weiß theoretisch – wegen des zweiten Briefumschlags – nur noch, an welchen Netzwerkanschluss (Unternehmensnetzwerk) das Datenpaket geliefert werden soll. Dort angekommen, wird der äußere Umschlag entfernt und die Anfrage dem Adressaten übergeben (bspw. der Fileserver des Unternehmens). Für das Unternehmensnetzwerk sieht es dabei so aus, als logge sich der Rechner des Nutzers nicht von außerhalb sondern direkt aus dem Büro ein. So bekommt er Zugriff auf die Netzlaufwerke. Auch der Internetverkehr wird so zunächst über die Server des Unternehmens geleitet.
Das Netzwerk des Flughafens wurde also, um weiter im Bild zu bleiben, lediglich als eine Art Verlängerungskabel genutzt. Da die ursprüngliche Anfrage für den Transport in ein sog. VPN-Protokoll (zweiter Umschlag) eingebettet wurde, spricht man von einer „getunnelten Verbindung“.
Wird die VPN-Verbindung nicht durch einen eigenen VPN-Server im Unternehmen hergestellt, sondern ein externer Dienstleister genutzt, ist das Verfahren ähnlich. Anstelle des Unternehmensservers teilt der Server des jeweiligen Anbieters dem Nutzer eine IP-Adresse zu und leitet die Daten zunächst über dessen Netzwerk.
VPN und alles tutti?
Allein die Installation einer x-beliebigen VPN-Software reicht für sich allein noch nicht aus. Unternehmen sollten aus Gründen der Unternehmenssicherheit eigene VPN-Server einrichten. Wo dies nicht möglich oder rentabel ist, sollte bei der Auswahl des Anbieters ein großes Augenmerk auf dessen Zuverlässigkeit und Vertrauenswürdigkeit gelegt werden. Denn der VPN-Anbieter sieht im Gegensatz zu potentiellen Angreifern den kompletten Datenverkehr, der über sein Netzwerk läuft. Gleiches gilt auch für die Unternehmens-IT, wenn firmeneigene VPN-Lösungen genutzt werden.
Auch kam es in der Vergangenheit immer wieder zu Datenschutzpannen und bewussten Auswertungen des Surf-Verhaltens der Nutzer.
Worauf es bei der Auswahl des Anbieters im Einzelnen ankommt, haben wir hier bereits zusammengefasst. Wer sich eingehender mit den Vorzügen und Nachteilen der einzelnen Anbieter auseinandersetzen möchte, findet hier eine äußerst umfangreiche Auflistung.