Wenn die Firma spioniert: VPN-Verbindung ins Internet

Ein weiterer Grund für den Einsatz eines VPNs ins Internet ist häufig der Arbeitgeber. Viele Mitarbeiter haben einen sehr beschränkten Zugang ins Internet oder fürchten Schnüffeleien durch den Arbeitgeber. Namhafte Unternehmen wie die Deutsche Telekom und die Deutsche Bahn sind dabei ertappt worden, wie sie Mitarbeiter, Betriebsräte und Aufsichtsräte systematisch ausspioniert haben.

In mittelständischen Unternehmen werden meist sogenannte Security-Appliances eingesetzt. Sie besitzen in der Regel DPI-Technologie, die den Webtraffic auf Layer-7-Ebene überwacht und einschränken kann. In vielen Unternehmen wird genau protokolliert, welche Nutzer welche Webseiten aufrufen.

Zudem schränken viele Unternehmen den Zugang zum Internet ein. Typischerweise werden dabei Seiten wie bild.de oder playboy.com mit der Begründung gesperrt, dass es keine berufliche Veranlassung gibt, diese Websites zu besuchen. Oft werden die aufgerufenen Webseiten nach bestimmten Stichwörten wie Sex durchsucht. Wer auf einer Seite landet, die Werbung mit einem der gesperrten Begriffe beinhaltet, kann diese Seite nicht aufrufen oder bekommt unbemerkt einen Eintrag in eine „schwarze Liste“.

Besonders aufpassen müssen Arbeitnehmer in Firmen, die auch den HTTPS-Verkehr untersuchen. Ohne DPI-Technologie ist es nicht möglich, den Verkehr zwischen einem Arbeitsplatzrechner und einem HTTPS-Server zu überwachen, da HTTPS eine End-to-End-Verschlüsselung zwischen Browser und Webserver implementiert.

Eine DPI-Applikation muss einen Man-in-the-Middle-Angriff gegen den Browser starten, um in den HTTPS-Verkehr eingreifen zu können. Dabei gibt die Security-Lösung vor, der Webserver zu sein, den der Benutzer aufgerufen hat, indem sie die IP-Adresse des Servers spooft.

Das führt dazu, dass der gesamte HTTPS-Verkehr auf dem Gateway in der Firma entschlüsselt wird. Ein Administrator kann auf diese Weise Einsicht in den gesamten HTTPS-Traffic nehmen. So kann er beispielsweise PINs und TANs beim Banking abfangen sowie Kontostände und Umsätze ansehen.

Schutz vor solchen Umtrieben bieten Zertifikate. Jeder Nutzer, der sich in einem fremden Netz befindet, das er nicht kontrollieren kann, sollte beim Aufruf von Websites mit vertraulichem Inhalt immer das Zertifikat im Browser anschauen. Handelt es sich dabei um ein Intranetzertifikat der Firma, wird der Traffic per Man-in-the-Middle-Attacke abgehört.

Mit der Überprüfung des Zertifikats kann man das Abhören zunächst einmal nur zur Kenntnis nehmen. Abhilfe gegen Abhörmaßnahmen und eingeschränkten Internetzugang kann auch in diesem Fall eine verschlüsselte VPN-Verbindung ins Internet schaffen.

Themenseiten: Breitband, Kommunikation, Privacy, Security-Praxis, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Wenn die Firma spioniert: VPN-Verbindung ins Internet

Kommentar hinzufügen
  • Am 25. Februar 2010 um 12:42 von Michael

    Anleitung ?
    Ich denke nicht das es hier eine Anleitung zum Diebstahl von Firmeneigentum sein soll.. Vielmehr geht es hier um die Wissen.

    Wenn ich euch erzähle ihr könnt eure Hausbank mit vorgehaltenen Zeigefinger in der Jackentasche ausrauben, dann rennt ihr gleich zum geldholen los…

    Sicher kennt ihr die Folgen und nutzt eure Geldkarte wie vorgeschrieben.
    Wer meint, er müsse seine Firma betrügen, im Wissen das er mit seinem Job spielt, gehört entlassen. Als Admin fallen mir VPN Verbindungen eh auf und werden sicher hinterfragt.

    Das Firmen ihre Mitarbeiter „bespitzeln“ mag es ja geben. Der Chef möchte kontrollieren, der Mitarbeiter fühlt sich bespitzelt. Da fällt mir nur ein „Jeder ist so faul wie man ihn lässt“

  • Am 25. Februar 2010 um 12:29 von Michael

    Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu
    Erstmal vielen Dank für die sehr interessanten Artikel. Mit Erstaunen habe ich folgende Pasage gelesen. „Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu“
    Haben Sie hierzu weitere Hintergrundinformationen?
    Technisch ist nur ein Kabelmodem möglich. Die Lösung wäre ein Switch mit 2 Routern bzw. Rechnern. Für weitere Infos wäre ich dankbar. Seiten KDG besteht dahigehend kein Support..

    Michael

  • Am 24. Februar 2010 um 7:46 von Crossie

    Dieser Artikel…
    …hat weder inhaltliches Niveau (ein NAT Router schränkt die Internetnutzung stark ein…aha) noch gehört er in den Bereich "Security". Eine Anleitung zur Umgehung von Sicherheitsmaßnahmen im Firmenumfeld, gekrönt von reißerischer Headline. Ich hätte nicht gedacht, dass ich so etwas unerträgliches mal bei zdnet lesen müsste. Danke für dieses morgendliche Fremdschämen.

  • Am 18. Februar 2010 um 12:39 von staatsbuerger

    Tipp fuer die Admins
    Der Artikel gibt doch zumindest Hinweise darauf, was in einem Sicherheitskonzept noch berücksichtigt werden muss. Wo ein Weg bekannt wird, wird auch eine Sperre kontruiert werden können.

  • Am 18. Februar 2010 um 12:30 von Mike

    In Firmenumgebungen
    hat der Arbeitnehmer keine eigene Software zu installiern, das zieht sofortige Konsequenzen nach sich.

  • Am 18. Februar 2010 um 9:20 von M@tze

    ‚Super Idee‘ …
    … den Leuten zu erklaeren wie sie sich mit einer VPN Verbindung durch den Proxy des Arbeitgebers durchtunneln koennen und damit der Uerbwachung zu entziehen. Und dann wird sich wieder gewundert, wie die ganzen Schaedlinge in das Firmennetzwerk gekommen sind. Finanzielle Folgen unabsehbar …

    Dass der Arbeitgeber den Zugriff auf Seiten wie „bild.de“ und Schweinkram unterbindet, ist doch wohl sein gutes Recht und nachvollziehbar, oder?

  • Am 17. Februar 2010 um 17:50 von Realist

    Kündigungsgrund
    Die meisten Firmen verbieten die Privatnutzung des Equipments (muß der AN unterschreiben) – würde er diesen Artikel zum Anlaß von Eigenmächtigkeiten nehmen führt dies zu einer sicheren Kündigung – zu Recht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *