Wenn die Firma spioniert: VPN-Verbindung ins Internet

Voraussetzung für die Nutzung eines VPNs-Zugangs ins Internet am Arbeitsplatz ist, dass der VPN-Zugang nicht durch den Administrator geblockt wird und dass man auf seinem Arbeitsplatzrechner die nötigen Rechte besitzt, eigene VPN-Verbindungen aufzubauen. Das kann beispielsweise durch die Group-Policy in Windows verhindert werden.

Wenn die Group-Policy das Anlegen virtueller IP-Interfaces verbietet, hilft auch keine Third-Party-Software. Das ist aber nur in den wenigsten Firmennetzen der Fall, da für Notebookbenutzer in diesem Fall keine VPN-Verbindung ins eigene Intranet mehr möglich wäre.

Bei snafu kostet ein solcher VPN-Zugang ins Internet 7,50 Euro pro Monat, sofern man dort keine anderen Produkte abonniert hat. Das ist relativ viel Geld, um sich vor den Schnüffeleien in der eigenen Firma zu schützen.

Dennoch gibt es Firmen, die ein solches VPN sogar bezahlen. Das machen vor allem Unternehmen, deren Mitarbeiter häufig bei anderen Firmen vor Ort sitzen, beispielsweise Consulting- und Beratungsunternehmen. Da diese Unternehmen ihren Kunden nicht trauen, investieren sie in Sicherheitstechnologie, um ihre Mitarbeiter vor Fremdfirmen zu schützen.

Inter.net und snafu verwenden ein PPTP-VPN, um einen vollwertigen Zugang ins Internet zu schaffen. PPTP hat den Ruf, unsicher zu sein, da Bruce Schneier 1998 ernsthafte Schwachstellen entdeckt hat. Diese sind jedoch seit vielen Jahren behoben.

Allerdings bleibt der Kritikpunkt, dass die Verschlüsselungsstärke von der Länge des Passworts abhängt. Wer ein kurzes Passwort verwendet, muss damit rechnen, dass seine Verschlüsselung mittels Brute-Force gebrochen werden kann. Bei PPTP sollte man ein sicheres Passwort mit mindestens 12 Zeichen einsetzen.

PPTP bietet vor allem die Vorteile, dass es auf jedem Betriebssystem verfügbar ist und einen einfachen TCP-Tunnel verwendet, der in den meisten NAT-Umgebungen problemlos eingesetzt werden kann. Außerdem sind die verfügbaren Implementierungen der verschiedenen Hersteller miteinander kompatibel.

Grundsätzlich kann jede Site-to-End-VPN-Technologie eingesetzt werden, mit der man sich normalerweise in ein Firmennetz verbindet. Der einzige Unterschied ist, dass der VPN-Router ins Internet statt ins Intranet verbindet.

Wer einen gehosteten Server in einem Rechenzentrum oder einen Breitbandanschluss mit mehreren öffentlichen IP-Adressen besitzt, kann eine solche Lösung auch selbst implementieren. Das hat sogar den Vorteil, dass man das VPN auf spezielle Gegebenheiten anpassen kann. Wenn ein Firmenadministrator etwa alle TCP-Ports außer 80 und 443 sperrt, lässt sich der eigene VPN-Server notfalls auf Port 80 betreiben.

Themenseiten: Breitband, Kommunikation, Privacy, Security-Praxis, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Wenn die Firma spioniert: VPN-Verbindung ins Internet

Kommentar hinzufügen
  • Am 25. Februar 2010 um 12:42 von Michael

    Anleitung ?
    Ich denke nicht das es hier eine Anleitung zum Diebstahl von Firmeneigentum sein soll.. Vielmehr geht es hier um die Wissen.

    Wenn ich euch erzähle ihr könnt eure Hausbank mit vorgehaltenen Zeigefinger in der Jackentasche ausrauben, dann rennt ihr gleich zum geldholen los…

    Sicher kennt ihr die Folgen und nutzt eure Geldkarte wie vorgeschrieben.
    Wer meint, er müsse seine Firma betrügen, im Wissen das er mit seinem Job spielt, gehört entlassen. Als Admin fallen mir VPN Verbindungen eh auf und werden sicher hinterfragt.

    Das Firmen ihre Mitarbeiter „bespitzeln“ mag es ja geben. Der Chef möchte kontrollieren, der Mitarbeiter fühlt sich bespitzelt. Da fällt mir nur ein „Jeder ist so faul wie man ihn lässt“

  • Am 25. Februar 2010 um 12:29 von Michael

    Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu
    Erstmal vielen Dank für die sehr interessanten Artikel. Mit Erstaunen habe ich folgende Pasage gelesen. „Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu“
    Haben Sie hierzu weitere Hintergrundinformationen?
    Technisch ist nur ein Kabelmodem möglich. Die Lösung wäre ein Switch mit 2 Routern bzw. Rechnern. Für weitere Infos wäre ich dankbar. Seiten KDG besteht dahigehend kein Support..

    Michael

  • Am 24. Februar 2010 um 7:46 von Crossie

    Dieser Artikel…
    …hat weder inhaltliches Niveau (ein NAT Router schränkt die Internetnutzung stark ein…aha) noch gehört er in den Bereich "Security". Eine Anleitung zur Umgehung von Sicherheitsmaßnahmen im Firmenumfeld, gekrönt von reißerischer Headline. Ich hätte nicht gedacht, dass ich so etwas unerträgliches mal bei zdnet lesen müsste. Danke für dieses morgendliche Fremdschämen.

  • Am 18. Februar 2010 um 12:39 von staatsbuerger

    Tipp fuer die Admins
    Der Artikel gibt doch zumindest Hinweise darauf, was in einem Sicherheitskonzept noch berücksichtigt werden muss. Wo ein Weg bekannt wird, wird auch eine Sperre kontruiert werden können.

  • Am 18. Februar 2010 um 12:30 von Mike

    In Firmenumgebungen
    hat der Arbeitnehmer keine eigene Software zu installiern, das zieht sofortige Konsequenzen nach sich.

  • Am 18. Februar 2010 um 9:20 von M@tze

    ‚Super Idee‘ …
    … den Leuten zu erklaeren wie sie sich mit einer VPN Verbindung durch den Proxy des Arbeitgebers durchtunneln koennen und damit der Uerbwachung zu entziehen. Und dann wird sich wieder gewundert, wie die ganzen Schaedlinge in das Firmennetzwerk gekommen sind. Finanzielle Folgen unabsehbar …

    Dass der Arbeitgeber den Zugriff auf Seiten wie „bild.de“ und Schweinkram unterbindet, ist doch wohl sein gutes Recht und nachvollziehbar, oder?

  • Am 17. Februar 2010 um 17:50 von Realist

    Kündigungsgrund
    Die meisten Firmen verbieten die Privatnutzung des Equipments (muß der AN unterschreiben) – würde er diesen Artikel zum Anlaß von Eigenmächtigkeiten nehmen führt dies zu einer sicheren Kündigung – zu Recht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *