Wenn die Firma spioniert: VPN-Verbindung ins Internet

Ein weiterer Grund für den Einsatz eines VPNs ins Internet ist häufig der Arbeitgeber. Viele Mitarbeiter haben einen sehr beschränkten Zugang ins Internet oder fürchten Schnüffeleien durch den Arbeitgeber. Namhafte Unternehmen wie die Deutsche Telekom und die Deutsche Bahn sind dabei ertappt worden, wie sie Mitarbeiter, Betriebsräte und Aufsichtsräte systematisch ausspioniert haben.

In mittelständischen Unternehmen werden meist sogenannte Security-Appliances eingesetzt. Sie besitzen in der Regel DPI-Technologie, die den Webtraffic auf Layer-7-Ebene überwacht und einschränken kann. In vielen Unternehmen wird genau protokolliert, welche Nutzer welche Webseiten aufrufen.

Zudem schränken viele Unternehmen den Zugang zum Internet ein. Typischerweise werden dabei Seiten wie bild.de oder playboy.com mit der Begründung gesperrt, dass es keine berufliche Veranlassung gibt, diese Websites zu besuchen. Oft werden die aufgerufenen Webseiten nach bestimmten Stichwörten wie Sex durchsucht. Wer auf einer Seite landet, die Werbung mit einem der gesperrten Begriffe beinhaltet, kann diese Seite nicht aufrufen oder bekommt unbemerkt einen Eintrag in eine „schwarze Liste“.

Besonders aufpassen müssen Arbeitnehmer in Firmen, die auch den HTTPS-Verkehr untersuchen. Ohne DPI-Technologie ist es nicht möglich, den Verkehr zwischen einem Arbeitsplatzrechner und einem HTTPS-Server zu überwachen, da HTTPS eine End-to-End-Verschlüsselung zwischen Browser und Webserver implementiert.

Eine DPI-Applikation muss einen Man-in-the-Middle-Angriff gegen den Browser starten, um in den HTTPS-Verkehr eingreifen zu können. Dabei gibt die Security-Lösung vor, der Webserver zu sein, den der Benutzer aufgerufen hat, indem sie die IP-Adresse des Servers spooft.

Das führt dazu, dass der gesamte HTTPS-Verkehr auf dem Gateway in der Firma entschlüsselt wird. Ein Administrator kann auf diese Weise Einsicht in den gesamten HTTPS-Traffic nehmen. So kann er beispielsweise PINs und TANs beim Banking abfangen sowie Kontostände und Umsätze ansehen.

Schutz vor solchen Umtrieben bieten Zertifikate. Jeder Nutzer, der sich in einem fremden Netz befindet, das er nicht kontrollieren kann, sollte beim Aufruf von Websites mit vertraulichem Inhalt immer das Zertifikat im Browser anschauen. Handelt es sich dabei um ein Intranetzertifikat der Firma, wird der Traffic per Man-in-the-Middle-Attacke abgehört.

Mit der Überprüfung des Zertifikats kann man das Abhören zunächst einmal nur zur Kenntnis nehmen. Abhilfe gegen Abhörmaßnahmen und eingeschränkten Internetzugang kann auch in diesem Fall eine verschlüsselte VPN-Verbindung ins Internet schaffen.